fwknop

fwknop significa el "Firewall Knock operador", y pone en práctica un régimen de autorización en torno Netfilter y libpcap que requiere sólo un único paquete cifrado con el fin de comunicarse varias piezas de información, incluido el acceso deseado a través de una política de Netfilter y / o comandos completos para ejecutar en el sistema de destino.
Al utilizar Netfilter para mantener una postura "drop default", la aplicación principal de este programa es proteger servicios como OpenSSH con una capa adicional de seguridad a fin de hacer la explotación de vulnerabilidades (ambos 0 días y código sin parchear) mucho más difícil.
El servidor de autorización monitorea pasivamente paquetes de autorización a través libcap y por lo tanto no hay un "servidor" al que conectarse en el sentido tradicional . El acceso a un servicio protegido sólo se concede después de un paquete encriptado y no repetido válida es monitoreado.
Este método es similar al esquema único paquete de autorización propuesto por Nomad simple y la gente en NMRC

fwknop proyecto fue también la primera herramienta para combinar puerto cifrado tradicional golpeando con OS fingerprinting pasivo. Esto hace que sea posible hacer cosas como sólo permiten, por ejemplo, Linux-2.4 / 2.6 sistemas para conectarse a su demonio SSH

¿Qué hay de nuevo en esta versión:.

• (Radostan Riedel) añadida una política AppArmor para fwknopd que se sabe que funciona en sistemas Debian y Ubuntu. El archivo de directiva está disponible en extras / apparmor / release / fwknopd.
• [libfko] Nikolay Kolev informó de un problema de compilación con Mac OS X Mavericks en que las copias fwknop locales de strlcat () y strlcpy () estaban en conflicto con los que ya se incluyen con OS X 10.9. Cierra # 108 en github.
• [libfko] contexto (Franck Joncourt) Consolidado FKO función vertido en lib / fko_util.c. Además de añadir una función de utilidad compartida para la impresión de un contexto FKO, este cambio también hace que la salida contexto FKO poco más fácil de analizar mediante la impresión de cada atributo FKO en una sola línea (este cambio afecta a la impresión de los datos del paquete SPA final). El conjunto de pruebas se ha actualizado para dar cuenta de este cambio también.
• [libfko] Corrección de errores que no intenten hacer SPA descifrado paquete con GnuPG sin un objeto FKO con encryption_mode establecido en FKO_ENC_MODE_ASYMMETRIC. Este error fue sorprendido con la validación valgrind contra la extensión FKO perl junto con el conjunto de paquetes de fuzzing SPA en test / fuzzing / fuzzing_spa_packets. Tenga en cuenta que este error no puede ser activado a través de fwknopd porque controles adicionales se hacen dentro de fwknopd sí para forzar FKO_ENC_MODE_ASYMMETRIC siempre que una estrofa access.conf contiene información clave GPG. Esta corrección fortalece libfko sí para exigir independientemente de que el uso de objetos FKO sin GPG información clave no se traduce en operaciones de descifrado GPG intentados. De ahí que esta corrección se aplica sobre todo a la tercera parte del uso libfko
• es decir. instalaciones stock de fwknopd no se ven afectados. Como siempre, se recomienda utilizar el cifrado HMAC autenticado siempre que sea posible, incluso para los modos GPG ya que también ofrece una solución alternativa incluso para libfko antes de esta revisión.
• [Android] (Gerry Reno) Actualizado el cliente de Android para que sea compatible con Android-4.4.
• Soporte [Android] Añadido HMAC (actualmente opcional).
• [servidor] Actualización pcap_dispatch () paquete por defecto contar de cero a 100. Este cambio se hizo para asegurar la compatibilidad con las versiones anteriores de libpcap por la página de manual pcap_dispatch (), y también porque algunos de un informe de Les Aker de un accidente inesperado en Arch Linux con libpcap-1.5.1 que se fija por este cambio (cierra # 110).
• [servidor] Corrección de errores de modos NAT SPA en iptables firewalls para garantizar que la costumbre fwknop cadenas se vuelven a crear si se eliminan de debajo de la marcha fwknopd ejemplo.
• [servidor] Añadido FORCE_SNAT al archivo access.conf para que estrofa por acceso SNAT criterios se pueden especificar para acceder SPA.
• [conjunto de pruebas] añadió --gdb-test para que el comando fwknop o fwknopd ejecutado anteriormente que se enviará a través de gdb con los mismos argumentos de línea de comandos como el conjunto de pruebas utilizado. Esto es para la conveniencia de permitir rápidamente gdb que se lanzará al investigar problemas fwknop / fwknopd.
• [cliente] (Franck Joncourt) Añadido --stanza-lista de argumentos para mostrar los nombres estrofa de ~ / .fwknoprc.
• [libfko] (Hank Leininger) Contribuido un parche para extender enormemente libfko descripciones de los códigos de error en varios lugares con el fin de dar una información mucho mejor de lo que significan ciertas condiciones de error. Cierra # 98.
• [conjunto de pruebas] Añadida la capacidad de ejecutar módulos FKO perl pruebas incorporadas en el directorio debajo del módulo CPAN Test :: Valgrind t /. Esto permite que los controles de memoria valgrind que se aplicarán a libfko funciones a través del módulo de perl FKO (y por tanto de prototipado rápido se pueden combinar con la detección de fugas de memoria). Se realiza una comprobación para ver si el módulo Test :: Valgrind se ha instalado, y también se requiere --enable-valgrind (o --enable-all) en la línea de comandos test-fwknop.pl.

¿Cuál es nuevo en la versión 2.5.1:

• Una corrección de errores en el cliente fwknop para restablecer los ajustes de terminal a orignal valores después de introducir las claves a través de la entrada estándar.
• Una corrección de errores en el demonio fwknopd para no imprimir una advertencia archivo existencia PID.
• Un conjunto de pruebas de corrección de errores para no ejecutar una prueba Rijndael HMAC iptables en sistemas no Linux.

¿Qué hay de nuevo en la versión 2.5:

• Esta versión añade soporte para HMAC SHA-256 de cifrado autenticado el modelo cifrar entonces a autenticarse.
• Muchos errores descubiertos por el analizador estático Coverity se fijaron.
• Se agregaron las pruebas de compatibilidad de OpenSSL a la serie de pruebas.
• Cliente estrofa ahorro de capacidad se ha añadido para el archivo ~ / .fwknoprc, simplificando el uso del cliente fwknop.
• Se ha añadido la capacidad de generar automáticamente las dos teclas Rijndael y HMAC con --key-gen.

¿Cuál es nuevo en la versión 2.0.4:

• En el lado del servidor, este lanzamiento agrega un chain_exists () para comprobar la creación de reglas SPA para que si alguna de las cadenas fwknop se eliminan de debajo fwknopd, ellos se volverán a crear sobre la marcha.
• Se añade nueva capacidad fuzzing paquete SPA para el conjunto de pruebas para ayudar en la validación de las operaciones de SPA.
• Añade config advenedizo para sistemas que ejecutan el daemon advenedizo.
• Un OpenBSD ndbm / gdbm uso de corrección de errores.
• ICMP tipo / código de argumentos de la línea de comandos del cliente se han añadido para cuando los paquetes se envían a través de SPA ICMP.

¿Qué hay de nuevo en la versión 2.0.3:

• Varios / código de vulnerabilidades de ejecución de denegación de servicio para clientes fwknop maliciosos que logran superar la fase de autenticación (por lo que dichos clientes deben poseer una clave de cifrado válido) hayan sido fijados.
• Permisos y cheques de propiedad se han añadido a todos los archivos que se consumen por el cliente fwknop y el servidor.
• RPM construye han sido fijados por incluyendo los $ (DESTDIR) prefijo para la desinstalación-local y install-exec-gancho etapas en Makefile.am.

¿Qué hay de nuevo en la versión 2.0.2:

• Mejor manejo de GnuPG para el descifrado de paquetes SPA en el lado del servidor (cuentas no hay claves gpg palabra de paso cuando GPG-agente o pinentry son de otra manera requerida).
• Una corrección de errores en el SPA código de detección de repetición de paquetes.
• Una comprobación de la existencia de 'comentario' partido de los iptables cuando el saque se despliega en Linux.
• Varias otras correcciones de errores.

¿Cuál es nuevo en la versión 2.0:.

• Esta es la versión de producción de la reescritura fwknop C
• Trae solo paquete Autorización para tres servidores de seguridad de código abierto diferentes (iptables, ipfw, y pf), sistemas integrados y dispositivos móviles.
• El servidor fwknopd se ejecuta en Linux, Mac OS X, FreeBSD, OpenBSD y.
• El cliente se ejecuta en todas estas plataformas, así como Android, el iPhone, y Cygwin en Windows.
• Además, el cliente es portátil y puede ser compilado como un binario nativo de Windows.

¿Qué hay de nuevo en la versión 2.0 RC5:

• Esta versión añade soporte OpenBSD PF, añade un nuevo FORCE_NAT modo de forzar transparente conexiones autenticadas con sistemas internos especificados, añade una suite completa de los ensayos, y añade la posibilidad de caducar automáticamente las claves de SPA.
• Se hicieron varias correcciones de errores de manejo de memoria.

¿Qué hay de nuevo en la versión 1.9.12:

• El módulo FKO que es parte de la biblioteca libfko fue totalmente integrada para todas las rutinas de SPA:. cifrado / descifrado, digerir cálculo, la detección de ataques de repetición, etc
• Se ha añadido la capacidad de recuperarse de las condiciones de error de la interfaz, como cuando fwknopd huele una interfaz ppp (por ejemplo, asociado a una VPN) que desaparece y luego se recrea.
• El cliente fwknop fue actualizado para incluir el destino SPA antes de la resolución de DNS cuando se envía un paquete de SPA a través de una petición HTTP.