fwknop

fwknop ย่อมาจาก "Firewall เคาะ Operator" และดำเนินโครงการที่ได้รับอนุญาตตามรอบ Netfilter และ libpcap ที่ต้องใช้เพียงแพ็คเก็ตที่มีการเข้ารหัสเดียวเพื่อสื่อสารชิ้นส่วนต่างๆของข้อมูลรวมทั้งการเข้าถึงที่ต้องการผ่านนโยบาย Netfilter และ / หรือคำสั่งที่สมบูรณ์ เพื่อรันบนระบบเป้าหมาย.
บริษัท โดยใช้ Netfilter ที่จะรักษา "เริ่มต้นลดลง" ท่าทาง, การประยุกต์ใช้หลักของโปรแกรมนี้คือการปกป้องบริการเช่น OpenSSH กับเพิ่มเติมชั้นของการรักษาความปลอดภัยในการที่จะทำให้ การใช้ประโยชน์จากช่องโหว่ (ทั้ง 0 วันและรหัสยังไม่ได้แก้ไข) ยากมากขึ้น. มา
เซิร์ฟเวอร์อนุญาตอดทนตรวจสอบแพ็กเก็ตการอนุมัติผ่าน libcap และด้วยเหตุนี้ไม่มี "เซิร์ฟเวอร์" เพื่อที่จะเชื่อมต่อในความหมายดั้งเดิม . การเข้าถึงบริการการป้องกันจะได้รับเฉพาะหลังจากที่แพ็คเก็ตที่มีการเข้ารหัสและไม่ซ้ำที่ถูกต้องคือการตรวจสอบ. มา
วิธีนี้จะคล้ายกับการอนุมัติแพกเก็ตเดี่ยวโครงการที่เสนอโดย Nomad ง่ายและ folks ที่ NMRC
โครงการ
fwknop ยังเป็นเครื่องมือแรกที่จะรวมพอร์ตการเข้ารหัสแบบดั้งเดิมเคาะกับลายนิ้วมือ OS เรื่อย ๆ ซึ่งทำให้มันเป็นไปได้ที่จะทำสิ่งที่ต้องการเพียง แต่ช่วยให้การพูด, ลินุกซ์ 2.4 / 2.6 ระบบการเชื่อมต่อกับภูต SSH ของคุณ

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.

• (Radostan Riedel) เพิ่มการนโยบาย AppArmor สำหรับ fwknopd ที่เป็นที่รู้จักกันในการทำงานใน Debian และระบบอูบุนตู แฟ้มนโยบายที่มีอยู่ในความพิเศษ / AppArmor / usr.sbin / fwknopd.
• [libfko] นิโค Kolev รายงานปัญหาสร้างกับ Mac OS X Mavericks ที่สำเนาเฉพาะ fwknop ของ strlcat () และ strlcpy () มีความขัดแย้งกับคนที่มีอยู่แล้วมาพร้อมกับ OS X 10.9 ปิด # 108 เมื่อ GitHub.
• [libfko] (Franck Joncourt) บริบทรวม FKO ทิ้งฟังก์ชั่นเป็น lib / fko_util.c นอกเหนือจากการเพิ่มฟังก์ชั่นยูทิลิตี้ที่ใช้ร่วมกันสำหรับการพิมพ์ FKO บริบทการเปลี่ยนแปลงนี้ยังทำให้การส่งออกบริบท FKO เล็กน้อยง่ายต่อการแยกโดยการพิมพ์แต่ละแอตทริบิวต์ FKO บนบรรทัดเดียว (การเปลี่ยนแปลงนี้ส่งผลกระทบต่อการพิมพ์ของข้อมูลแพ็คเก็ตสปาสุดท้าย) ชุดทดสอบได้รับการปรับปรุงบัญชีสำหรับการเปลี่ยนแปลงนี้เช่นกัน.
• [libfko] แก้ไขข้อบกพร่องที่จะไม่พยายามถอดรหัสแพ็คเก็ตสปากับ GnuPG โดยไม่ต้องวัตถุ FKO กับ encryption_mode ตั้งค่าให้ FKO_ENC_MODE_ASYMMETRIC ข้อผิดพลาดนี้ถูกจับได้กับการตรวจสอบ valgrind กับ Perl ขยาย FKO ร่วมกับชุดของสปาแพ็คเก็ต fuzzing ในการทดสอบ / fuzzing / fuzzing_spa_packets โปรดทราบว่าปัญหานี้จะไม่สามารถเรียกผ่าน fwknopd เพราะตรวจสอบเพิ่มเติมจะทำภายใน fwknopd ตัวเองที่จะบังคับให้ FKO_ENC_MODE_ASYMMETRIC เมื่อใดก็ตามที่ฉันท์ access.conf มีข้อมูลที่สำคัญจีพีจี การแก้ไขนี้เพิ่มความแข็งแกร่ง libfko ตัวเองให้เป็นอิสระจำเป็นต้องให้การใช้งานของวัตถุ FKO โดยไม่ต้องคีย์ข้อมูลจีพีจีไม่ได้ผลในการดำเนินงานจีพีจีพยายามถอดรหัส ดังนั้นการแก้ไขนี้ส่วนใหญ่นำไปใช้กับการใช้งานของบุคคลที่สามของ libfko
• i.e การติดตั้งสต็อกของ fwknopd จะไม่ได้รับผลกระทบ และเช่นเคยก็จะแนะนำให้ใช้การเข้ารหัส HMAC รับรองความถูกต้องเมื่อใดก็ตามที่เป็นไปได้สำหรับโหมดจีพีจีตั้งแต่นี้นอกจากนี้ยังมีงานรอบแม้ libfko ก่อนที่จะมีการแก้ไขนี้.
• [Android] (เจอร์รี่รีโน) ปรับปรุง Android ลูกค้าจะเข้ากันได้กับระบบปฏิบัติการ Android 4.4-.
• [Android] เพิ่มการสนับสนุน HMAC (ตัวเลือกในปัจจุบัน).
• [เซิร์ฟเวอร์] Updated pcap_dispatch () แพ็คเก็ตเริ่มต้นนับจากศูนย์ถึง 100 การเปลี่ยนแปลงนี้ถูกสร้างขึ้นมาเพื่อให้แน่ใจว่าย้อนกลับเข้ากันได้กับรุ่นเก่าของ libpcap ต่อ pcap_dispatch () หน้าคนและยังเป็นเพราะบางส่วนของรายงานจาก Les Aker ของ ความผิดพลาดที่ไม่คาดคิดบน Linux Arch กับ libpcap-1.5.1 ได้รับการแก้ไขจากการเปลี่ยนแปลงนี้ (ปิด # 110).
• [เซิร์ฟเวอร์] แก้ไขข้อผิดพลาดสำหรับสปาโหมด NAT บนไฟร์วอลล์ iptables เพื่อให้แน่ใจว่าที่กำหนดเองที่ fwknop โซ่ถูกสร้างขึ้นใหม่หากพวกเขาได้รับการลบออกมาจากใต้ทำงาน fwknopd เช่น.
• [เซิร์ฟเวอร์] เพิ่ม FORCE_SNAT ไปยังแฟ้ม access.conf เพื่อให้ต่อการเข้าถึงบทเกณฑ์ SNAT สามารถระบุได้สำหรับการเข้าถึงสปา.
• [ชุดทดสอบ] เพิ่ม --gdb การทดสอบเพื่อให้ดำเนินการก่อนหน้านี้ fwknop หรือคำสั่ง fwknopd จะถูกส่งผ่าน gdb กับอาร์กิวเมนต์บรรทัดคำสั่งเช่นเดียวกับชุดทดสอบที่ใช้ นี่คือเพื่อความสะดวกรวดเร็วช่วยให้ gdb ที่จะเปิดตัวเมื่อตรวจสอบปัญหา fwknop / fwknopd.
• [ลูกค้า] (Franck Joncourt) เพิ่มการโต้แย้ง --stanza รายการเพื่อให้แสดงชื่อฉันท์จาก ~ / .fwknoprc.
• [libfko] (แฮงค์ Leininger) มีส่วนแพทช์เพื่อช่วยขยายรายละเอียดรหัสข้อผิดพลาด libfko ในสถานที่ต่าง ๆ เพื่อที่จะให้ข้อมูลที่ดีมากกับสิ่งที่เงื่อนไขข้อผิดพลาดบางอย่างที่มีความหมาย ปิด # 98.
• [ทดสอบชุด] เพิ่มความสามารถในการเรียกใช้โมดูล Perl FKO การทดสอบในตัวในตัน / ไดเรกทอรีภายใต้การทดสอบ CPAN :: Valgrind โมดูล นี้จะช่วยให้การตรวจสอบหน่วยความจำ valgrind ที่จะนำไปใช้กับฟังก์ชั่นผ่านทาง libfko Perl โมดูล FKO (และสร้างต้นแบบอย่างรวดเร็วด้วยเหตุนี้สามารถใช้ร่วมกับการตรวจสอบการรั่วไหลของหน่วยความจำ) การตรวจสอบจะทำเพื่อดูว่าการทดสอบ :: โมดูล Valgrind ได้รับการติดตั้งและ --enable-valgrind ถูกต้อง (หรือ --enable ทั้งหมด) ในบรรทัดคำสั่ง test-fwknop.pl.

มีอะไรใหม่ ในรุ่น 2.5.1:

• bugfix ในลูกค้า fwknop เพื่อรีเซ็ตการตั้งค่าขั้ว เพื่อ orignal ค่าหลังจากที่เข้ามาผ่านทางปุ่ม stdin.
• bugfix ในภูต fwknopd จะไม่พิมพ์การดำรงอยู่ของไฟล์ PID เตือน.
• ชุดทดสอบ bugfix จะไม่ทำงานทดสอบ iptables Rijndael HMAC บนระบบที่ไม่ใช่ลินุกซ์.

มีอะไรใหม่ ในรุ่น 2.5:

• รุ่นนี้เพิ่มการสนับสนุนสำหรับ HMAC SHA-256 รับรองความถูกต้องในการเข้ารหัส รูปแบบการเข้ารหัสแล้วรับรองความถูกต้อง.
• ข้อบกพร่องหลายคนค้นพบโดยการวิเคราะห์ Coverity คงได้รับการแก้ไข.
• OpenSSL ทดสอบความเข้ากันได้ถูกเพิ่มเข้าไปในชุดทดสอบ.
• ไคลเอนต์ความสามารถในการประหยัดฉันท์ถูกเพิ่มเข้ามาสำหรับ ~ / ไฟล์ .fwknoprc ง่ายการใช้งานของลูกค้า fwknop.
• ความสามารถในการสร้างโดยอัตโนมัติทั้งคีย์ Rijndael และ HMAC กับ --key-Gen ถูกเพิ่มเข้ามา.

มีอะไรใหม่ ในรุ่น 2.0.4:

• บนฝั่งเซิร์ฟเวอร์รุ่นนี้เพิ่ม chain_exists () ตรวจสอบเพื่อสร้างกฎปาเพื่อที่ว่าถ้าใด ๆ ของโซ่ fwknop จะถูกลบออกมาจากใต้ fwknopd พวกเขาจะถูกสร้างขึ้นในทันที.
• จะเพิ่มแพ็คเก็ตสปาใหม่ความสามารถในการที่จะ fuzzing ชุดทดสอบเพื่อช่วยในการตรวจสอบการดำเนินงานของสปา.
• จะเพิ่มการตั้งค่าพุ่งพรวดสำหรับระบบที่ใช้ภูตพุ่งพรวด.
• OpenBSD ndbm / การใช้งาน GDBM bugfix.
• ICMP ประเภท / รหัสอาร์กิวเมนต์บรรทัดคำสั่งของลูกค้าได้รับการเพิ่มเมื่อแพ็คเก็ตสปาจะถูกส่งผ่าน ICMP.

มีอะไรใหม่ ในรุ่น 2.0.3:

• หลาย DoS / รหัสช่องโหว่การดำเนินการสำหรับลูกค้า fwknop ที่เป็นอันตราย ที่จัดการเพื่อให้ได้ผ่านขั้นตอนการตรวจสอบ (เพื่อให้ลูกค้าดังกล่าวจะต้องมีคีย์การเข้ารหัสที่ถูกต้อง) ได้รับการแก้ไข.
• การอนุญาตและการตรวจสอบความเป็นเจ้าของได้รับการเพิ่มไฟล์ทั้งหมดที่บริโภคโดยลูกค้า fwknop และเซิร์ฟเวอร์.
• RPM สร้างได้รับการแก้ไขโดยรวม $ (DESTDIR) คำนำหน้าสำหรับถอนการติดตั้งท้องถิ่นและติดตั้ง-exec เบ็ดขั้นตอนในการ Makefile.am.

มีอะไรใหม่ ในรุ่น 2.0.2:

• การจัดการที่ดีขึ้นของ GnuPG สำหรับการถอดรหัสแพ็คเก็ตสปา ฝั่งเซิร์ฟเวอร์ (บัญชีสำหรับคีย์ gpg วลีรหัสผ่านเมื่อ gpg ตัวแทนหรือ pinentry มีความจำเป็นเป็นอย่างอื่น).
• bugfix ในแพ็คเก็ตรหัสการตรวจสอบรีเพลย์สปา.
• การตรวจสอบสำหรับการดำรงอยู่ของ 'ความคิดเห็น' iptables แข่งขันเมื่อให้บริการจะใช้งานบน Linux.
• bugfixes อื่น ๆ อีกหลาย.

มีอะไรใหม่ ในรุ่น 2.0:.

• นี้เป็นรุ่นการผลิตของ fwknop C เขียน
• มันนำมาซึ่งการอนุมัติแพกเก็ตเดี่ยวสามไฟร์วอลล์ที่มาเปิดที่แตกต่างกัน (iptables, ipfw และ pF), ระบบฝังตัวและอุปกรณ์มือถือ.
• เซิร์ฟเวอร์ fwknopd ทำงานบนลินุกซ์, Mac OS X, FreeBSD และ OpenBSD.
• ลูกค้าทำงานบนแพลตฟอร์มเหล่านี้เช่นเดียวกับ Android, iPhone และ Cygwin ภายใต้ Windows.
• นอกจากนี้ลูกค้าเป็นแบบพกพาและสามารถนำมารวบรวมเป็นไบนารีของ Windows พื้นเมือง.

มีอะไรใหม่ ในรุ่น 2.0 RC5:

• รุ่นนี้เพิ่มการสนับสนุน OpenBSD PF เพิ่ม FORCE_NAT ใหม่ โหมดโปร่งใสบังคับเชื่อมต่อรับรองความถูกต้องเพื่อระบุระบบภายในเพิ่มชุดทดสอบที่ครอบคลุมและเพิ่มความสามารถในการจะหมดอายุโดยอัตโนมัติปุ่มสปา.
• การจัดการหน่วยความจำหลาย bugfixes ได้ทำ.

มีอะไรใหม่ ในรุ่น 1.9.12:

• โมดูล FKO ที่เป็นส่วนหนึ่งของห้องสมุด libfko ถูกครบวงจรสำหรับทุกขั้นตอนการสปา. การเข้ารหัส / ถอดรหัสคำนวณย่อยตรวจหาการโจมตีรีเพลย์ ฯลฯ
• ความสามารถในการกู้คืนจากเงื่อนไขข้อผิดพลาดอินเตอร์เฟซที่ถูกเพิ่มเข้ามาเช่นเมื่อ fwknopd sniffs อินเตอร์เฟซ PPP (พูดเกี่ยวข้องกับ VPN) ที่ออกไปแล้วจะสร้าง.
• ลูกค้า fwknop ได้รับการปรับปรุงให้มีสถานที่ท่องเที่ยวที่สปาก่อนที่จะแก้ปัญหา DNS เมื่อส่งแพ็คเก็ตสปามากกว่าการร้องขอ HTTP.