fwknop

fwknop staat voor de "firewall Knock exploitant", en implementeert een vergunningstelsel rond Netfilter en libpcap dat slechts een enkele versleutelde pakket nodig om naar verschillende delen van informatie met inbegrip van de gewenste toegang via een Netfilter beleid en / of complete commando communiceren uit te voeren op het doelsysteem.
Door het gebruik van Netfilter om een ​​"standaard drop" houding te handhaven, de belangrijkste toepassing van dit programma is om diensten te beschermen, zoals OpenSSH met een extra laag van beveiliging om ervoor te de exploitatie van kwetsbaarheden (beide 0-day en ongepatchte code) veel moeilijker.
De server toestemming passief controleert pakketten autorisatie via libcap en dus is er geen "server" om die aan te sluiten in de traditionele zin . Toegang tot een beschermde dienst wordt pas toegekend na een geldig gecodeerde en niet-overgespeeld pakket wordt gecontroleerd.
Deze methode is vergelijkbaar met de door Simple Nomad voorgestelde Single Packet vergunningstelsel en de mensen bij NMRC

fwknop project was ook het eerste instrument om de traditionele gecodeerd poort kloppen met passieve OS fingerprinting combineren. Dit maakt het mogelijk om dingen te doen zoals alleen toe te staan, laten we zeggen, Linux-2.4 / 2.6-systemen aan te sluiten op uw SSH daemon

Wat is nieuw in deze release:.

• (Radostan Riedel) Toegevoegd een AppArmor beleid voor fwknopd dat bekend is om te werken op Debian en Ubuntu-systemen. Het beleid bestand is beschikbaar op extras / apparmor / usr.sbin / fwknopd.
• [libfko] Nikolay Kolev meldde een build probleem met Mac OS X Mavericks waar de lokale fwknop kopieën van strlcat () en strlcpy () tegenstrijdig waren degenen die al worden geleverd met OS X 10.9. Sluit # 108 op GitHub.
• [libfko] (Franck Joncourt) Geconsolideerde FKO context dumpen functie in de lib / fko_util.c. Naast het toevoegen van een gedeelde nutsfunctie voor het afdrukken van een FKO context, deze wijziging maakt ook de FKO context uitgang iets gemakkelijker te ontleden door het afdrukken van elke FKO attribuut op een enkele lijn (deze verandering invloed op de afdrukken van de uiteindelijke SPA packet-gegevens). De test suite is bijgewerkt om rekening te houden met deze verandering ook.
• [libfko] Bug fix om niet SPA pakket decryptie met GnuPG proberen zonder FKO object met encryption_mode ingesteld op FKO_ENC_MODE_ASYMMETRIC. Deze bug werd betrapt met valgrind validatie tegen de perl FKO extensie samen met de set van SPA fuzzing pakketten in test / fuzzing / fuzzing_spa_packets. Merk op dat deze bug niet kan worden geactiveerd via fwknopd omdat er extra controles worden uitgevoerd binnen fwknopd zich FKO_ENC_MODE_ASYMMETRIC dwingen wanneer een access.conf strofe bevat GPG sleutel informatie. Deze correctie versterkt libfko zich zelfstandig te eisen dat het gebruik van FKO objecten zonder GPG sleutel informatie niet leidt tot een poging GPG decryptie operaties. Vandaar deze correctie geldt hoofdzakelijk voor derden gebruik van libfko
• dit wil zeggen. voorraad installaties van fwknopd worden niet beïnvloed. Zoals altijd, is het raadzaam om zoveel mogelijk HMAC geverifieerd encryptie te gebruiken, zelfs voor GPG modi, omdat dit ook een werk rond zelfs voor libfko voorafgaand aan deze correctie.
• [Android] (Gerry Reno) Bijgewerkt de Android-client compatibel te zijn met Android-4.4.
• [Android] Toegevoegd HMAC ondersteuning (momenteel optioneel).
• [server] Updated pcap_dispatch () standaard pakket tellen van nul tot 100. Deze wijziging is aangebracht om achterwaartse compatibiliteit met oudere versies van libpcap per de man pagina pcap_dispatch () zorgen, en ook omdat sommige van een verslag van Les Aker van een onverwachte crash op Arch Linux met libpcap-1.5.1, dat wordt vastgesteld door deze verandering (sluit # 110).
• [server] Bug fix voor SPA NAT modes op iptables firewalls om ervoor te zorgen dat aangepaste fwknop ketens worden opnieuw gemaakt wanneer ze worden verwijderd uit onder de lopende fwknopd instantie.
• [server] Toegevoegd FORCE_SNAT de access.conf bestand, zodat per-toegang strofe SNAT criteria kunnen worden opgegeven voor SPA toegang.
• [testsuite] toegevoegd --gdb-test om te maken een eerder uitgevoerde fwknop of fwknopd commando te worden verzonden via gdb met dezelfde opdrachtregel args als de test suite gebruikt. Dit is voor het gemak om snel te laten gdb om gelanceerd te worden bij het onderzoek fwknop / fwknopd problemen.
• [opdrachtgever] (Franck Joncourt) Toegevoegd --stanza-lijst argument om de strofe namen uit ~ / .fwknoprc tonen.
• [libfko] (Hank Leininger) droeg een patch om sterk uit te breiden libfko foutcode omschrijvingen op verschillende plaatsen om veel betere informatie over wat bepaalde fout voorwaarden betekenen geven. Sluit # 98.
• [testset] Toegevoegd de mogelijkheid om perl FKO module ingebouwd tests uit te voeren in de t / directory onder de CPAN Test :: Valgrind module. Dit maakt het mogelijk valgrind geheugen controles moeten worden toegepast op functies libfko via de perl FKO module (en dus rapid prototyping kan gecombineerd worden met het geheugen lekdetectie). Er wordt gecontroleerd om te zien of de test :: Valgrind module is geïnstalleerd, en --enable-valgrind is ook vereist (of --enable-all) op de test-fwknop.pl opdrachtregel.

Wat is nieuw in versie 2.5.1:

• Een bugfix in de fwknop client naar terminal instellingen opnieuw om waarden orignal na het invoeren van toetsen via stdin.
• Een bugfix in de fwknopd daemon om een ​​PID-bestand bestaan ​​waarschuwing.
niet afdrukken
• Een test suite bugfix om een ​​iptables Rijndael HMAC testen op niet-Linux-systemen niet worden uitgevoerd.

Wat is nieuw in versie 2.5:

• Deze versie ondersteuning toegevoegd voor HMAC SHA-256 geauthenticeerd encryptie in het versleutelen-dan-authenticate model.
• Veel bugs door de Coverity statische analyser ontdekt werden vastgesteld.
• OpenSSL de testen werden toegevoegd aan de test suite.
• Client strofe besparen mogelijkheid is toegevoegd voor de ~ / .fwknoprc bestand, vereenvoudigen fwknop gebruik client.
• De mogelijkheid om zowel Rijndael en HMAC toetsen met de- toets-gen automatisch te genereren werd toegevoegd.

Wat is nieuw in versie 2.0.4:

• Op de server, deze release voegt een chain_exists () controleren om SPA regel creatie zodat als een van de fwknop ketens worden verwijderd uit onder fwknopd, zullen ze opnieuw worden gemaakt op de vlieg.
• Het voegt nieuwe SPA pakket fuzzing mogelijkheid om de test suite om te helpen bij de validatie van SPA operaties.
• Het voegt parvenu config voor systemen waarop de parvenu daemon.
• Een OpenBSD ndbm / gdbm gebruik bugfix.
• ICMP type / de code opdrachtgever command line argumenten zijn toegevoegd voor als SPA pakketten over ICMP worden verzonden.

Wat is nieuw in versie 2.0.3:

• Verschillende DoS / code uitvoeren kwetsbaarheden voor kwaadaardige fwknop klanten die erin slagen voorbij de authenticatie fase (dus deze cliënten moet een geldige encryptiesleutel bezitten) te krijgen zijn vastgesteld.
• Rechten en eigenaarschap controles zijn toegevoegd aan alle verbruikt door de fwknop client en server-bestanden.
• RPM bouwt zijn door het opnemen van de $ (DESTDIR) voorvoegsel voor uninstall-lokaal en installeer-exec-hook stadia in Makefile.am vastgesteld.

Wat is nieuw in versie 2.0.2:

• Betere afhandeling van GnuPG voor SPA pakket decryptie op de server-side (rekeningen geen passphrase GPG sleutels wanneer gpg-agent of pinentry anderszins vereist).
• Een bugfix in SPA pakket replay detectie code.
• Een cheque voor het bestaan ​​van het iptables 'comment' match wanneer de dienst wordt ingezet op Linux.
• Verschillende andere bugfixes.

Wat is nieuw in versie 2.0:.

• Dit is de productie release van de fwknop C rewrite
• Het brengt Single Packet Machtiging tot drie verschillende Open Source firewalls (iptables, ipfw, en pf), embedded systemen en mobiele apparaten.
• De fwknopd server draait op Linux, Mac OS X, FreeBSD en OpenBSD.
• De client draait op al deze platformen evenals Android, de iPhone, en Cygwin onder Windows.
• Daarnaast is de opdrachtgever is draagbaar en kan worden samengesteld als een native Windows binary.

Wat is nieuw in versie 2.0 RC5:

• Deze versie voegt OpenBSD PF ondersteuning, voegt een nieuwe FORCE_NAT modus om transparant te dwingen geverifieerde verbindingen tot bepaalde interne systemen, voegt een uitgebreide test suite, en voegt de mogelijkheid om automatisch te vervallen SPA toetsen.
• Verschillende afhandeling van het geheugen bugfixes werden gemaakt.

Wat is nieuw in versie 1.9.12:

• De FKO module die deel uitmaakt van de libfko bibliotheek werd volledig geïntegreerd voor alle SPA routines:. encryptie / decryptie, verteren berekening, replay aanval detectie, etc
• De mogelijkheid om te herstellen van interface error omstandigheden werd toegevoegd, zoals wanneer fwknopd snuift een ppp-interface (bijvoorbeeld in verband met een VPN), die weg gaat en dan wordt opnieuw gemaakt.
• De fwknop opdrachtgever is bijgewerkt naar de SPA bestemming voordat DNS-resolutie onder meer bij het verzenden van een SPA-pakket meer dan een HTTP-aanvraag.