seppl

Seppl является и определение протокола и программная реализация нового слоя шифрования для протокола IPv4. Seppl проект использует симметричной криптографии для шифрования всего трафика в сети. Его реализация строится вокруг Linux Netfilter / IPTables.
Seppl вводит два новых NETFILTER цели: Crypt и расшифровать. Правило брандмауэра может быть, таким образом, используется для шифрования / дешифрования входящего и исходящего сетевого трафика. Это делает чрезвычайно Seppl простой в использовании, так как не демоны не нужно запускать для безопасной связи.
Seppl использует шифрование двигатель API Linux Cryptographic который доступен в ядре 2.4.22 и новее.
Seppl в первую очередь предназначен для шифрования беспроводных локальных сетей (как безопасной заменой разбитого шифрование WEP) и локальных сетей локальных сетей, но может быть использован для крупномасштабных VPN решений, а также.
Seppl протокол основан на не совместим с любым другим программным обеспечением. Протокол является открытым и хорошо определены, но нет реализации, кроме этого опорного программного обеспечения.
Почему Seppl, уже есть IPSec, CIPE ...?
CIPE может быть использован для точка-точка только для подключений. Он имеет туннельной структуры и, следовательно, вводит новые IP-адреса. Это не всегда желательно. Это требует пользовательского пространства демон.
IPSec / FreeSWAN чрезвычайно сложна в использовании. Благодаря странной схеме маршрутизации это почти невозможно использовать вместе с демонами маршрутизации. IPSEC супертяжелом.
Seppl является поистине равный-равному. Он шифрует легко весь исходящий трафик и, таким образом, совместимы с демонами маршрутизации. Это чрезвычайно прост в использовании, а также, как это не делает никаких изменений в нормальное поведение маршрутизации. Seppl является чрезвычайно легкий.
Реализация
Реализация состоит из трех модулей ядра Linux: seppl.o, ipt_CRYPT.o и ipt_DECRYPT.o. Бывший является ключевым менеджером в ядре, последние две новые Netfilter цели. Оба зависят от seppl.o.
seppl.o должен быть вставлен в ядро ​​в первую очередь. Ключ менеджер может получить доступ с файловой / Proc / нетто / seppl_keyring. Он содержит бинарные данные ключа, и изначально пуст. Вы можете добавить новый ключ, написав его на этот файл.
Два Python скрипты Seppl-LS и Seppl-генераторных ключ мне быть использован для управления ключами. Seppl-LS могут быть использованы для преобразования ключей Seppl между двоичном формате, используемого / Proc / нетто / seppl_keyring и читабельный формат, основанный XML. Просто позвоните Seppl-LS для списка всех активных ключей. Seppl поколения ключ генерирует новый ключ от / DEV / urandom. По умолчанию он будет использовать формат XML в. Силы параметр -x двоичном режиме. Вы можете создать и активировать две клавиши "Линус" и "Алан" путем выдачи команд следующие строки:
Seppl поколения ключ -n Линус -х> / Труды / нетто / seppl_keyring
Seppl поколения ключ -n алан -x> / Proc / нетто / seppl_keyring
Seppl-LS без аргумента перечислены новые ключи, сохраненные в связке ядра. Вы можете удалить все ключи (время не используется) с помощью команды:
эхо четкое> / Труды / нетто / seppl_keyring
Так Seppl основан на симметричной криптографии с использованием общих ключей необходимо скопировать вновь созданные ключи каждого хоста вы хотите подключиться к Seppl инфраструктуры. (предпочтительно через SSH или любой другой безопасной передачи файлов), вы получите бинарную копию вашего текущего ключей с помощью команды:
кот / Труды / нетто / seppl_keyring> keyring.save
Теперь скопируйте этот файл keyring.save всех других хостов и выполните следующую команду там:
кошка keyring.save> / Труды / нетто / seppl_keyring
Это просто, не так ли?
После этого вы можете настроить параметры брандмауэра на каждом хосте:
Iptables -t калечить -a -o eth0 POSTROUTING -j склепе --key Линуса
Iptables -t калечить -А PREROUTING -i eth0 -j дешифрования DECRYPT
Это будет шифровать весь исходящий трафик на eth0 с ключом "Linus". Все входящие трафик расшифрованы либо "Linus" или "алан", в зависимости от ключевой именем, указанным в конкретной сетевой пакет. Незашифрованные входящие пакеты отброшены. Использование
Iptables -t калечить -А PREROUTING -p -i eth0 177 -j дешифрования DECRYPT
за то, что и зашифрованный и незашифрованный входящий трафик.
Вот и все. Вы сделали. Все ваши движения в локальной подсети теперь Кодировка с Seppl.
Шифр по умолчанию AES-128. Если вы не укажете имя использованных ключевых По умолчанию это "DEF".
SysV Init сценарий /etc/init.d/seppl предоставляется. Она будет загружать модули ядра Seppl-х и написать все ключи из каталога / и т.д. / Seppl к связке ключей ядра. Это не будет добавлять любые правила брандмауэра, однако.
Проблемы с производительностью
Сетевые пакеты увеличены в размерах, когда они Кодировка, так как два новых заголовков и IV добавляются. (36 байт) в среднем на это противоречит каким-то образом с руководством МТУ ядра Linux и результаты в имеющие все большие пакеты (то есть: размер пакета MTU) рядом с фрагментированы в один большой и другой очень небольшой пакет. Это будет больно производительности сети. Работы вокруг этого ограничения является использование цель TCPMSS из Netfilter, чтобы настроить значение MSS в TCP заголовке к меньшим значениям. Это позволит увеличить TCP Perfomance, так TCP пакеты с размером MTU больше не генерируются. Таким образом, нет фрагментации не требуется. Тем не менее, это TCPMSS TCP конкретные, это не поможет на UDP или других протоколов IP.
Добавьте следующую строку перед шифрованием с вашей установки брандмауэра:
Iptables -t калечить TCP --tcp-флаги -a -p POSTROUTING SYN, RST SYN -o eth0 -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
Протокол
Для шифрования каждый незашифрованном виде пакетов, преобразуется в зашифрованный один. Ни один еще пакет либо отправлены.
   Оригинал Seppl коллега
+ ------------ + ----------------------- + +
| IP-заголовок-| | Модифицированный IP-заголовок-| |
+ ------------ + ----------------------- + + |
| Полезная нагрузка | | Seppl-заголовок | > Незашифрованные
+ ------------ + ----------------------- + + |
                            | Вектор инициализации | |
                            + ----------------------- + /
                            | Seppl-заголовок |
                            + ----------------------- + | Кодированные
                            | Полезная нагрузка | |
                            + ----------------------- + /
Исходный заголовок IP-хранится, насколько это возможно. Только три поля заменяются новыми значениями. Номер протокола установлен на 177, смещение фрагмента установлено в 0, а общая длина корректируется на новую длину. Все остальные поля хранятся как есть, в том числе вариантов ИС.
Зашифрованная заголовок Seppl состоит из одного байта шифра-номером и именем ключа. В настоящее время только 0 и 1 определены как шифр номеров для AES 128bit с ключом, соответственно. AES с ключом 192bit. Имя ключа (7 байт) могут быть использованы для выбора конкретного ключа в большей ключей.
ХВ используется для кодирования CBC шифра используется. Она отличается от пакета к пакету, но не случайным образом. Из-за соображений Perfomance, только начальная IV при запуске системы рандомизированных, все следующие капельницы генерируются путем увеличения предыдущие.
Кодировка заголовка Seppl состоит из трех сохраненных полей заголовка IP оригинальной (номер протокола, смещение фрагмента, общая длина) и байт, которые всегда 0 для обнаружения unmatching ключи.
Полезная нагрузка оригинальный IP-playload-, от TCP / UDP / другой заголовок до конца.
Ограничения:
· Seppl мешает отслеживания соединений NETFILTER в некотором роде. Таким образом, вы не сможете использовать NAT в сочетании с Seppl. Если вы используете отслеживание соединения в какой-то другой способ вместе с Seppl ваш пробег может варьироваться.
· Seppl тестируется с Linux 2.6.1. Используйте версию 0.3 для Linux 2.4.
Требования:
· Seppl был разработан и протестирован на Debian GNU / Linux "тестирования" с ноября 2003 года, он должен работать на большинстве других дистрибутивов Linux и Unix версии, так как он использует GNU Autoconf и GNU Libtool для конфигурации исходного кода и совместного управления библиотеки.
· Seppl требует Linux 2.6. {0,1} (устанавливается настроенные источники) и Iptables 1.2.8 или новее.
· В комплект пользовательское инструмент требует Python 2.1 или более поздней версии. Урезанная в С является также доступны.
Монтаж:
Как этот пакет выполнен с Autotools GNU вы должны запустить ./configure в директории распределения для конфигурирования дерева исходных кодов. После этого вы должны запустить сделать для компиляции и сделать установку (как корень) для установки Seppl.
Что нового в этой версии:
· Порт Linux 2.6, каких-либо других изменений. Версия 0.4 больше не совместимы с ядром 2.4. Используйте версию 0.3 для ядра 2.4, это функционально эквивалентны.