در seppl هر دو یک تعریف پروتکل و پیاده سازی نرم افزار از یک لایه رمزگذاری جدید برای IPv4 است. پروژه seppl با استفاده از رمزنگاری متقارن برای رمزنگاری کل ترافیک در شبکه می باشد. اجرای آن در سراسر لینوکس netfilter / iptables در طراحی شده است.
سردابه و رمزگشایی: seppl دو هدف netfilter جدید معرفی می کند. یک قانون فایروال در نتیجه ممکن است برای رمزنگاری / رمزگشایی ترافیک شبکه های ورودی و خروجی استفاده می شود. این باعث می شود seppl فوق العاده آسان برای استفاده، از آنجایی که هیچ شبح ها باید برای ارتباط امن اجرا شود.
seppl با استفاده از موتور رمزگذاری از API لینوکس رمزنگاری که در دسترس است در هسته 2.4.22 و جدیدتر است.
seppl در درجه اول برای رمزنگاری شبکه های محلی بی سیم (به عنوان جایگزینی امن از رمزگذاری WEP شکسته) و شبکه های اترنت محلی در نظر گرفته شده اما ممکن است برای راه حل های شبکه اختصاصی مجازی در مقیاس بزرگ استفاده می شود نیز هست.
seppl پروتکل متکی بر سازگار با هر نرم افزار دیگر نیست. پروتکل باز و به خوبی تعریف شده است اما هیچ اجرای دیگر از این نرم افزار مرجع وجود دارد.
چرا SEPPL، وجود دارد در حال حاضر IPSEC، CIPE، ...؟
CIPE ممکن است تنها برای ارتباط نقطه به به نقطه استفاده می شود. این ساختار تونل و در نتیجه آدرس IP جدید معرفی می کند. این است که همیشه مطلوب نیست. از آن نیاز به یک شبح فضای کاربری.
IPSEC / FreeSwan بسیار پیچیده است استفاده کنید. با توجه به طرح مسیریابی عجیب و غریب آن را از آن تقریبا غیر ممکن است به استفاده از شبح ها همراه با مسیریابی. IPSEC سنگین وزن است.
seppl است واقعا همکار به همکار. این رمز گذاری یکپارچه همه ترافیک خروجی و در نتیجه با ارواح مسیریابی سازگار است. آن را بسیار آسان برای استفاده و همچنین، به عنوان آن را می سازد بدون تغییر به رفتار مسیریابی طبیعی است. seppl بسیار سبک است.
پیاده سازی
اجرای متشکل از سه ماژول هسته لینوکس: seppl.o، ipt_CRYPT.o و ipt_DECRYPT.o. مدیر سابق کلیدی در دانه است، دومی دو اهداف جدید netfilter می باشد. هر دو در seppl.o بستگی دارد.
seppl.o باید به هسته در وهله اول وارد می شود. مدیر کلید ممکن است با فایل / مجموعه مقالات / خالص / seppl_keyring قابل دسترسی است. این شامل اطلاعات کلیدی باینری، و در ابتدا خالی می باشد. شما ممکن است یک کلید جدید با نوشتن آن را به آن فایل اضافه کنید.
دو اسکریپت های پیتون seppl-ls و seppl نسل کلید من برای مدیریت کلید استفاده می شود. seppl-LS ممکن است برای تبدیل کلید seppl بین فرمت باینری استفاده شده توسط / مجموعه مقالات / خالص / seppl_keyring و XML قابل خواندن فرمت بشر استفاده می شود. نگران نباشید، seppl-ls برای یک لیست از تمام کلید در حال حاضر فعال است تماس بگیرید. seppl نسل کلید تولید یک کلید جدید از / dev / urandom. به طور پیش فرض آن را فرمت خواهد کرد XML استفاده کنید. نیروهای پارامتر -x حالت دودویی. شما نمیتوانید تولید و فعال دو کلید "لینوس" و "آلن" با صدور خطوط دستور زیر:
seppl نسل کلید -n لینوس -x> / مجموعه مقالات / خالص / seppl_keyring
seppl نسل کلید -n آلن -x> / مجموعه مقالات / خالص / seppl_keyring
seppl-LS بدون استدلال به فهرستی از کلید های جدید ذخیره شده در جاکلیدی هسته است. شما ممکن است تمام (در حال حاضر استفاده نشده) کلید با صدور حذف:
اکو> / مجموعه مقالات / خالص روشن / seppl_keyring
از آنجا که seppl در رمزنگاری متقارن بر اساس استفاده از کلید های به اشتراک گذاشته شما را مجبور به کپی کلید های تازه تولید شده به هر میزبان شما می خواهید برای اتصال به زیرساخت های seppl شما. (ترجیحا از طریق SSH و یا هر انتقال فایل امن دیگر) شما یک کپی دوتایی جاکلیدی فعلی خود را دریافت کنید با صدور:
گربه / مجموعه مقالات / خالص / seppl_keyring> keyring.save
در حال حاضر کپی که فایل keyring.save به تمام میزبان های دیگر و دستور زیر را صادر وجود دارد:
keyring.save گربه> / مجموعه مقالات / خالص / seppl_keyring
که ساده آن است، نمی باشد؟
پس از انجام بنابراین شما ممکن است تنظیمات فایروال خود را در هر یک از میزبان پیکربندی:
از iptables -t له کردن -A POSTROUTING -o eth0 را -j سردابه --key لینوس
از iptables -t له کردن -A PREROUTING -i eth0 را -j رمزگشایی
این همه ترافیک خروجی در eth0 را با کلید "لینوس" را رمزبندی کنید. همه ترافیک ورودی است با هر دو "لینوس" و یا "آلن" رمزگشایی، بسته به نام کلید مشخص شده در بسته های شبکه های خاص. بسته های اطلاعاتی دریافتی تکه تکه می در سکوت کاهش یافته است. استفاده
از iptables -t له کردن -A PREROUTING -p 177 -i eth0 را -j رمزگشایی
برای اجازه دادن به ترافیک ورودی هر دو crypted و تکه تکه کردن.
خودشه. شما انجام می شود. تمام ترافیک خود را در زیر شبکه محلی در حال حاضر با seppl crypted.
رمز پیش فرض AES-128 است. در صورتی که شما نام استفاده پیش فرض از آن کلید "دف" مشخص نیست.
SysV /etc/init.d/seppl اسکریپت init انجام ارائه شده است. آن را به ماژولهای هسته seppl را بارگذاری و ارسال تمام کلید را از پوشه / و غیره / seppl به جاکلیدی هسته است. این هیچ قواعد دیوار آتش اضافه نمی کند، با این حال.
مسائل مربوط به عملکرد
بسته های شبکه در اندازه افزایش یافته است زمانی که آنها crypted هستند، از دو هدر جدید و IV اضافه شده است. (36 بایت به طور متوسط) این درگیری در برخی از راه را با مدیریت MTU از هسته لینوکس و نتایج در داشتن تمام بسته های بزرگ (است که: اندازه بسته در نزدیکی MTU) تکه تکه در یکی بزرگ و دیگری بسیار کوچک. این کار عملکرد شبکه صدمه دیده است. کار در اطراف این محدودیت با استفاده از هدف TCPMSS از netfilter برای تنظیم مقدار MSS در هدر TCP به مقادیر کوچکتر. این کار بازده TCP افزایش می دهد، از بسته های TCP از اندازه MTU دیگر تولید می شود. بنابراین هیچ تکه تکه شدن مورد نیاز است. با این حال، TCPMSS TCP خاص است، آن را نمی خواهد در UDP و یا دیگر پروتکل های IP کمک کند.
اضافه کردن خط زیر را قبل از رمزگذاری برای راه اندازی فایروال خود:
از iptables -t له کردن -A POSTROUTING -p TCP --tcp-پرچم SYN، SYN RST -o eth0 را -j TCPMSS --set-MSS $ ((1500-40-8-16-6-15))
پروتکل
برای رمزنگاری هر بسته تنها تکه تکه شده و تبدیل به یک crypted. نه یک بسته تنها بیشتر است تا کنون فرستاده شده است.
مقاله همتای SEPPL
+ ------------ + + + -----------------------
| IP-سربرگ | | اصلاح IP-سربرگ | |
+ ------------ + + + ----------------------- |
| بار مفید | | SEPPL-سربرگ |> تکه تکه
+ ------------ + + + ----------------------- |
| مقداردهی اولیه بردار | |
+ ----------------------- + /
| SEPPL-سربرگ |
+ ----------------------- + | Crypted
| بار مفید | |
+ ----------------------- + /
هدر IP اصلی تا آنجا که ممکن نگه داشته است. فقط سه زمینه با مقادیر جدید جایگزین شده است. تعداد پروتکل به 177 مجموعه، قطعه افست 0 تنظیم و مجموع طول به طول های جدید اصلاح شود. همه زمینه های دیگر نگهداری می شوند به عنوان است، از جمله گزینه های IP.
هدر seppl تکه تکه متشکل از تعداد رمزنگاری یک بایت و یک نام کلیدی است. در حال حاضر تنها 0 و 1 ها به عنوان شماره رمز برای AES با کلید 128bit، RESP تعریف شده است. AES با کلید 192bit. نام کلیدی (7 بایت) ممکن است مورد استفاده برای انتخاب یک کلید خاص در یک جاکلیدی بزرگتر.
IV برای برنامه نویسی CBC از رمز استفاده می شود. آن را از بسته متفاوت به بسته، اما به طور تصادفی تولید نیست. با توجه به دلایل بازده، تنها IV اولیه در هنگام راه اندازی سیستم به صورت تصادفی است، همه IVS زیر با افزایش قبلی تولید می شود.
هدر seppl crypted شامل سه زمینه های ذخیره شده از هدر IP اصلی (شماره پروتکل، قطعه افست، طول کل) و یک بایت است که همیشه برای تشخیص کلید های 0 unmatching.
ظرفیت ترابری اصلی IP-playload از TCP / UDP / هدر دیگر به پایان است.
محدودیت ها:
· seppl تداخل با ردیابی اتصال netfilter در برخی از راه. بنابراین شما نمی خواهد قادر به استفاده از NAT در رابطه با seppl. اگر شما استفاده از ردیابی اتصال در برخی از راه های دیگر همراه با seppl مسافت پیموده شده شما ممکن است متفاوت باشد.
· seppl با لینوکس 2.6.1 تست شده است. نسخه 0.3 استفاده از لینوکس برای 2.4.
مورد نیاز:
· seppl توسعه داده شد و در دبیان گنو / لینوکس "تست" از نوامبر 2003 مورد آزمایش قرار، آن را باید بر روی اکثر توزیعهای لینوکس و یونیکس کار نسخه از آن استفاده می کند GNU Autoconf و GNU libtool برای پیکربندی کد منبع و مدیریت کتابخانه به اشتراک گذاشته.
· seppl نیاز به لینوکس 2.6. {0،1} (منابع پیکربندی نصب) و از iptables 1.2.8 یا جدیدتر.
· کامل مجموعه ابزار لازم است به داشتههای نیاز به پایتون 2.1 یا جدیدتر. مجموعه تکمیل نشده می باشید در C موجود است نیز هست.
نصب و راه اندازی:
از آنجا که این بسته با autotools GNU ساخته شده که شما باید در داخل دایرکتوری توزیع برای پیکربندی درخت منبع اجرا ./configure. بعد از آن شما باید اجرا برای تدوین را و نصب (به عنوان ریشه) برای نصب و راه اندازی seppl.
چه جدید در این نسخه:
· پورت به 2.6 لینوکس، بدون هیچ تغییری دیگر. نسخه 0.4 است و دیگر سازگار با هسته 2.4. نسخه 0.3 استفاده از هسته 2.4، آن است که عملکرد معادل آن.
نظر یافت نشد