Yavipind est un tunnel sécurisé aka 2 pairs transmission de paquets sécurisée vers l'autre. Il transmet tout type de paquet (IPv4, IPv6 ou autre) envoyés sur le périphérique virtuel point à point (par exemple tun0). Il fonctionne parfaitement sous Linux espace utilisateur.
Yavipin a été écrit parce que je suis pas satisfait par les alternatives existantes. i publié quelques trous de sécurité Je sais que dans des solutions de rechange pour sensibiliser les utilisateurs et les aider à faire un choix informé:
Analyse de la sécurité des VTun: Ce texte est une analyse de la sécurité des VTun. Il comprend une description de la sécurité fondée sur la source et répertorie les attaques possibles. Un attaquant peut modifier les paquets, les rejouer, apprendre motif du texte brut ou facilement deviner le mot de passe faible entropie.
Les failles de sécurité dans tinc: Ce texte décrit les failles de sécurité dans Tinc. Il comprend une description de la sécurité et répertorie les attaques possibles. Un attaquant peut modifier les paquets, les rejouer et apprendre motif du texte brut.
Lors de la conception du protocole et écriture du logiciel, l'auteur a utilisé les critères suivants: la sécurité doit aussi forte que raisonnablement possible, Yavipin doit être efficace réseau, facile à utiliser et à installer.
L'efficacité du réseau:
petite surcharge de paquets: 26bytes (par exemple avec ESP DES + MD5 est 32byte)
Compression de paquets: les paquets transmis peuvent être compressés en utilisant dégonfler (gzip). (TRAVAIL: ajouter stat sur l'efficacité)
NAT compatible: le tunnel des Yavipin peut établir sur NAT que tous les paquets d'un tunnel sont envoyés sur une seule connexion UDP / IPv4. En outre la détection d'inaccessibilité par les pairs envoyer périodiquement des paquets qui empêchent le moteur NAT de synchronisation sur l'état de connexion.
Peer détection unreachabilty: Si l'autre homologue devient injoignable, il sera détecté. Il est fait ala IPv6 voisins découverte (rfc2461.7).
Gracefull arrêt: Si un pair arrête volontairement, il avisera l'autre qui est immédiatement au courant.
La simplicité d'utilisation:
cela fonctionne dans l'espace utilisateur et vous ne devez recompiler le noyau
réutiliser les outils existants: Comme Yavipin utiliser un périphérique virtuel, il est possible d'appliquer au tunnel un outil conçu pour périphérique réseau. Par exemple, il est possible de mettre en place un pare-feu utilisant ipchains / netfilter ou faire shapping de trafic en utilisant le contrôle de la circulation du noyau (voir tc).
La force de sécurité:
la sécurité de paquets: chaque paquet échangé lors de la connexion est chiffrée en utilisant la BFC Blowfish et authentifié avec 96bits HMAC-MD5.
protection contre les paquets replay: Il utilise l'anti-répétition stricte et aucun paquet peut être accepté à deux reprises. Un eavedropper ne peut pas prendre un paquet, le garder pendant un moment et faire accepter une seconde fois par la destination.
Le renouvellement de clé de session efficace: Il utilise les chaînes de hachage pour l'efficacité. Il permet une transition en douceur des clés ne pas provoquer de perte de paquets lors du renouvellement. Il fournit forward secrecy l'intérieur de la connexion.
Protéger DoS ala TCP SYN: Il utilise échange de biscuits (de rfc2522.3) au cours de la establishement de connexion.
Forward secrecy: Même si les fissures de l'attaquant de la boîte, il ne sera pas capable de déchiffrer le trafic réseau plus âgé que d'un délai donné (10min par défaut). La clé privée de Diffie-Hellman et la clé de session sont périodiquement renouvelés et en toute sécurité effacés de la mémoire.
Commentaires non trouvées