fwknop

fwknop виступає за "Брандмауер стук оператора", і реалізує схему авторизації на основі навколо Netfilter і Libpcap, яка вимагає тільки один зашифрований пакет для того, щоб спілкуватися різні частини інформації, включаючи бажаного доступу через політику Netfilter та / або повні команди виконати на цільовій системі.

За допомогою Netfilter для підтримки "крапля за замовчуванням" позицію, основне застосування цієї програми є захист такі послуги, як OpenSSH з додатковим шаром безпеки для того, щоб зробити експлуатація вразливостей (як 0-день і невиправленими код) набагато складніше.

сервер авторизації пасивно стежить пакети авторизації через libcap і, отже, немає "сервер", в якій для підключення в традиційному сенсі , Доступ до захищених послуг надається тільки після контролюється діє зашифрований і не відтворюється пакетів.

Цей спосіб подібний схемі один пакет авторизації, запропонованої простий Nomad і люди в NMRC

fwknop проект був також першим інструментом, щоб об'єднати традиційну зашифрований порт стукати з пасивним відбитків пальців OS. Це дозволяє зробити такі речі, як тільки дозволить, скажімо, Linux-2,4 / 2,6 системи для підключення до SSH-демона

Що нового У цьому випуску :.

• (Radostan Riedel) Додана AppArmor політику для fwknopd, що, як відомо, працюють на Debian і Ubuntu систем. Файл політики можна ознайомитися на статистів / AppArmor / usr.sbin / fwknopd.
• [libfko] Микола Колєв повідомив проблему збірки Mac OS X Mavericks, де місцеві fwknop копії strlcat () і strlcpy () були суперечливими з тими, які вже поставляються з OS X 10.9. Закриває # 108 на GitHub.
• [libfko] (Franck Жонкур) Консолідована FKO контекст скидання функції в Lib / fko_util.c. На додаток до додавання загальної функції корисності для друку контекст FKO, це зміна також робить контекст виведення FKO трохи легше для розбору з друку кожен атрибут FKO на одній лінії (це зміна відбилося на друк остаточного SPA пакетів даних). Тестовий набір був оновлений з урахуванням цієї зміни, як добре.
• [libfko] Виправлена ​​помилка не намагайтеся пакетів розшифровку спа-центр з GnuPG без об'єкта FKO з encryption_mode встановлений в FKO_ENC_MODE_ASYMMETRIC. Ця помилка була спіймана з перевіркою VALGRIND проти Perl розширення FKO разом з набором SPA Fuzzing пакетів в TEST / фаззінга / fuzzing_spa_packets. Зверніть увагу, що це помилка не може бути запущений за допомогою fwknopd, тому що додаткові перевірки здійснюються всередині самої fwknopd, щоб змусити FKO_ENC_MODE_ASYMMETRIC коли access.conf строфа містить GPG ключової інформації. Це виправлення зміцнює libfko себе незалежно вимагають, щоб використання FKO об'єктів без GPG ключової інформації не приводить до спроб операцій GPG дешифрування. Отже, це виправлення застосовується в основному для використання третьою стороною, libfko
• i.e. фондові установок fwknopd не впливає. Як завжди, рекомендується використовувати HMAC автентичності шифрування, коли це можливо, навіть для режимів GPG, так як це також забезпечує роботу навколо навіть для libfko До цього виправити.
• [Android] (Gerry Рено) Оновлений Android-клієнт для сумісності з Android-4,4.
• підтримка [Android] Додано HMAC (нині опція).
• [сервер] Оновлений pcap_dispatch () пакет за замовчуванням рахувати від нуля до 100. Це зміна було зроблено для забезпечення зворотної сумісності зі старими версіями Libpcap згідно pcap_dispatch () Людина сторінці, а також тому, що деякі з доповіді Les Акер з несподіваний збій на Arch Linux з Libpcap-1.5.1, який фіксується цієї зміни (закриває # 110).
• [сервер] Виправлена ​​помилка для СПА режимів NAT на IPtables брандмауерів, щоб забезпечити цей звичай fwknop мережі створюються заново, якщо вони видаляються з-під працюючому fwknopd екземпляр.
• [сервер] Додано FORCE_SNAT до файлу access.conf так, що в доступі строфа критерії SNAT можуть бути визначені для спа-центр.
• [тестова] доданий --gdb-тест, щоб раніше виконана команда fwknop або fwknopd бути відправлені через GDB з тими ж аргументами командного рядка, як тестовий набір використовується. Це для зручності швидко Дозволити GDB повинен бути запущений при дослідженні проблем fwknop / fwknopd.
• [клієнт] (Franck Жонкур) Додана --stanza-лист аргумент, щоб показати імена строфа ~ / .fwknoprc.
• [libfko] (Hank Leininger) вніс виправлення значно розширити libfko опису коду помилки на різних місцях, для того, щоб дати більш повну інформацію про те, що значить певні умови помилки. Закриває # 98.
• [тестова] Додана можливість запуску Perl модулів FKO вбудовані тести в т / каталог під модулем CPAN Test :: Valgrind. Це дозволяє перевірки Valgrind пам'яті повинні застосовуватися до libfko функції за допомогою Perl модуль FKO (і, отже, швидке прототипування можуть бути об'єднані з виявленням витоку пам'яті). Перевірка, щоб бачити, чи був встановлений модуль Test :: Valgrind, і також потрібно --enable-Valgrind (або --enable-все) на test-fwknop.pl командному рядку.

Що нового у версії 2.5.1:

• Виправлення в клієнті fwknop для скидання налаштувань терміналу щоб оригінальна значення після введення ключів за допомогою стандартного вводу.
• Виправлення в fwknopd демона, щоб не друкувати попередження про існування файлу PID.
• набір тестів Виправлення не запускати IPtables Rijndael HMAC тест на системах, відмінних від Linux.

Що нового у версії 2.5:

• Ця версія була додана підтримка для HMAC SHA-256 з перевіркою достовірності шифрування в Модель шифрувати-то-перевірку автентичності.
• Багато помилки, виявлені статичного аналізатора Coverity зафіксовано.
• Тести сумісності OpenSSL були додані в набір тестів.
• Client строфа збереження здатності був доданий в ~ / .fwknoprc файлу, спрощуючи fwknop використання клієнтами.
• Додана можливість автоматично генерувати як Rijndael і HMAC ключів з --key-ген.

Що нового у версії 2.0.4:

• На стороні сервера, цей реліз додає chain_exists () Виїзд до створення правил SPA, так що якщо який-небудь з fwknop ланцюгів видаляються з-під fwknopd, вони будуть відтворені на льоту.
• Це додає нові можливості Fuzzing SPA пакет в тестовому наборі для надання допомоги в перевірці SPA операцій.
• Це додає вискочку конфігурації для систем, що працюють під управлінням вискочку демон.
• OpenBSD NDBM / GDBM використання Виправлення.
• Аргументи командного клієнт Тип лінії / код ICMP, які були додані, коли SPA пакети передаються по протоколу ICMP.

Що нового у версії 2.0.3:

• Кілька вразливостей виконання / код DoS на наявність шкідливих fwknop клієнтів яким вдається пройти стадії аутентифікації (тому такі клієнти повинні мати дійсний ключ шифрування) були виправлені.
• Дозволи та перевірки власності були додані до всіх файлів, споживаних fwknop клієнтом і сервером.
• RPM будує були зафіксовані у тому числі $ (DESTDIR) префікс для видалення локального і встановити-Exec-гачок етапи Makefile.am.

Що нового у версії 2.0.2:

• Покращена обробка GnuPG для SPA пакетів розшифровки по на стороні сервера (доводиться не PassPhrase ключів GPG, коли GPG-агент або pinentry які в іншому випадку потрібно).
• Виправлення в СПА коду виявлення відтворення пакетів.
• перевірка на існування "коментар" матчі IPtables, коли розгортається на Linux служити.
• Кілька інших виправлень.

Що нового у версії 2.0 :.

• Це виробництво випуск fwknop C переписати
• Це приносить один пакет дозволу на трьох різних брандмауерів з відкритим вихідним кодом (IPTables, IPFW і PF), вбудованих систем і мобільних пристроїв.
• сервер fwknopd працює на Linux, Mac OS X, FreeBSD, і OpenBSD.
• клієнт працює на всіх цих платформах, а також Android, в iPhone і Cygwin під Windows.
• Крім того, клієнт є портативним і може бути зібраний як рідний бінарний файл Windows.

Що нового у версії 2.0 RC5:

• Ця версія додає OpenBSD підтримку PF, додає новий FORCE_NAT Режим прозоро змусити авторизованих сполук, зазначених внутрішніх систем, додає комплексний набір тестів, і додає можливість автоматично закінчується SPA ключі.
• Було зроблено кілька виправлень картами пам'яті Memory.

Що нового у версії 1.9.12:

• модуль FKO, який є частиною бібліотеки libfko був повністю інтегрований для всіх SPA процедур :. шифрування / дешифрування, переварити розрахунок, виявлення атаки відтворення, і т.д.
• Додана можливість відновлення після помилок інтерфейсу, наприклад, коли fwknopd нюхає інтерфейс PPP (скажімо, пов'язаний з VPN), що йде, і потім заново.
• fwknop клієнт був оновлений, щоб включити SPA Напрямок перед дозволом DNS при відправці SPA пакет над запитом HTTP.