seppl

Seppl es a la vez una definición de protocolo y una implementación de software de una nueva capa de cifrado para IPv4. Seppl proyecto hace uso de la criptografía simétrica para cifrar todo el tráfico en una red. Su aplicación está diseñada alrededor de Linux netfilter / iptables.
Seppl introduce dos nuevos objetivos de netfilter: CRIPTA y descifrar. Una regla de firewall puede así ser utilizada para cifrar / descifrar el tráfico de red entrante y saliente. Esto hace Seppl extraordinariamente fácil de usar, ya que no hay demonios tienen que correr para la comunicación segura.
Seppl utiliza el motor de cifrado de la API criptográfica de Linux que está disponible en kernel 2.4.22 y más reciente.
Seppl está destinado principalmente para el cifrado de las redes LAN inalámbricas (como sustituto seguro de la encriptación WEP roto) y las redes Ethernet locales, pero puede ser utilizado para soluciones VPN gran escala también.
El protocolo se basa en Seppl no es compatible con cualquier otro software. El protocolo está abierto y bien definida pero no hay ninguna aplicación aparte de este software de referencia.
¿Por SEPPL, ya hay IPSEC, CIPE, ...?
CIPE puede usarse sólo para conexiones punto a punto. Tiene estructura del túnel y por lo tanto presenta nuevas direcciones IP. Esto no siempre es deseable. Se requiere un daemon de espacio del usuario.
IPSEC / freeswan es extremadamente complicado de usar. Debido a su esquema de enrutamiento extraño que es casi imposible de utilizar junto con los demonios de enrutamiento. IPSEC es peso pesado.
Seppl es verdaderamente peer-to-peer. Cifra a la perfección todo el tráfico saliente y que por lo tanto compatible con los demonios de enrutamiento. Es muy fácil de usar, así, ya que hace que ningún cambio en el comportamiento normal de enrutamiento. Seppl es extremadamente ligero.
La Implementación
La aplicación consta de tres módulos del kernel de Linux: seppl.o, ipt_CRYPT.o y ipt_DECRYPT.o. El primero es el gestor de claves en el núcleo, estos últimos son los dos nuevos objetivos de netfilter. Ambos dependen de seppl.o.
seppl.o debe insertarse en kernel en primer lugar. El gestor de claves se puede acceder con el archivo / proc / net / seppl_keyring. Contiene datos claves binarias, y está inicialmente vacía. Puede añadir una nueva clave escribiéndola a ese archivo.
Los dos scripts de Python Seppl-ls y Seppl-gen-Key me usarse para la gestión de claves. Seppl-ls se pueden usar para la conversión de claves Seppl entre el formato binario utilizado por / proc / net / seppl_keyring y un formato XML legible por humanos basada. Simplemente llame Seppl-ls para obtener una lista de todas las claves activas actualmente. Seppl-gen-key genera una nueva clave de / dev / urandom. Por defecto se utilizará el formato XML. Las fuerzas de parámetro -x modo binario. Usted puede generar y activar dos teclas "linus" y "alan" mediante la emisión de las siguientes líneas de comandos:
Seppl-gen-clave -n linus -x> / proc / net / seppl_keyring
Seppl-gen-clave -n alan -x> / proc / net / seppl_keyring
Seppl-ls sin argumentos muestra las nuevas claves guardadas en el llavero del kernel. Es posible eliminar todas las claves (en la actualidad no utilizados) mediante la emisión:
eco claro> / proc / net / seppl_keyring
Desde Seppl se basa en la criptografía simétrica utilizando claves compartidas tienes que copiar llaves recién generados para cada host que desea conectarse a su infraestructura Seppl. (Preferiblemente a través de SSH o cualquier otra transferencia de archivos segura) Usted recibe una copia binaria de su archivo de claves actual mediante la emisión:
cat / proc / net / seppl_keyring> keyring.save
Ahora copie ese archivo keyring.save a todos los demás hosts y emita el siguiente comando ahí:
keyring.save cat> / proc / net / seppl_keyring
Eso es simple, ¿no?
Después de hacer lo que es posible configurar la configuracion de firewall en cada host:
iptables -t mangle -A POSTROUTING -o linus eth0 -j CRIPTA --key
iptables -t mangle -A PREROUTING -i eth0 -j DECRYPT
Esto cifrar todo el tráfico saliente en eth0 con el "linus" clave. Todo el tráfico entrante se descifra con cualquiera "Linus" o "Alan", dependiendo de el nombre de clave especificado en el paquete de red específico. Los paquetes entrantes sin cifrar se cayeron en silencio. Usar
iptables -t mangle -A PREROUTING -p 177 -i eth0 -j DECRYPT
por permitir el tráfico entrante tanto encriptado y sin encriptar.
Eso es todo. Ya terminaste. Todo el tráfico de la subred local ahora está encriptada con Seppl.
El sistema de cifrado por defecto es AES-128. Si no especifica el nombre de los valores predeterminados de TI clave utilizadas a "def".
Se proporciona un /etc/init.d/seppl guión de inicio SysV. Se carga los módulos del kernel de Seppl y escribir todas las claves del directorio / etc / Seppl para el llavero del kernel. No va a añadir cualquier regla de firewall, sin embargo.
Problemas de desempeño
Los paquetes de red se aumentan de tamaño cuando están encriptados, ya que dos nuevas cabeceras y se añaden el IV. (36 bytes en promedio) Este conflictos de alguna manera con el manejo de MTU del kernel de Linux y los resultados en tener todos los paquetes grandes (es decir: tamaño del paquete cerca de MTU) fragmentados en uno grande y otro paquete muy pequeño. Esto perjudicará el rendimiento de la red. Un trabajo en torno a esta limitación está utilizando el objetivo TCPMSS de netfilter para ajustar el valor de MSS en la cabecera TCP para valores más pequeños. Esto aumentará perfomance de TCP, ya que los paquetes TCP del tamaño de la MTU ya no se generan. Por lo tanto no se necesita fragmentación. Sin embargo, TCPMSS es específico TCP, no va a ayudar en UDP u otros protocolos IP.
Agregue la siguiente línea antes de cifrado para la configuración de su firewall:
iptables -t mangle tcp --tcp-banderas -A POSTROUTING -p SYN, RST SYN -o eth0 -j TCPMSS --set-mss $ ((1500-40-8-16-6-15))
El Protocolo
Para el cifrado se toma todos los paquetes sin cifrar sola y se convierte en un ser encriptado. Ni un solo paquete es más nunca envió.
   Original contraparte SEPPL
+ ------------ + + ----------------------- +
| IP-Header | | Modificado IP-Header | |
+ ------------ + + ----------------------- + |
| Carga | | SEPPL-Header |> sin cifrar
+ ------------ + + ----------------------- + |
                            | Vector de inicialización | |
                            + ----------------------- + /
                            | SEPPL-Header |
                            + ----------------------- + | Encriptado
                            | Carga | |
                            + ----------------------- + /
La cabecera IP original se mantiene la medida de lo posible. Sólo tres campos se sustituyen con nuevos valores. El número de protocolo se establece en 177, el offset fragmento se establece en 0 y la longitud total se corrige a la nueva longitud. Todos los demás campos se mantienen tal cual, incluyendo opciones IP.
La cabecera Seppl sin cifrar consiste en un número de cifrado de un byte y un nombre de clave. Actualmente sólo 0 y 1 se definen como números de cifrado de AES con clave de 128 bits, respectivamente. AES con clave de 192bit. El nombre de la clave (7 bytes) puede utilizarse para seleccionar una tecla específica en un llavero más grande.
El IV se utiliza para CBC codificación del cifrado utilizado. Se diferencia de paquete a paquete, pero no se genera aleatoriamente. Debido a razones de Desempeño, sólo el IV inicial en el inicio del sistema es aleatorio, todas las siguientes IVs se generan mediante el incremento de los anteriores.
La cabecera Seppl encriptado consta de tres campos guardados de la cabecera IP original (número de protocolo, offset fragmento, longitud total) y un byte que es siempre 0 para detectar claves inigualables.
La carga útil es la Carga útil IP original, desde el TCP / UDP / otra cabecera hasta el final.
Limitaciones:
· Seppl interfiere con el seguimiento de conexiones de netfilter de alguna manera. Por lo tanto usted no será capaz de utilizar NAT junto con Seppl. Si utiliza el seguimiento de conexiones de alguna otra manera, junto con Seppl su kilometraje puede variar.
· Seppl se prueba con Linux 2.6.1. Utilice la versión 0.3 para Linux 2.4.
Requisitos:
· Seppl fue desarrollado y probado en "testing" de Debian GNU / Linux desde noviembre de 2003, que debería funcionar en la mayoría de las otras distribuciones de Linux y las versiones de Unix, ya que utiliza Autoconf de GNU y GNU libtool para la configuración del código fuente y la gestión de la biblioteca compartida.
· Seppl requiere Linux 2.6. {0,1} (fuentes configuradas instalados) y iptables 1.2.8 o posterior.
· El conjunto de herramientas de espacio de usuario completo requiere Python 2.1 o más reciente. Un conjunto simplificada en C está disponible también.
Instalación:
Como este paquete se hace con las GNU autotools debe ejecutar ./configure en el directorio de distribución para la configuración del árbol de origen. Después de que se debe ejecutar make para la compilación y make install (como root) para la instalación de Seppl.
¿Qué hay de nuevo en esta versión:
· Puerto para Linux 2.6, no hay otros cambios. Versión 0.4 ya no es compatible con el kernel 2.4. Utilice la versión 0.3 de kernel 2.4, que es funcionalmente equivalente.