seppl

Seppl merupakan sebuah definisi protokol dan implementasi software dari lapisan enkripsi baru untuk IPv4. Proyek Seppl memanfaatkan kriptografi simetris untuk mengenkripsi seluruh lalu lintas pada jaringan. Pelaksanaannya dirancang di sekitar Linux Netfilter / iptables.
Seppl memperkenalkan dua target Netfilter baru: CRYPT dan mendekripsi. Aturan firewall demikian dapat digunakan untuk mengenkripsi / mendekripsi lalu lintas jaringan yang masuk dan keluar. Hal ini membuat Seppl luar biasa mudah digunakan, karena tidak ada daemon harus dijalankan untuk komunikasi yang aman.
Seppl menggunakan mesin enkripsi dari API Linux kriptografi yang tersedia di kernel 2.4.22 dan yang lebih baru.
Seppl terutama ditujukan untuk mengenkripsi LAN nirkabel (sebagai pengganti aman dari enkripsi WEP yang rusak) dan jaringan ethernet lokal tetapi dapat digunakan untuk solusi VPN skala besar juga.
Protokol Seppl mengandalkan tidak kompatibel dengan perangkat lunak lainnya. Protokol ini terbuka dan didefinisikan dengan baik tetapi tidak ada implementasi lain dari software referensi ini.
Mengapa Seppl, sudah ada IPSEC, CIPE, ...?
CIPE dapat digunakan untuk point-to-point koneksi saja. Memiliki struktur terowongan dan dengan demikian memperkenalkan alamat IP yang baru. Hal ini tidak selalu diinginkan. Hal ini membutuhkan daemon ruang pengguna.
IPSEC / freeswan sangat rumit untuk digunakan. Karena skema routing yang aneh yang hampir tidak mungkin untuk menggunakan bersama-sama dengan daemon routing. IPSEC adalah kelas berat.
Seppl adalah benar-benar peer-to-peer. Ini mengenkripsi mulus semua lalu lintas keluar dan dengan demikian kompatibel dengan daemon routing. Hal ini sangat mudah digunakan juga, karena membuat tidak ada perubahan perilaku routing yang normal. Seppl sangat ringan.
Pelaksanaan
Implementasi terdiri dari tiga modul kernel Linux: seppl.o, ipt_CRYPT.o dan ipt_DECRYPT.o. Yang pertama adalah manajer kunci dalam-kernel, yang terakhir adalah dua target netfilter baru. Kedua tergantung pada seppl.o.
seppl.o harus dimasukkan ke dalam kernel di tempat pertama. Manajer kunci dapat diakses dengan file / proc / net / seppl_keyring. Ini berisi data kunci biner, dan awalnya kosong. Anda dapat menambahkan kunci baru dengan menulis ke file itu.
Kedua skrip Python Seppl-ls dan Seppl-gen-kunci saya digunakan untuk manajemen kunci. Seppl-ls dapat digunakan untuk mengkonversi kunci Seppl antara format biner yang digunakan oleh / proc / net / seppl_keyring dan dibaca format berbasis XML manusia. Cukup hubungi Seppl-ls untuk daftar semua kunci yang sedang aktif. Seppl-gen-key menghasilkan kunci baru dari / dev / urandom. Secara default akan menggunakan format XML. Pasukan parameter -x modus biner. Anda dapat menghasilkan dan mengaktifkan dua kunci "linus" dan "alan" dengan mengeluarkan baris perintah berikut:
Seppl-gen-key n linus -x> / proc / net / seppl_keyring
Seppl-gen-key n alan -x> / proc / net / seppl_keyring
Seppl-ls tanpa argumen daftar kunci baru disimpan dalam keyring kernel. Anda dapat menghapus semua (saat tidak digunakan) kunci dengan menerbitkan:
echo clear> / proc / net / seppl_keyring
Sejak Seppl didasarkan pada kriptografi simetris menggunakan kunci bersama Anda harus menyalin kunci baru dihasilkan untuk setiap host Anda ingin terhubung ke infrastruktur Seppl Anda. (Lebih baik melalui SSH atau transfer file aman lainnya) Anda mendapatkan salinan biner keyring Anda saat ini dengan menerbitkan:
cat / proc / net / seppl_keyring> keyring.save
Sekarang salin file keyring.save ke semua host lain dan mengeluarkan perintah berikut ada:
cat keyring.save> / proc / net / seppl_keyring
Yang sederhana, bukan?
Setelah melakukannya Anda dapat mengkonfigurasi pengaturan firewall Anda pada setiap host:
iptables -t mangle -A POSTROUTING -o eth0 -j CRYPT --key linus
iptables -t mangle -A PREROUTING -i eth0 -j mendekripsi
Ini akan mengenkripsi semua lalu lintas keluar pada eth0 dengan tombol "linus". Semua lalu lintas masuk didekripsi dengan baik "linus" atau "alan", tergantung pada nama kunci ditetapkan dalam paket jaringan tertentu. Paket yang datang tidak terenkripsi yang diam-diam jatuh. Penggunaan
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j mendekripsi
untuk memungkinkan kedua crypted dan tidak terenkripsi lalu lintas masuk.
Itu dia. Kamu sudah selesai. Semua lalu lintas Anda pada subnet lokal kini crypted dengan Seppl.
Cipher default adalah AES-128. Jika Anda tidak menentukan nama yang digunakan default itu kunci "def".
Sebuah SysV init skrip /etc/init.d/seppl disediakan. Ini akan memuat modul kernel Seppl dan menulis semua kunci dari direktori / etc / Seppl ke keyring kernel. Ini tidak akan menambahkan aturan firewall, namun.
Masalah kinerja
Paket jaringan meningkat dalam ukuran ketika mereka crypted, sejak dua header baru dan IV yang ditambahkan. (36 byte dalam rata-rata) ini konflik di beberapa cara dengan manajemen MTU dari kernel Linux dan hasil dalam memiliki semua paket besar (yaitu: ukuran paket di dekat MTU) terfragmentasi dalam satu besar dan satu lagi paket yang sangat kecil. Ini akan merugikan kinerja jaringan. Sebuah karya-sekitar keterbatasan ini menggunakan target TCPMSS dari Netfilter untuk menyesuaikan nilai MSS di header TCP dengan nilai-nilai yang lebih kecil. Hal ini akan meningkatkan kinerja TCP, karena paket TCP dari ukuran MTU yang tidak lagi dihasilkan. Dengan demikian tidak ada fragmentasi diperlukan. Namun, TCPMSS adalah TCP tertentu, tidak akan membantu pada UDP atau protokol IP lainnya.
Tambahkan baris berikut sebelum enkripsi untuk setup firewall Anda:
iptables -t mangle -A POSTROUTING-p tcp --tcp-bendera SYN, RST SYN -o eth0 -j TCPMSS set-mss $ ((1500-40-8-16-6-15))
Protokol
Untuk enkripsi setiap terenkripsi paket tunggal diambil dan diubah menjadi satu crypted. Tidak lagi paket tunggal yang pernah dikirim.
   Seppl rekan asli
+ ------------ + + ----------------------- +
| IP-header | | Modifikasi IP-header | |
+ ------------ + + ----------------------- + |
| Payload | | Seppl-Header |> Unencrypted
+ ------------ + + ----------------------- + |
                            | Initialization Vector | |
                            + ----------------------- + /
                            | Seppl-Header |
                            + ----------------------- + | Crypted
                            | Payload | |
                            + ----------------------- + /
Header IP asli disimpan sejauh mungkin. Hanya tiga bidang diganti dengan nilai-nilai baru. Jumlah protokol diatur ke 177, fragmen offset diatur ke 0 dan total panjang dikoreksi dengan panjang baru. Semua bidang lainnya disimpan sebagaimana adanya, termasuk opsi IP.
The terenkripsi Header Seppl terdiri dari satu byte nomor cipher dan nama kunci. Saat ini hanya 0 dan 1 didefinisikan sebagai nomor sandi untuk AES dengan kunci 128bit, resp. AES dengan kunci 192 bit. Nama kunci (7 byte) dapat digunakan untuk memilih kunci tertentu dalam keyring yang lebih besar.
IV digunakan untuk CBC pengkodean dari cipher digunakan. Ini berbeda dari paket untuk packet, tetapi tidak secara acak. Karena alasan kinerja, hanya IV awal pada sistem startup acak, semua infus berikut dihasilkan oleh incrementing yang sebelumnya.
The crypted Header Seppl terdiri dari tiga bidang disimpan dari header IP asli (nomor protokol, fragmen offset, panjang total) dan byte yang selalu 0 untuk mendeteksi kunci unmatching.
Payload adalah asli IP-playload, dari TCP / UDP / header lain sampai akhir.
Keterbatasan:
· Seppl mengganggu pelacakan koneksi Netfilter di beberapa cara. Dengan demikian Anda tidak akan dapat menggunakan NAT dalam hubungannya dengan Seppl. Jika Anda menggunakan pelacakan koneksi dalam beberapa cara lain bersama-sama dengan Seppl Anda mungkin berbeda.
· Seppl diuji dengan Linux 2.6.1. Gunakan versi 0.3 untuk Linux 2.4.
Persyaratan:
· Seppl dikembangkan dan diuji pada Debian GNU / Linux "pengujian" dari November 2003, harus bekerja pada sebagian besar distribusi Linux lainnya dan versi Unix karena menggunakan GNU autoconf dan GNU libtool untuk konfigurasi kode sumber dan manajemen perpustakaan bersama.
· Seppl membutuhkan Linux 2.6. {0,1} (sumber dikonfigurasi diinstal) dan iptables 1.2.8 atau yang lebih baru.
· The lengkap alat userspace set memerlukan Python 2.1 atau yang lebih baru. Satu set dipreteli di C juga tersedia.
Instalasi:
Seperti paket ini dibuat dengan autotools GNU anda harus menjalankan ./configure dalam direktori distribusi untuk mengkonfigurasi pohon sumber. Setelah itu Anda harus menjalankan membuat kompilasi dan make install (sebagai root) untuk instalasi Seppl.
Apa yang Baru di Release ini:
· Port ke Linux 2.6, tidak ada perubahan lain. Versi 0.4 tidak lagi kompatibel dengan kernel 2.4. Gunakan versi 0.3 untuk kernel 2.4, itu adalah fungsional setara.