Yavipind güvenli bir tünel aka 2 akranları güvenli birbirine doğru paketleri yönlendirme olduğunu. O (örn tun0) sanal noktadan noktaya cihazın üzerine gönderilen herhangi bir paket tür (IPv4, IPv6 ya da diğer) iletir. Tamamen linux userspace çalışır.
Ben mevcut alternatiflerden memnun değildi çünkü yavipin yazılmıştır. i kullanıcılara bilincini getirmek ve bilgili bir choise yapmak için onlara yardım etmek için alternatifler biliyorum bazı güvenlik açıklarını yayınladı:
VTun Güvenlik analizi: Bu metin, VTun bir güvenlik analizidir. Bu kaynağa göre güvenlik açıklamasını içerir ve olası saldırıları listeler. Bir saldırgan, tekrar onlara, paketlerini değiştirmek düz metin deseni öğrenmek veya kolayca düşük entropi şifreyi tahmin edebilirsiniz.
Tınç Güvenlik kusurları: Bu yazı Tınç güvenlik açıkları anlatılmaktadır. Bu güvenlik açıklamasını içerir ve olası saldırıları listeler. Bir saldırgan, paketlerini değiştirmek onları tekrar ve düz metin desen öğrenebilirsiniz.
Yazılım protokolü tasarımı ve writting zaman yazar aşağıdaki kriterleri kullanılır: Güvenlik gibi güçlü, makul sürede, yavipin ağı, verimli, kullanımı ve kurulumu kolay ÖNERİ GEREKİR.
Ağ verimliliği:
küçük paket havai: 26bytes (DES + MD5 örn ESP 32byte olan)
Paket sıkıştırma: Yönlendirilen paketler deflate (gzip) kullanılarak sıkıştırılmış olabilir. (İŞ: verimliliği hakkında, stat ekleyin)
NAT uyumlu: Bir tünelin tüm paketler olarak NAT üzerinde tesis edilebilir yavipin en tüneli tek bir UDP / IPv4 bağlantısı üzerinden gönderilir. Ayrıca akran ulaşılamasın algılama periyodik bağlantı durumunu aşımına NAT motoru önlemek paketleri gönderir.
Unreachabilty algılama Peer diğer akran erişilemiyor hale gelirse, bu tespit edilecektir. IPv6 komşuları keşif (rfc2461.7) ala yapılır.
Gracefull kapatma: Bir eş bilerek durursa, o bunun farkında anında hangi diğer bildirecektir.
Kullanımı basitlik:
Bu userspace çalışır ve çekirdek derlemek gerekmez
Mevcut araçlar yeniden: sanal bir aygıt kullanmak yavipin gibi, tünele ağ aygıtı için tasarlanmış herhangi bir aracı uygulamak mümkündür. Örneğin, ipchains / netfilter kullanarak bir güvenlik duvarı kurmak veya Çekirdeğin trafik kontrolü (tc bakınız) kullanarak trafik shapping yapmak mümkündür.
Güvenlik gücü:
Paket güvenliği: Her paket blowfish CFB kullanılarak şifrelenmiş ve HMAC-MD5 96bits ile kimlik doğrulaması bağlantı sırasında alışverişinde bulundu.
paket replay karşı koruma: sıkı bir anti-replay kullanır ve hiçbir paket kez kabul edilebilir. Bir eavedropper, bir paket almak bir süre tutmak ve hedef tarafından ikinci kez kabul yapamazsınız.
Verimli oturum anahtarı yenileme: Bu etkinlik için karma zincirleri kullanır. Bu yenilenme sırasında herhangi bir paket kaybı neden değil yumuşak tuş geçiş sağlar. Bu bağlantı içinde ileri gizliliğini sağlar.
DoS ala TCP syn koruyun: Bu bağlantı Dökümantasyon sırasında çerez değişimi (rfc2522.3) kullanır.
İleri gizlilik: Hatta saldırganın çatlaklar kutu varsa, o belirli bir gecikme (varsayılan 10dk) daha eski ağ trafiğini şifresini çözmek mümkün olmayacaktır. Diffie-Hellman özel anahtar ve oturum anahtarı periyodik yenilenen ve güvenli bellekten silinir.
Yorum Bulunamadı