Yavipind är en säker tunnel alias två peers säkert vidarebefordra paket mot varandra. Den vidarebefordrar alla typer av paket (IPv4, IPv6 eller annat) sänds över virtuell punkt-till-punkt-enhet (t.ex. tun0). Den går helt i linux rymden.
yavipin har skrivits eftersom jag var inte nöjd med de befintliga alternativen. Jag publicerade några säkerhetshål jag vet i alternativ för att uppmärksamma användare och hjälpa dem att göra en kunnig val:
Säkerhetsanalys av VTun: Denna text är en säkerhetsanalys av VTun. Den innehåller en beskrivning av den säkerhet som grundar sig på källan och listar eventuella angrepp. En angripare kan ändra paket, spela upp dem, lära sig mönstret i klartext eller lätt gissa låg entropi lösenord.
Säkerhetsbrister i tinc: Denna text beskriver säkerhetsbrister i tinc. Den innehåller en beskrivning av säkerheten och listar eventuella angrepp. En angripare kan ändra paket, spela upp dem och lära sig mönstret i klartext.
Vid utformningen protokollet och writting programvaran använde författaren följande kriterier: säkerhet måste så stark som rimligen är möjligt, yavipin BÖR vara nätverk effektivt, lätt att använda och installera.
Nätverkseffektivitet:
litet paket overhead: 26bytes (t.ex. ESP med DES + MD5 är 32byte)
Paketkompressions: överlämnat paket kan komprimeras med deflate (gzip). (WORK: lägg stat om effektivitet)
NAT-kompatibel: yavipin tunnel kan fastställa över NAT som alla paket i en tunnel sänds över en enda UDP / IPv4-anslutning. Dessutom peer unreachability upptäckt regelbundet skicka paket som förhindrar NAT motorn från tids ut anslutningsstatus.
Peer unreachabilty detektering: Om den andra inbördes blir onåbar, kommer det att detekteras. Det görs ala IPv6 grannar upptäckt (rfc2461.7).
Grace avstängning: Om en peer avsiktligt stannar, kommer den att underrätta den andra som är omedelbart medvetna om det.
Användning enkelhet:
det fungerar i användarrymden och du behöver inte kompilera kärnan
återanvända befintliga verktyg: Som yavipin använda en virtuell enhet, är det möjligt att ansöka till tunneln något verktyg för nätverksenhet. Till exempel är det möjligt att sätta upp en brandvägg med hjälp av ipchains / netfilter eller att göra trafik shapping använder kärnans trafikkontroll (se tc).
Säkerhet styrka:
paket säkerhet: varje paket som utbyts under anslutningen är krypterad med Blowfish CFB och bestyrkas med HMAC-MD5 96bits.
skydd mot paket repris: Den använder en strikt anti-replay och inget paket kan godtas två gånger. En eavedropper kan inte ta ett paket, hålla det för ett tag och göra det accepterar en andra gång av destinationen.
Effektiv sessionsnyckel förnyelse: Den använder hash kedjor för effektivitet. Det möjliggör mjuk nyckel övergång inte orsaka någon paketförlust under förnyelse. Det ger framåt sekretess inne anslutningen.
Skydda DoS ala TCP SYN: Den använder cookies utbyte (rfc2522.3) under anslutnings sammanställning.
Framåt sekretess: Även om angriparen sprickor lådan, kommer han inte att kunna dekryptera nätverkstrafik äldre än en viss fördröjning (standard 10min). Diffie-Hellman privata nyckel och sessionsnyckeln regelbundet förnyas och säkert raderas från minnet.
Kommentarer hittades inte