Jó reggelt kívánok,
Régebben találkoztam mindkét iptables extension-el. Az volt a lényegük, hogy
iptables -t mangle -A OUTPUT -d 1.2.3.4 -j XOR --key titkosstring
A másik oldalon meg ugyanez visszafele, és akkor lett kernel szintű titkosítás mindenféle segédeszköz nélkül.
Most jutottam el oda, hogy kellene egy ilyesmi megoldás, viszont az a nagy gondom, hogy se a CRYPT-et, se a XOR-t nem lelem... Legfrissebb iptables-ben nyoma sincs ezeknek, a patch-o-matic-ng hót üres november óta. A 2006 júliusi patch-o-matic -ban is hűlt helyük. Google nem segített rajtam, de Gentooban az iptables csomag extensions use flaggel fűszerezve se tett csodát.
Tudtok esetleg ezekről valamit? Mi lett a sorsuk? Az újabb 2.6-os kernelekben nem fértek meg? Miért tűntek el? Vagy csak az én szemem elől? Bár átnyálaztam az extension-öket, de esetleg más néven van valami hasonló? Vagy tudtok nekem ajánlani Linux 2.6-hoz olyan cuccost, ami mindenféle usertérben futó program (stunnel) nélkül titkosít, de legalább össze-xor-ozza egy stringgel a kimenő és a visszajövő csomagokat?
- 1543 megtekintés
Hozzászólások
Szia!
A XOR-t nem javaslom. Nagyon könnyű törni, ha egy "konstans" jelszót használsz (one-time-padding-gel biztonságossá tehető). Ha mindenképpen IP szinten akarsz titkosítani, akkor ajánlom figyelmedbe az IPsec-et. Számos block cipher-t támogat.
- A hozzászóláshoz be kell jelentkezni
Tehát egy pont az IPSec-nek, köszi. Testközelből még sose találkoztam vele. Ebben az esetben iptables-el tudom terelgetni az egyes csomagokat, hogy mit küldjön az IPSec felé kódolásra/dekódolásra? Vagy félre értek valamit? Első ránézésre kissé nagy darab ez az IPSec. VPN-t emlegetnek. Ezzel plusz IP címek nélkül meg tudom oldani (egyszerűen), hogy A gép x portja és B gép y portja között kernel szinten előre megosztott kulcsok alapján titkosítsa a csomagokat?
A CRYPT és XOR iptables extension sorsáról tud valaki valamit?
- A hozzászóláshoz be kell jelentkezni
Az IPSEC-nél egyszerűbb ha valamilyen SSL VPN megoldást választasz, pl openvpn.
Ezzel végtelenül primitíven lehet tunnelt létrehozni:
Egyszerű pre-shared kulccsal:
openvpn --genkey --secret keyfile
openvpn --remote hosta --dev tun0 --ifconfig 10.1.0.1 10.1.0.2 --secret keyfile
openvpn --remote hostb --dev tun0 --ifconfig 10.1.0.2 10.1.0.1 --secret keyfile
Mindkét hoston lesz egy tun0 interfészed és azt routolsz aztán a tunnelbe amit akarsz, simán a route paranccsal.
Persze lehet még cifrázni X.509-el meg minden, lásd manuál.
Üdv
Godot
- A hozzászóláshoz be kell jelentkezni
Igen, köszönöm, openvpn nálunk is működik remekül pp és pmp módban is. Itt most az lenne a lényeg, hogy kernel szinten menjen a titkosítás. Az openvpn cirka 1.2 mega RAM-ot eszik meg pp kapcsolatonként, ami most nekünk sok, ráadásul user térben fut.
- A hozzászóláshoz be kell jelentkezni
Ahh értem, namost ipsec esetében is kell egy userspace IKE daemon (ipsec-tools, openswan,strongswan stb), ami lejátssza a kulcscserét. Hacsak nem akasz manual keying-et....., nem lehetetlen.
Azért a helyzet ipsec esetében annyival jobb, hogy nem kell minden tunnelhez egy újabb példányt indítani a démonból, igazából a démon miután lejátszotta az azonosítást, csak betölti a kernelbe az IPSEC policy-t, onnantól mindent a kernel csinál. Persze azért van rekey stb...
Nekem egy openswan nem eszik több ramot 1 peer-el mint 10-el pl.
- A hozzászóláshoz be kell jelentkezni
Oké, köszi, utánanézek ennek az IPSec témakörnek. Majd megírom, hogy mire jutottunk.
Most már csak azért is... történelmi jelleggel érdekelne - ha valaki tudja - hogy mi történt a CRYPS és XOR iptables extension-ökkel:)
- A hozzászóláshoz be kell jelentkezni
"Kimentek a divatból..." :D
Meg lehet még talán találni a forrásukat, de tényleg nem ajánlott a használatuk.
Pontosabban az XOR az nem titkosítás... Az csak "játék"
CRYPT pedig ha jól tudom, akkor egy gyüjtőfogalom... (DES,3DES, stb.)
Persze nem nehéz írni egy saját "titkosítót" netfilter alá...
Ha kell segítség, akkor dobj egy PM-et :D
Swifty
--
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni