seppl একটি প্রোটোকল সংজ্ঞা এবং IPv4 জন্য একটি নতুন এনক্রিপশন স্তর একটি সফটওয়্যার বাস্তবায়ন উভয়. seppl প্রকল্প একটি নেটওয়ার্কে পুরো ট্রাফিক এনক্রিপ্ট জন্য প্রতিসম ক্রিপ্টোগ্রাফি ব্যবহার করে. তার বাস্তবায়ন লিনাক্স netfilter 'র / iptables- র কাছাকাছি ডিজাইন করা হয়.
ক্রিপ্ট ও ডিক্রিপ্ট: seppl দুটি নতুন netfilter 'র লক্ষ্যমাত্রা প্রবর্তন করে. একটি ফায়ারওয়াল নিয়ম এইভাবে / এনক্রিপ্ট অন্তর্মুখী ও বহির্মুখী নেটওয়ার্ক ট্রাফিক ডিক্রিপ্ট জন্য ব্যবহার করা যেতে পারে. কোন ডেমনের নিরাপদ যোগাযোগের জন্য চালানোর প্রয়োজন থেকে এই ব্যবহার করা seppl খুব সহজ করে তোলে.
seppl কার্নেল 2.4.22 এবং নতুন পাওয়া যায় যা লিনাক্স ক্রিপ্টোগ্রাফিক API- এর এনক্রিপশন ইঞ্জিন ব্যবহার করে.
seppl প্রাথমিকভাবে এবং স্থানীয় ইথারনেট নেটওয়ার্ক (ভাঙা WEP এনক্রিপশন সুরক্ষিত বদলি হিসেবে) ওয়ারলেস LANs এনক্রিপ্ট জন্য দেয়ার উদ্দেশ্যে করা হচ্ছে কিন্তু পাশাপাশি প্রচুর পরিমাণে তথ্য VPN সমাধানের জন্য ব্যবহার করা যেতে পারে.
প্রোটোকল seppl উপর নির্ভর অন্য কোন সফটওয়্যার সাথে সামঞ্জস্যপূর্ণ নয়. প্রোটোকল খোলা এবং ভালভাবে সংজ্ঞায়িত কিন্তু এই রেফারেন্স সফ্টওয়্যার ছাড়া অন্য কোন বাস্তবায়ন নেই.
কেন SEPPL, আছে ইতিমধ্যে IP সেক, CIPE, ...?
CIPE পয়েন্ট-টু-পয়েন্ট সংযোগ শুধুমাত্র জন্য ব্যবহার করা যেতে পারে. এটা সুড়ঙ্গ গঠন করা হয়েছে এবং এইভাবে নতুন আইপি ঠিকানা প্রবর্তন করে. এই সর্বদা আকাঙ্খিত নয়. এটি একটি ব্যবহারকারী স্থান ডেমন প্রয়োজন.
IP সেক / FreeSwan অত্যন্ত ব্যবহার করা জটিল হয়ে পড়েছে. বেশ কিছুটা অদ্ভুত রাউটিং প্রকল্প এটি রাউটিং ডেমনের সঙ্গে একত্রে ব্যবহার প্রায় অসম্ভব. IP সেক হেভিওয়েট হয়.
seppl truely পিয়ার টু পিয়ার. এটা অঙ্গীভূতভাবে সকল বহির্মুখী ট্রাফিক এনক্রিপ্ট করে এবং রাউটিং ডেমনের সাথে এইভাবে সামঞ্জস্যপূর্ণ. এটা স্বাভাবিক রাউটিং আচরণ কোন পরিবর্তন করে তোলে হিসাবে ভাল ব্যবহার করার জন্য অত্যন্ত সহজ. seppl অত্যন্ত লাইটওয়েট.
বাস্তবায়ন
seppl.o, ipt_CRYPT.o এবং ipt_DECRYPT.o: বাস্তবায়ন তিনটি লিনাক্স কার্নেল মডিউল নিয়ে গঠিত. সাবেক আধুনিক দুটি নতুন netfilter 'র লক্ষ্যমাত্রা, কার্নেলের মধ্যে কী পরিচালন ব্যবস্থা. উভয় seppl.o উপর নির্ভর করে.
seppl.o প্রথম স্থানে কার্নেল প্রবেশ করাতে হবে. কী ফাইল ম্যানেজার / proc / নেট / seppl_keyring সঙ্গে ব্যবহার করা যেতে পারে. এটা বাইনারি কী তথ্য রয়েছে, এবং প্রাথমিকভাবে খালি. আপনি যে ফাইল লিখে একটি নতুন কী যোগ করতে পারেন.
দুই Python স্ক্রিপ্ট seppl-LS এবং আমার কী পরিচালনার জন্য ব্যবহার করা যেতে seppl-জনক কী. seppl-LS / proc / নেট / seppl_keyring এবং একটি মানুষের পাঠযোগ্য XML কেন্দ্রীক ফর্ম্যাট ব্যবহৃত বাইনারি বিন্যাসে মধ্যে seppl কি রূপান্তরের জন্য ব্যবহার করা যেতে পারে. শুধু সব বর্তমানে সক্রিয় কি একটি তালিকা জন্য seppl-LS কল. seppl-জনক কী আপনার / dev / urandom থেকে একটি নতুন কী জেনারেট করে. ডিফল্টরূপে এটি XML বিন্যাসে ব্যবহার করা হবে. পরামিতি -x বাহিনী বাইনারি মোড. আপনি জেনারেট এবং দুই নির্দেশক "লিনাস" এবং নিচের কমান্ড লাইন জারি করে "অ্যালেন" সক্রিয় করতে পারেন:
seppl-জনক কী -n লিনাস -x> / proc / নেট / seppl_keyring
অ্যালেন -x> / proc / নেট / seppl_keyring -n seppl-জনক কী
যুক্তি ছাড়া seppl-LS কার্নেল কিরিঙ সংরক্ষিত নতুন কী তালিকাভূক্ত করে. আপনি জারি করে সব (বর্তমানে অব্যবহৃত) কি মুছে ফেলতে পারেন:
পরিষ্কার> / proc / নেট / seppl_keyring প্রতিধ্বনি
Seppl ভাগ চিহ্ন ব্যবহার করে প্রতিসম ক্রিপ্টোগ্রাফি উপর ভিত্তি করে আপনি আপনার seppl পরিকাঠামো সংযোগ করতে ইচ্ছুক প্রত্যেক হোস্ট নতুন জেনারেট কি কপি আছে. (বিশেষ করে SSH- র মাধ্যমে অথবা অন্য কোন নিরাপদ ফাইল ট্রান্সফার এর মাধ্যমে) আপনি জারি করে আপনার বর্তমান কিরিঙ একটি বাইনারি কপি পেতে:
এটা cat / proc / নেট / seppl_keyring> keyring.save
এখন অন্য সব হোস্ট ফাইল keyring.save এবং সেখানে নিম্নলিখিত কমান্ডটি প্রয়োগ করুন যে কপি:
বিড়াল keyring.save> / proc / নেট / seppl_keyring
যে এটা সহজ, তাই নয় কি?
আপনি প্রতিটি হোস্ট আপনার ফায়ারওয়াল সেটিংস কনফিগার করতে পারেন সেটা পরে:
iptables- র কাপড় ইস্ত্রী করা -A POSTROUTING -o জন্য eth0 -j ক্রিপ্ট --key লিনাস -t
iptables- র -t কাপড় ইস্ত্রী করা -A PREROUTING -i জন্য eth0 -j ডিক্রিপ্ট
এই কী "লিনাস" সঙ্গে eth0 এর উপর সকল বহির্মুখী ট্রাফিক এনক্রিপ্ট করবে. সকল ইনকামিং ট্রাফিক নির্দিষ্ট নেটওয়ার্ক প্যাকেট উল্লিখিত কী নাম তার উপর নির্ভর করে, "লিনাস" বা "অ্যালেন" সঙ্গে decrypted হয়. এনক্রিপশনবিহীন ইনকামিং প্যাকেট চুপটি অবনমিত হয়. ব্যবহার
iptables- র -t কাপড় ইস্ত্রী করা -A PREROUTING -p 177 -i জন্য eth0 -j ডিক্রিপ্ট
crypted এবং এনক্রিপশনবিহীন উভয় ইনকামিং ট্রাফিক অনুমোদন করার জন্য.
এটাই. তুমি করেছ. স্থানীয় সাবনেট আপনার সব ট্রাফিক এখন seppl সঙ্গে crypted হয়.
ডিফল্ট সাইফার AES-128 হয়. আপনি "Def" ব্যবহৃত কী ডিফল্টরূপে নাম উল্লেখ না করা হলে.
একটি সিস উপস্থিত init স্ক্রিপ্টের সাহায্যে /etc/init.d/seppl প্রদান করা হয়. এটা seppl এর কার্নেল মডিউল লোড করা হয় এবং কার্নেল কিরিঙ করতে ডিরেক্টরি / ইত্যাদি / seppl থেকে সব কি লিখতে হবে. তবে, কোনো ফায়ারওয়াল নিয়ম যোগ করা হবে না.
পারফরমেন্স বিষয়
তারা crypted হয় যখন নেটওয়ার্ক প্যাকেট দুটি নতুন হেডার থেকে, আকার বৃদ্ধি করা হয় এবং চতুর্থ যোগ করা হয়. এক বড় এবং আরেকটি খুব ছোট প্যাকেজের মধ্যে বিচ্ছিন্ন হয়ে ছড়িয়ে ছিটিয়ে: (গড় 36 বাইট) সব বড় প্যাকেট হচ্ছে এই লিনাক্স কার্নেলের MTU পরিচালনার সঙ্গে কিছু পথে দ্বন্দ্ব এবং ফলাফল (প্যাকেজের মাপ MTU কাছাকাছি যে হয়). এই নেটওয়ার্ক কর্মক্ষমতা ব্যথা পাবেন. এই সীমাবদ্ধতা একটি কাজ প্রায় ছোট মান বিভিন্ন TCP হেডার এমএসএস মান নিয়ন্ত্রন করতে netfilter- র এর TCPMSS লক্ষ্য ব্যবহার করা হয়. MTU মাপ করে TCP প্যাকেট আর জেনারেট হয়, যেহেতু এই, বিভিন্ন TCP perfomance বৃদ্ধি হবে. সুতরাং কোন ফ্র্যাগমেন্টেশন প্রয়োজন হয়. তবে, TCPMSS এটা ফলে UDP বা অন্যান্য আইপি প্রোটোকল উপর সাহায্য করবে না, বিভিন্ন TCP নির্দিষ্ট.
আপনার ফায়ারওয়াল সেটআপ এনক্রিপশন করার পূর্বে নিম্নলিখিত পংক্তিটি যোগ করুন:
iptables- র SYN, RST SYN -o জন্য eth0 -j TCPMSS --set-এমএসএস $ ((1500-40-8-16-6-15)) কাপড় ইস্ত্রী করা -A POSTROUTING -p TCP --tcp-পতাকা -t
প্রোটোকল
এনক্রিপশনের জন্য প্রতি একক এনক্রিপশনবিহীন প্যাকেট নিয়ে যাওয়া হয় এবং একটি crypted এক রূপান্তরিত. একটি একক আরও প্যাকেট কখনও না পাঠানো হয়.
মৌলিক SEPPL সহযোগীর
+ + ------------ + ----------------------- + +
| আইপি শিরোলেখ | | পরিমিত আইপি শিরোলেখ | |
+ + ------------ + ----------------------- + + |
| পেলোড | | SEPPL-শীর্ষচরণ |> এনক্রিপশনবিহীন
+ + ------------ + ----------------------- + + |
| আরম্ভের ভেক্টর | |
+ + + + ----------------------- /
| SEPPL-শীর্ষচরণ |
+ + + + ----------------------- | Crypted
| পেলোড | |
+ + + + ----------------------- /
আসল আইপি হেডার যথাসম্ভব রাখা হয়. শুধু তিনটি ক্ষেত্র নতুন মান দিয়ে প্রতিস্থাপিত হয়. প্রোটোকল সংখ্যা 177 সেট করা হয়, অফসেট টুকরা 0 সেট করা হয় এবং মোট দৈর্ঘ্য নতুন দৈর্ঘ্যের সংশোধন করা হয়. অন্যান্য সকল ক্ষেত্রর আইপি অপশন সহ হিসাবে রাখা হয়.
এনক্রিপশনবিহীন seppl হেডার এক বাইট সাইফার সংখ্যা এবং একটি কি 'র নাম নিয়ে গঠিত. বর্তমানে শুধুমাত্র 0 এবং 1 128bit কি, রেস্প সঙ্গে AES জন্য সাইফার সংখ্যার হিসাবে সংজ্ঞায়িত করা হয়. 192bit কী সঙ্গে AES. কী নাম (7 বাইট) একটি বড় কিরিঙ একটি নির্দিষ্ট কি নির্বাচন করা হতে পারে.
চতুর্থ ব্যবহার সাইফার সিবিসি কোডিং জন্য ব্যবহার করা হয়. এটা প্যাকেট প্যাকেট থেকে পৃথক, কিন্তু এলোমেলোভাবে উত্পন্ন করা হয় না. দরুন perfomance কারণে, সিস্টেমে প্রারম্ভকালে শুধুমাত্র প্রাথমিক চতুর্থ সব নিম্নলিখিত IVs পূর্ববর্তী বেশী বৃদ্ধিশীল দ্বারা উৎপন্ন হয়, এলোমেলো হয়.
crypted seppl হেডার তিনটি সংরক্ষিত আসল আইপি হেডার ক্ষেত্র (প্রোটোকল সংখ্যা, অফসেট টুকরা, মোট দৈর্ঘ্য) এবং 0 unmatching কি detecting জন্য সবসময় যা একটি বাইট নিয়ে গঠিত.
পে লোড করে TCP / এর ফলে UDP / অন্যান্য হেডার থেকে শেষ পর্যন্ত আসল আইপি-playload হয়.
সীমাবদ্ধতা:
· Seppl কিছু ভাবে netfilter- র এর সংযোগ ট্র্যাকিং সঙ্গে হস্তক্ষেপ. সুতরাং আপনি seppl সাথে মধ্যে Nat ব্যবহার করতে সক্ষম নাও হতে হবে. আপনি seppl সঙ্গে একসঙ্গে অন্য কোন উপায়ে সংযোগ ট্র্যাকিং ব্যবহার করা হলে আপনার মাইলেজ পরিবর্তিত হতে পারে.
· Seppl লিনাক্স 2.6.1 সঙ্গে পরীক্ষা করা হয়. লিনাক্স 2.4 জন্য সংস্করণ 0.3 ব্যবহার করুন.
আবশ্যক:
এটা সোর্স কোড কনফিগারেশন জন্য গনুহ Autoconf এবং গনুহ libtool এবং শেয়ার্ড লাইব্রেরি ব্যবস্থাপনা ব্যবহার করে দেখাও · seppl উন্নত এবং নভেম্বর 2003 থেকে ডেবিয়ান জিএনইউ / লিনাক্স "টেস্টিং" উপর পরীক্ষা করা হয়, এটা সবচেয়ে অন্যান্য Linux ডিস্ট্রিবিউশন এবং ইউনিক্স সংস্করণের উপর কাজ করা উচিত.
· Seppl লিনাক্স 2.6. {0,1} প্রয়োজন (কনফিগার সূত্র ইনস্টল) ও iptables 1.2.8 অথবা ঊর্ধ্বতন সংস্করণ.
· সম্পূর্ণ ইউজার-স্পেস টুল সেট পাইথন 2.1 অথবা ঊর্ধ্বতন সংস্করণ প্রয়োজন. সি একটি ছিনতাই নিচে সেট পাশাপাশি পাওয়া যায়.
ইনস্টলেশন:
এই প্যাকেজের গনুহ autotools দিয়ে তৈরি করা হয় হিসাবে আপনি BSD সোর্সে কনফিগার করার জন্য বন্টন ডিরেক্টরি ভিতরে ./configure চালানো উচিত. এর পর আপনি সংকলন জন্য চালানো উচিত এবং seppl ইনস্টলেশনের জন্য (root পরিচয়ে) ইনস্টল করা.
বর্তমান রিলিজের মধ্যে নতুন কী:
· লিনাক্স 2.6, অন্য কোনো পরিবর্তন পোর্ট. সংস্করণ 0.4 আর কার্নেল 2.4 সঙ্গে সামঞ্জস্যপূর্ণ. কার্নেল 2.4 জন্য সংস্করণ 0.3 ব্যবহার করুন, এটি বৈশিষ্ট্যগুলি সমতুল্য.
পাওয়া মন্তব্যসমূহ না