Yavipind

Yavipind เป็นอุโมงค์ที่มีความปลอดภัยหรือที่รู้จักอย่างปลอดภัย 2 เพื่อนส่งแพ็คเก็ตที่มีต่อกัน มันส่งต่อชนิดของแพ็คเก็ตใด ๆ (IPv4, IPv6 หรืออื่น ๆ ) ที่ส่งผ่านอุปกรณ์จุดหนึ่งไปยังจุดเสมือน (เช่น tun0) ก็พร้อมทำงานในลินุกซ์ userspace
yavipin ได้รับการเขียนเพราะผมก็ไม่พอใจโดยทางเลือกที่มีอยู่ ฉันตีพิมพ์บางช่องโหว่ฉันรู้ว่าในทางเลือกในการสร้างความตระหนักให้ผู้ใช้และช่วยให้พวกเขาทำ choise ความรู้:
    การวิเคราะห์การรักษาความปลอดภัยของ VTun: ข้อความนี้คือการวิเคราะห์ความปลอดภัยของ VTun ซึ่งจะรวมถึงรายละเอียดของการรักษาความปลอดภัยขึ้นอยู่กับแหล่งที่มาและแสดงการโจมตีที่เป็นไปได้ โจมตีสามารถปรับเปลี่ยนแพ็คเก็ต, เล่นพวกเขาได้เรียนรู้รูปแบบของข้อความธรรมดาหรือเดารหัสผ่านได้อย่างง่ายดายต่ำเอนโทรปี
    ข้อบกพร่องในการรักษาความปลอดภัย Tinc: ข้อความนี้จะอธิบายถึงข้อบกพร่องในการรักษาความปลอดภัย Tinc ซึ่งจะรวมถึงรายละเอียดของการรักษาความปลอดภัยและการแสดงการโจมตีที่เป็นไปได้ โจมตีสามารถปรับเปลี่ยนแพ็คเก็ต, พวกเขาเล่นและเรียนรู้รูปแบบของข้อความธรรมดา
เมื่อมีการออกแบบโปรโตคอลและการเขียนซอฟแวร์ที่ผู้เขียนใช้เก​​ณฑ์ต่อไปนี้: การรักษาความปลอดภัยจะต้องเป็นที่แข็งแกร่งเป็นไปได้พอสมควร yavipin ควรจะเป็นเครือข่ายที่มีประสิทธิภาพและใช้งานง่ายและติดตั้ง
ประสิทธิภาพเครือข่าย:
    ค่าใช้จ่ายในแพ็คเก็ตขนาดเล็ก: 26bytes (เช่น ESP กับ DES + MD5 เป็น 32byte)
    การบีบอัดแพ็คเก็ต: ส่งต่อแพ็คเก็ตอาจจะถูกบีบอัดโดยใช้ยุบ (gzip) (การทำงาน: เพิ่มสถิติเกี่ยวกับประสิทธิภาพ)
    NAT เข้ากันได้: อุโมงค์ yavipin อาจจะสร้างมากกว่า NAT เป็นแพ็คเก็ตทั้งหมดของอุโมงค์จะถูกส่งผ่านการเชื่อมต่อ UDP เดียว / IPv4 นอกจากนี้การตรวจสอบเพียร์ unreachability ระยะส่งแพ็กเก็ตซึ่งป้องกันไม่ให้เครื่องยนต์ NAT จากเวลาสอบสถานะการเชื่อมต่อ
    Peer การตรวจสอบ unreachabilty: ถ้ากลายเป็นเพียร์อื่น ๆ ที่เข้าไม่ถึงก็จะถูกตรวจพบ จะทำ Ala IPv6 ค้นพบเพื่อนบ้าน (rfc2461.7)
    ปิด gracefull: ถ้าเพียร์จงใจหยุดก็จะแจ้งให้ทราบอีกซึ่งเป็นทันทีตระหนักถึงมัน
ความเรียบง่ายในการใช้งานของ:
    การทำงานใน userspace และคุณไม่จำเป็นต้องคอมไพล์เคอร์เนล
    นำมาใช้เครื่องมือที่มีอยู่: เป็น yavipin ใช้อุปกรณ์เสมือนมันเป็นไปได้ที่จะนำไปใช้กับอุโมงค์เครื่องมือใด ๆ ที่ออกแบบมาสำหรับอุปกรณ์เครือข่าย ยกตัวอย่างเช่นมันเป็นไปได้ในการตั้งค่าไฟร์วอลล์ใช้ ipchains / netfilter หรือจะทำ shapping การจราจรโดยใช้การควบคุมการจราจรของเคอร์เนล (ดู TC)
ความแข็งแรงของการรักษาความปลอดภัย
   การรักษาความปลอดภัยแพ็คเก็ต: แต่ละแพ็กเก็ตการแลกเปลี่ยนระหว่างการเชื่อมต่อถูกเข้ารหัสโดยใช้ CFB ปักเป้าและรับรองความถูกต้องกับ 96bits HMAC-MD5
   ป้องกันการรีเพลย์แพ็คเก็ต: มันใช้ป้องกันการเล่นใหม่ที่เข้มงวดและแพ็คเก็ตที่ไม่สามารถได้รับการยอมรับเป็นครั้งที่สอง eavedropper ไม่สามารถใช้แพ็คเก็ตให้มันในขณะที่และทำให้มันยอมรับเป็นครั้งที่สองโดยปลายทาง
เซสชั่นที่มีประสิทธิภาพการต่ออายุสำคัญ: จะใช้เครือข่ายกัญชาอย่างมีประสิทธิภาพ จะช่วยให้การเปลี่ยนแปลงที่สำคัญได้อย่างราบรื่นไม่ก่อให้เกิดการสูญเสียตใด ๆ ในระหว่างการต่ออายุ มันมีความลับภายในการเชื่อมต่อไปข้างหน้า
    ป้องกัน DoS Ala TCP SYN: จะใช้แลกเปลี่ยนคุกกี้ (rfc2522.3) ในระหว่างการ establishement การเชื่อมต่อ
    ความลับไปข้างหน้า: แม้ว่ารอยแตกโจมตีกล่องที่เขาจะไม่สามารถที่จะถอดรหัสเครือข่ายการจราจรล่าช้าเก่ากว่าที่กำหนด (10 นาทีเริ่มต้น) คีย์ส่วนตัว Diffie-Hellman เซสชั่นและที่สำคัญมีการต่ออายุเป็นระยะ ๆ และลบอย่างปลอดภัยจากหน่วยความจำ.