Yavipind

Yavipind è un tunnel sicuro aka 2 coetanei spedizioni in modo sicuro i pacchetti verso l'altro. Inoltra qualsiasi tipo di pacchetto (IPv4, IPv6 o altro) inviati tramite la periferica virtuale point-to-point (ad es tun0). Funziona completamente in linux userspace.
yavipin è stato scritto perché non ero soddisfatto dalle alternative esistenti. Ho pubblicato alcuni buchi di sicurezza che conosco nelle alternative per portare consapevolezza agli utenti e aiutarli a fare una scelta consapevole:
    Analisi Sicurezza dei VTun: Questo testo è una analisi di sicurezza di VTun. Esso comprende una descrizione del titolo in base all'origine ed elenca le possibili attacchi. Un utente malintenzionato può modificare i pacchetti, li ripete, imparare modello del testo semplice o facilmente intuire a bassa entropia password.
    Falle di sicurezza in tinc: Questo testo descrive falle di sicurezza in Tinc. Esso comprende una descrizione del titolo ed elenca le possibili attacchi. Un utente malintenzionato può modificare i pacchetti, li ripete e imparare modello del testo in chiaro.
Durante la progettazione del protocollo e scrittura per il software, l'autore ha usato i seguenti criteri: la sicurezza DEVE forte come ragionevolmente possibile, yavipin DOVREBBE essere rete efficiente, facile da usare e installare.
Efficienza di rete:
    piccolo overhead pacchetto: 26bytes (ad esempio ESP con DES + MD5 è 32byte)
    Compressione dei pacchetti: Inoltrato pacchetti possono essere compressi usando deflate (gzip). (LAVORO: aggiungere stat di efficienza)
    NAT compatibile: tunnel di yavipin possono essere stabilire su NAT come tutti i pacchetti di un tunnel vengono inviati tramite una singola connessione UDP / IPv4. Inoltre la rilevazione pari irraggiungibilità invia periodicamente pacchetti che impediscono il motore NAT dal timeout lo stato della connessione.
    Peer rilevamento unreachabilty: Se l'altro pari diventa irraggiungibile, verrà rilevato. E 'fatto ala vicini scoperta IPv6 (rfc2461.7).
    Shutdown gracefull: se un pari si ferma volutamente, ne informa l'altro che è immediatamente a conoscenza di esso.
Uso di semplicità:
    funziona in userspace e non è necessario ricompilare il kernel
    riutilizzare strumenti esistenti: Come yavipin utilizzare un dispositivo virtuale, è possibile applicare al tunnel qualsiasi strumento progettato per il dispositivo di rete. Ad esempio, è possibile impostare un firewall con ipchains / netfilter o per fare traffico shapping utilizzando il controllo del traffico del kernel (vedi tc).
La forza di sicurezza:
   la sicurezza del pacchetto: ogni pacchetto scambiato durante la connessione è crittografata mediante CFB Blowfish e autenticato con 96bits HMAC-MD5.
   la protezione contro la riproduzione del pacchetto: Usa rigoroso contro la riproduzione e nessun pacchetto può essere accolta per due volte. Un eavedropper non può prendere un pacchetto, tenerlo per un po 'e renderlo accettare una seconda volta dalla destinazione.
Sessione Efficiente rinnovamento chiave: Usa catene hash per l'efficienza. Permette transizione chiave liscio non causare alcuna perdita di pacchetti durante il rinnovo. Fornisce la segretezza in avanti all'interno della connessione.
    Proteggere DoS ala TCP SYN: Usa scambio cookie (rfc2522.3) durante il all'istaurazione collegamento.
    Forward Secrecy: Anche se le fessure attaccante casella, non sarà in grado di decifrare il traffico di rete di età superiore a un determinato ritardo (10 minuti di default). La chiave privata Diffie-Hellman e la chiave di sessione vengono periodicamente rinnovati e saldamente cancellati dalla memoria.