fwknop

fwknop representa o "firewall bater Operador", e implementa um regime de autorização baseada em torno Netfilter e libpcap que requer apenas um único pacote criptografado para se comunicar várias informações, incluindo o acesso desejado através de uma política Netfilter e / ou comandos completos para executar no sistema de destino.
Usando Netfilter para manter uma "queda default" postura, a principal aplicação deste programa é para proteger os serviços, tais como OpenSSH com uma camada adicional de segurança, a fim de fazer a exploração de vulnerabilidades (ambos 0-day e código sem correção) muito mais difícil.
O servidor de autorização monitora passivamente pacotes de autorização via libcap e, portanto, não há nenhuma "server" ao qual se conectar no sentido tradicional . O acesso a um serviço protegido só é concedida após um pacote criptografado e não repetido válido é monitorada.
Este método é semelhante ao regime único pacote de autorização proposto pela Nomad Simples e o pessoal da NMRC

fwknop projeto também foi a primeira ferramenta para combinar porta criptografada tradicional batendo com fingerprinting passivo OS. Isso torna possível para fazer coisas como só permitem, por exemplo, Linux-2.4 / 2.6 sistemas para conectar ao seu daemon SSH

O que é novo nesta versão:.

• (Radostan Riedel) Adicionado uma política AppArmor para fwknopd que é conhecido por trabalhar em sistemas Debian e Ubuntu. O arquivo de política está disponível em extras / apparmor / usr.sbin / fwknopd.
• [libfko] Nikolay Kolev relatou um problema de compilação com Mac OS X Mavericks, onde cópias fwknop locais de strlcat () e strlcpy () foram em conflito com aqueles que já vem com o OS X 10.9. Fecha # 108 no github.
• [libfko] contexto (Franck Joncourt) FKO Consolidado despejo função em lib / fko_util.c. Além de adicionar uma função de utilidade compartilhada para imprimir um contexto FKO, esta mudança também torna a saída de contexto FKO um pouco mais fácil de analisar, imprimindo cada atributo FKO em uma única linha (essa mudança afetou a impressão dos dados pacote SPA final). O conjunto de testes foi atualizado para explicar essa mudança também.
• [libfko] Bug fix para não tentar SPA descriptografia pacote com GnuPG sem um objeto fko com encryption_mode definido para FKO_ENC_MODE_ASYMMETRIC. Este bug foi pego com validação valgrind contra a extensão FKO perl juntamente com o conjunto de pacotes de fuzzing SPA em test / fuzzing / fuzzing_spa_packets. Note-se que este bug não pode ser acionado via fwknopd porque verificações adicionais são feitas dentro da própria fwknopd para forçar FKO_ENC_MODE_ASYMMETRIC sempre que uma estrofe access.conf contém GPG informações-chave. Essa correção fortalece libfko-se a exigir, independentemente de que o uso de objetos FKO sem informações de chave GPG não resulte em operações GPG descriptografia tentativas. Daí essa correção se aplica principalmente para o uso terceiro partido de libfko
• isto é. instalações de estoque de fwknopd não são afetados. Como sempre, é recomendado o uso de criptografia HMAC autenticado sempre que possível, mesmo para os modos de GPG por também fornecer uma solução alternativa mesmo para libfko antes desta correção.
• [Android] (Gerry Reno) Atualizado o cliente Android para ser compatível com Android-4.4.
• apoio [Android] Adicionado HMAC (atualmente opcional).
• [servidor] pcap_dispatch Atualizado () de pacote padrão contar de zero a 100. Essa alteração foi feita para garantir a compatibilidade com versões mais antigas do libpcap por página man pcap_dispatch () e também porque alguns de um relatório do Les Aker de um acidente inesperado no Arch Linux com libpcap-1.5.1 que é fixado por esta mudança (fecha # 110).
• [servidor] Bug fix para os modos NAT SPA sobre iptables firewalls para garantir que o costume fwknop cadeias são recriados se eles são apagados para fora sob o running fwknopd exemplo.
• [servidor] Adicionado FORCE_SNAT para o arquivo access.conf para que estrofe per-acesso critérios SNAT pode ser especificado para acesso SPA.
• [conjunto de testes] adicionou --gdb-teste para permitir que um comando executada anteriormente fwknop ou fwknopd para ser enviado através gdb com os mesmos argumentos de linha de comando como o conjunto de testes usado. Este é por conveniência de permitir rapidamente gdb para ser lançado ao investigar problemas fwknop / fwknopd.
• [cliente] (Franck Joncourt) Adicionado argumento --stanza-list para mostrar os nomes de sub-rotina de ~ / .fwknoprc.
• [libfko] (Hank Leininger) contribuiu com um patch para estender muito libfko descrições de código de erro em vários lugares, a fim de dar muito melhor informação sobre o que determinadas condições de erro dizer. Fecha # 98.
• [conjunto de testes] Adicionado a capacidade de executar módulo FKO perl testes embutidos no t / diretório debaixo do módulo CPAN Test :: Valgrind. Isto permite que os controlos de memória valgrind para ser aplicado a libfko funções através do perl módulo FKO (e, portanto, a prototipagem rápida pode ser combinada com a detecção de fugas de memória). A verificação é feita para ver se o módulo Test :: Valgrind foi instalado, e --enable-valgrind também é necessária (ou --enable-all) na linha de comando test-fwknop.pl.

O que é novo na versão 2.5.1:

• A bugfix no cliente fwknop para redefinir as configurações do terminal a orignal valores depois de entrar chaves via stdin.
• A correção de bugs no daemon fwknopd para não imprimir um aviso existência arquivo PID.
• A bugfix suíte de testes para não executar um teste de Rijndael HMAC iptables em sistemas não-Linux.

O que é novo na versão 2.5:

• Esta versão adicionou suporte para HMAC SHA-256 criptografia autenticado em o modelo de criptografar-then-autenticação.
• Muitos bugs descobertos pelo analisador estático Coverity foram corrigidos.
• testes de compatibilidade OpenSSL foram adicionados ao conjunto de testes.
• Cliente estrofe poupança capacidade foi adicionada para o arquivo ~ / .fwknoprc, simplificando o uso cliente fwknop.
• A capacidade de gerar automaticamente as duas teclas Rijndael e HMAC com --key-gen foi adicionado.

O que é novo na versão 2.0.4:

• No lado do servidor, esta versão adiciona uma chain_exists () verificar a SPA criação de regra de modo que, se qualquer uma das cadeias fwknop são eliminados para fora sob fwknopd, eles serão recriados na mosca.
• Acrescenta nova capacidade fuzzing pacote SPA para a suíte de testes para ajudar na validação das operações de SPA.
• Acrescenta configuração arrivista para sistemas que executam o daemon arrivista.
• Um OpenBSD ndbm / gdbm uso bugfix.
• ICMP tipo / código de argumentos de linha de comando do cliente foram adicionados para quando os pacotes SPA são enviados através de ICMP.

O que é novo na versão 2.0.3:

• várias vulnerabilidades de execução / código de negação de serviço para os clientes fwknop maliciosos que conseguem passar a fase de autenticação (para esses clientes devem possuir uma chave de criptografia válido) foram corrigidos.
• Permissões e verificações de propriedade foram adicionados a todos os arquivos consumidos pelo cliente e servidor fwknop.
• RPM constrói foram corrigidos, incluindo o $ (DESTDIR) prefixo para desinstalar-local e instalar-exec de gancho estágios em Makefile.am.

O que é novo na versão 2.0.2:

• Melhor manipulação de GnuPG para a descodificação do pacote SPA no do lado do servidor (não representa chaves GPG passphrase quando GPG-agente ou pinentry de outra forma obrigados).
• A CORREÇÃO no SPA código de detecção de replay de pacotes.
• A verificação da existência de 'comentário' match as iptables quando o saque é implantado em Linux.
• Várias outras correções de bugs.

O que é novo na versão 2.0:.

• Esta é a versão de produção do reescrita fwknop C
• Traz Autorização único pacote para três diferentes firewalls Open Source (iptables, ipfw, e pf), sistemas embarcados e dispositivos móveis.
• O servidor fwknopd roda em Linux, Mac OS X, FreeBSD, OpenBSD e.
• O cliente é executado em todas essas plataformas, bem como Android, o iPhone, e Cygwin no Windows.
• Além disso, o cliente é portátil e pode ser compilado como um binário nativo do Windows.

O que é novo na versão 2.0 RC5:

• Esta versão adiciona suporte PF OpenBSD, acrescenta uma nova FORCE_NAT modo de forçar transparente conexões autenticadas para sistemas internos especificados, acrescenta um conjunto de testes abrangentes, e adiciona a capacidade para expirar automaticamente as chaves de SPA.
• Várias correções de erros de manipulação de memória foram feitas.

O que é novo na versão 1.9.12:

• O módulo FKO que faz parte da biblioteca libfko foi totalmente integrado para todas as rotinas de SPA:. encriptação / desencriptação, digerir cálculo, detecção de ataques replay, etc
• A capacidade de se recuperar de condições de erro de interface foi adicionado, como quando fwknopd fareja uma interface ppp (digamos, associada a uma VPN) que vai embora e depois é recriado.
• O cliente fwknop foi atualizado para incluir o destino SPA antes de resolução DNS quando enviar um pacote SPA sobre uma solicitação HTTP.