در Yavipind یک تونل امن با نام مستعار 2 هم رده ایمن نقل بسته نسبت به یکدیگر است. این به جلو هر نوع بسته (های IPv4، IPv6 و یا دیگر) فرستاده شده بیش از دستگاه مجازی نقطه به نقطه (به عنوان مثال tun0). این به طور کامل در داشتههای لینوکس اجرا می شود.
yavipin نوشته شده است چون من بود توسط جایگزین موجود راضی نیست. من منتشر برخی از حفره های امنیتی من در گزینه های را به آگاهی به کاربران و کمک به آنها برای انجام یک کالای آگاه می دانم:
تجزیه و تحلیل امنیت VTun: این متن تجزیه و تحلیل امنیت VTun است. این شامل یک شرح امنیتی بر اساس منبع و فهرستی از حملات ممکن است. یک مهاجم می تواند بسته های ویرایش، پخش آنها، الگوی متن ساده یاد بگیرند و یا به راحتی حدس می زنم رمز عبور کم آنتروپی.
نقص امنیتی در tinc: این متن توصیف نقص امنیتی در Tinc. این شامل یک شرح امنیت و فهرستی از حملات ممکن است. یک مهاجم می تواند بسته های ویرایش، پخش آنها و الگوی متن ساده یاد بگیرند.
هنگام طراحی پروتکل و نوشتن نرم افزار، نویسنده از شرایط زیر: امنیت باید به عنوان قوی به عنوان منطقی ممکن است، yavipin باید شبکه کارآمد، آسان برای استفاده و نصب کنید.
کارایی شبکه:
کوچک سربار بسته: 26bytes (به عنوان مثال ESP با DES + MD5 32byte است)
فشرده سازی بسته: بسته های فرستاده شده ممکن است با استفاده از جلوگیری از تورم (از gzip) فشرده. (کار: اضافه آمار در مورد بهره وری)
NAT سازگار: تونل yavipin ممکن است ایجاد بیش از NAT به عنوان تمام بسته از یک تونل بیش از یک اتصال UDP / IPv4 و ارسال می شود. علاوه بر این تشخیص unreachability همکار دوره بسته که جلوگیری از موتور NAT از زمان از دولت اتصال ارسال می کند.
نظیر تشخیص unreachabilty: اگر همکار دیگر قابل دسترسی می شود، از آن خواهد شد شناسایی شده است. این است که به ALA از IPv6 همسایه کشف (rfc2461.7) انجام می شود.
خاموش کردن Gracefull: اگر یک همکار به عمد متوقف می شود، آن است که دیگر اطلاع است که بلافاصله از آن آگاه است.
سادگی استفاده از این:
آن را در کار می کند و لازم است به داشتههای شما لازم نیست به کامپایل مجدد کرنل
استفاده مجدد از ابزار موجود: به عنوان yavipin استفاده از یک دستگاه مجازی، ممکن است به درخواست تونل هر ابزار طراحی شده برای دستگاه شبکه می باشد. به عنوان مثال، ممکن است به راه اندازی یک فایروال با استفاده از ipchains / netfilter و یا به انجام shapping ترافیک با استفاده از کنترل ترافیک هسته (TC را ببینید).
قدرت امنیت:
امنیتی بسته: هر بسته در طول اتصال با استفاده از CFB blowfish رمزگذاری شده است و تصدیق با 96bits HMAC-MD5 رد و بدل.
محافظت در برابر پخش بسته: در این روش از سخت ضد پخش و هیچ بسته را می توان دو برابر پذیرفته شده است. eavedropper می توانید یک بسته را ندارد، نگه داشتن آن در حالی که برای و بار دوم توسط مقصد آن را بپذیرید.
تجدید کلید جلسه کارآمد: در این روش از زنجیره های هش بهره وری. این اجازه می دهد تا انتقال کلیدی صاف به هر علت از دست دادن بسته در طول تجدید نیست. این پنهان کاری رو به جلو در داخل اتصال فراهم می کند.
حفاظت از SYN داس ALA TCP: در این روش از کوکی برای ارز (rfc2522.3) در طول establishement اتصال.
پنهان کاری به جلو: حتی اگر ترک مهاجم جعبه، او قادر نخواهد بود برای رمزگشایی ترافیک شبکه مسن تر از یک تاخیر داده شده (به طور پیش فرض 10min). diffie-هلمن کلید خصوصی و کلید جلسه به صورت دوره ای تازه و ایمن پاک از حافظه است.
نظر یافت نشد