fwknop

fwknop стоит для "Firewall стук оператора", и реализует схему авторизации, основанный вокруг Netfilter и Libpcap, что требует только одного зашифрованного пакета для того, чтобы общаться различные части информации, включая желаемого доступа через политику Netfilter и / или полных команд для выполнения на целевой системе.
С помощью Netfilter, чтобы поддерживать "падение умолчанию" позицию, главное применение этой программы является защита таких услуг, как OpenSSH с дополнительным слоем безопасности для того, чтобы эксплуатация уязвимости (как 0-день и неисправленными код) гораздо более сложно.
Сервер авторизации пассивно следит пакеты авторизации через libcap и, следовательно, нет "сервер", в которой для подключения в традиционном смысле. Доступ к защищенной службе предоставляется только после контролируется действительный зашифрованный и не воспроизводится пакет.
Этот метод похож на единую схему Пакет авторизации предложенной простой Nomad и люди в NMRC
 
Проект fwknop был также первым инструментом для комбината традиционной зашифрованный порт стучать с пассивным отпечатков пальцев OS. Это позволяет сделать такие вещи, как только позволит, скажем, Linux, 2,4 / 2,6 системы для подключения к SSH демону

Что нового В этом выпуске:.

• (Radostan Ридель) Добавлена ​​AppArmor политику для fwknopd, что, как известно, работают на Debian и Ubuntu систем. Файл политики доступен в статистов / AppArmor / usr.sbin / fwknopd.
• [libfko] Николай Колев сообщил вопрос сборки с Mac OS X Mavericks, где местные fwknop копии strlcat () и strlcpy () были противоречивые с теми, которые уже поставляются с OS X 10.9. Закрывает # 108 на GitHub.
• [libfko] (Франк Joncourt) Консолидированная FKO контекст захоронения функцию в Lib / fko_util.c. В дополнение к добавлению общей функции полезности для печати контекст FKO, это изменение также делает контекст вывода FKO немного легче для разбора по печати каждый атрибут FKO на одной линии (это изменение повлияло на печать окончательного SPA пакетных данных). Набор тестов был обновлен, чтобы учесть это изменение, а также.
• [libfko] Исправлена ​​ошибка не пытайтесь пакетов расшифровку SPA с GnuPG без объекта FKO с encryption_mode установлен в FKO_ENC_MODE_ASYMMETRIC. Эта ошибка была поймана с проверкой VALGRIND против Perl расширения FKO вместе с набором SPA Fuzzing пакетов в тестовых / фаззинга / fuzzing_spa_packets. Обратите внимание, что эта ошибка не может быть вызвана с помощью fwknopd потому дополнительные проверки делаются в самой fwknopd заставить FKO_ENC_MODE_ASYMMETRIC всякий раз, когда access.conf строфа содержит ключевую информацию GPG. Это исправление усиливает libfko себя независимо требуют, чтобы использование FKO объектов без GPG ключевой информации не приводит к попытки операций GPG дешифрования. Следовательно, это исправление применяется в основном к использованию третьей стороной libfko
• i.e. фондовые установок fwknopd не влияет. Как всегда, рекомендуется использовать HMAC подлинности шифрование, когда это возможно, даже для режимов GPG, так как это также обеспечивает работу вокруг даже для libfko До этого исправить.
• [Android] (Джерри Рено) Обновлен Android клиент, чтобы быть совместимым с Android-4.4.
• поддержка [Android] Добавлено HMAC (в настоящее время по желанию).
• [сервер] Обновлен pcap_dispatch () пакет по умолчанию считать от нуля до 100. Это изменение было сделано для обеспечения обратной совместимости с более старыми версиями Libpcap согласно pcap_dispatch () человек страницы, а также потому, что некоторые из доклада Les Акер из неожиданный крах на Arch Linux с Libpcap-1.5.1, который фиксируется этого изменения (закрывает # 110).
• [сервер] Исправлена ​​ошибка для СПА режимов NAT на Iptables брандмауэр, чтобы обеспечить обычай fwknop цепи вновь созданные, если они удаляются из-под работающем fwknopd экземпляр.
• [сервер] Добавлено FORCE_SNAT к файлу access.conf так, что за-доступа строфа критерии SNAT могут быть указаны для спа-центр.
• [тестовая] добавлен --gdb-тест, чтобы ранее выполнена команда fwknop или fwknopd быть отправлены через GDB с теми же аргументами командной строки, как тестов используется. Это для удобства быстро Позволить GDB будет запущен при расследовании проблемы fwknop / fwknopd.
• [клиент] (Франк Joncourt) Добавил --stanza-лист аргумент, чтобы показать имена строфа ~ / .fwknoprc.
• [libfko] (Хэнк Лейнингер) Внесенный патч значительно расширить libfko описания код ошибки на различных местах, для того, чтобы дать гораздо лучше информацию о том, означает определенные условия ошибки. Закрывает # 98.
• [тестовая] Добавлена ​​возможность запуска Perl модуль FKO встроенные тесты в т / каталог под модулем CPAN Test :: Valgrind. Это позволяет проверяет Valgrind памяти должны применяться к libfko функции с помощью Perl модуль FKO (и, следовательно, быстрое прототипирование может быть в сочетании с обнаружением утечки памяти). Проверка проводится для того, был ли установлен модуль Test :: Valgrind, и также требуется --enable-Valgrind (или --enable-все) на test-fwknop.pl командной строки.

Что нового в версии 2.5.1:

• Внесено исправление в клиенте fwknop сбросить настройки терминала чтобы оригинальная значения после ввода ключей с помощью стандартного ввода.
• Внесено исправление в fwknopd демона, чтобы не печатать предупреждение существование файла ПИД.
• Набор тестов Исправление не запускать IPtables Rijndael HMAC тест на системах, отличных от Linux.

Что нового в версии 2.5:

• Эта версия была добавлена ​​поддержка для HMAC SHA-256 с проверкой подлинности шифрования в модель шифровать-то-аутентификацию.
• Многие ошибки, обнаруженные статического анализатора Coverity зафиксировано.
• Тесты совместимости OpenSSL были добавлены в набор тестов.
• Клиент строфа сохранения способности был добавлен в ~ / .fwknoprc файла, упрощая использование fwknop клиента.
• Добавлена ​​возможность автоматически генерировать как Rijndael и HMAC ключей с --key-ген.

Что нового в версии 2.0.4:

• На стороне сервера, этот релиз добавляет chain_exists () проверить создании правил SPA, так что, если любой из fwknop цепей удаляются из-под fwknopd, они будут воссозданы на лету.
• Это добавляет новые возможности Fuzzing СПА пакета для тестового набора для оказания помощи в проверке SPA операций.
• Это добавляет выскочка конфигурации для систем, работающих под управлением выскочка демон.
• AN OpenBSD NDBM / GDBM использование Исправление.
• Аргументы командной строки клиент Тип / код ICMP, которые были добавлены, когда SPA пакеты посылаются по ICMP.

Что нового в версии 2.0.3:

• Несколько уязвимостей выполнение / код DoS для вредоносных fwknop клиентов что удалось пройти стадии аутентификации (поэтому такие клиенты должны иметь действительный ключ шифрования) были исправлены.
• Разрешения и проверки собственности были добавлены ко всем файлам, потребляемых fwknop клиентом и сервером.
• RPM строит были зафиксированы в том числе $ (DESTDIR) префикс для удаления локального и установить-Exec-крючок этапы Makefile.am.

Что нового в версии 2.0.2:

• Улучшенная обработка GnuPG для СПА пакетов расшифровки на на стороне сервера (приходится не PassPhrase ключей GPG, когда GPG-агент или pinentry которые в противном случае требуется).
• Внесено исправление в SPA кода обнаружения воспроизведения пакетов.
• Проверка существования "комментарий" матча Iptables, когда развертывается на Linux подачу.
• Несколько других исправлений.

Что нового в версии 2.0:.

• Это производство выпуск fwknop C переписать
• Это приносит один пакет, разрешение на трех различных брандмауэров Open Source (IPTables, IPFW и PF), встраиваемых систем и мобильных устройств.
• Сервер fwknopd работает на Linux, Mac OS X, FreeBSD, OpenBSD и.
• Клиент работает на всех этих платформах, а также Android, iPhone, в Cygwin и под Windows.
• Кроме того, клиент является портативным и может быть скомпилирован как родной бинарный Windows.

Что нового в версии 2.0 RC5:

• Эта версия добавляет OpenBSD поддержку PF, добавляет новый FORCE_NAT Режим прозрачно заставить авторизованных соединений с указанных внутренних систем, добавляет полный набор тестов, и добавляет возможность автоматически истекает SPA ключи.
• были сделаны Несколько исправлений обработки памяти.

Что нового в версии 1.9.12:

• Модуль FKO, что является частью библиотеки libfko был полностью интегрирован для всех SPA процедур:. шифрования / дешифрования, переварить расчет, обнаружение атаки воспроизведения и т.д.
• Добавлена ​​возможность восстановления после ошибок интерфейса, например, когда fwknopd нюхает интерфейс PPP (скажем, связанный с VPN), что уходит, и затем заново.
• The fwknop клиент был обновлен, чтобы включить SPA назначения до разрешения DNS при отправке SPA пакет над запросу HTTP.