- Whitespace-only changes
Approved by: maxim
This commit is contained in:
Taras Korenko
parent
9bd931a1af
commit
55e04476a6
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=36009
1 changed files with 60 additions and 60 deletions
|
|
@ -21,7 +21,7 @@
|
|||
<surname>Honig</surname>
|
||||
|
||||
<affiliation>
|
||||
<address><email>honig@sprynet.com</email></address>
|
||||
<address><email>honig@sprynet.com</email></address>
|
||||
</affiliation>
|
||||
</author>
|
||||
|
||||
|
|
@ -35,9 +35,9 @@
|
|||
|
||||
<abstract>
|
||||
<para>Вы только что установили и настроили IPsec, и оно,
|
||||
кажется, заработало. Как это можно проверить? Я опишу метод
|
||||
экспериментальной проверки правильного функционирования
|
||||
IPsec.</para>
|
||||
кажется, заработало. Как это можно проверить? Я опишу метод
|
||||
экспериментальной проверки правильного функционирования
|
||||
IPsec.</para>
|
||||
</abstract>
|
||||
</articleinfo>
|
||||
|
||||
|
|
@ -45,7 +45,7 @@
|
|||
<title>Постановка задачи</title>
|
||||
|
||||
<para>Для начала предположим, что Вы <link linkend="ipsec-install">
|
||||
настроили <emphasis>IPsec</emphasis></link>. Как Вы
|
||||
настроили <emphasis>IPsec</emphasis></link>. Как Вы
|
||||
узнаете, что IPsec <link linkend="caveat">работает</link>?
|
||||
Несомненно, соединения не будет, если Вы неверно его
|
||||
сконфигурировали. И оно, конечно, появится в выводе команды
|
||||
|
|
@ -60,15 +60,15 @@
|
|||
|
||||
<orderedlist>
|
||||
<listitem>
|
||||
<para>Шифрованные данные равномерно распределены по области
|
||||
определения, то есть каждый символ имеет максимальную
|
||||
энтропию;</para>
|
||||
<para>Шифрованные данные равномерно распределены по области
|
||||
определения, то есть каждый символ имеет максимальную
|
||||
энтропию;</para>
|
||||
</listitem>
|
||||
|
||||
<listitem>
|
||||
<para><quote>Сырые</quote> и несжатые данные как правило
|
||||
избыточны, то есть их энтропия меньше максимально
|
||||
возможной.</para>
|
||||
<para><quote>Сырые</quote> и несжатые данные как правило
|
||||
избыточны, то есть их энтропия меньше максимально
|
||||
возможной.</para>
|
||||
</listitem>
|
||||
</orderedlist>
|
||||
|
||||
|
|
@ -84,35 +84,35 @@
|
|||
<title>MUST</title>
|
||||
|
||||
<para><quote>Универсальный Статистический Тест для Генераторов
|
||||
Случайных Чисел</quote> Уэли Маурера (Ueli Maurer's Universal
|
||||
Statistical Test for Random Bit Generators), сокращённо <ulink
|
||||
url="http://www.geocities.com/SiliconValley/Code/4704/universal.pdf">
|
||||
<acronym>MUST</acronym></ulink> позволяет быстро измерить
|
||||
энтропию последовательного набора данных. Используемый
|
||||
алгоритм похож на алгоритм сжатия. <link linkend="code"> В
|
||||
приложении</link> приведён исходный код, позволяющий измерять
|
||||
энтропию последовательных кусков данных размером около
|
||||
четверти мегабайта.</para>
|
||||
Случайных Чисел</quote> Уэли Маурера (Ueli Maurer's Universal
|
||||
Statistical Test for Random Bit Generators), сокращённо <ulink
|
||||
url="http://www.geocities.com/SiliconValley/Code/4704/universal.pdf">
|
||||
<acronym>MUST</acronym></ulink> позволяет быстро измерить
|
||||
энтропию последовательного набора данных. Используемый
|
||||
алгоритм похож на алгоритм сжатия. <link linkend="code">В
|
||||
приложении</link> приведён исходный код, позволяющий измерять
|
||||
энтропию последовательных кусков данных размером около
|
||||
четверти мегабайта.</para>
|
||||
</sect2>
|
||||
|
||||
<sect2 id="tcpdump">
|
||||
<title>Tcpdump</title>
|
||||
|
||||
<para>Ещё нам нужен способ сохранения информации,
|
||||
проходящей через интерфейс. Программа &man.tcpdump.1;
|
||||
позволяет сделать это в случае, если Вы <link
|
||||
linkend="kernel">сконфигурировали своё ядро</link> с
|
||||
поддержкой <emphasis>Пакетного Фильтра Беркли (Berkeley Packet
|
||||
Filter)</emphasis>.</para>
|
||||
проходящей через интерфейс. Программа &man.tcpdump.1;
|
||||
позволяет сделать это в случае, если Вы <link
|
||||
linkend="kernel">сконфигурировали своё ядро</link> с
|
||||
поддержкой <emphasis>Пакетного Фильтра Беркли (Berkeley Packet
|
||||
Filter)</emphasis>.</para>
|
||||
|
||||
<para>Команда</para>
|
||||
|
||||
<screen><userinput><command>tcpdump</command> -c 4000 -s 10000 -w <replaceable>dumpfile.bin</replaceable></userinput></screen>
|
||||
<screen><userinput><command>tcpdump</command> -c 4000 -s 10000 -w <replaceable>dumpfile.bin</replaceable></userinput></screen>
|
||||
|
||||
<para>сохранит 4000 пакетов в файл
|
||||
<replaceable>dumpfile.bin</replaceable>. В данном примере объём
|
||||
записываемой информации в каждом пакете не может превышать
|
||||
10,000 байтов.</para>
|
||||
<para>сохранит 4000 пакетов в файл
|
||||
<replaceable>dumpfile.bin</replaceable>. В данном примере объём
|
||||
записываемой информации в каждом пакете не может превышать
|
||||
10,000 байтов.</para>
|
||||
</sect2>
|
||||
</sect1>
|
||||
|
||||
|
|
@ -123,34 +123,34 @@
|
|||
|
||||
<procedure>
|
||||
<step>
|
||||
<para>Откройте два окна терминала и свяжитесь в одном из них с
|
||||
каким-нибудь компьютером через канал IPsec, а в другом — с
|
||||
обычным, <quote>незащищённым</quote> компьютером.</para>
|
||||
<para>Откройте два окна терминала и свяжитесь в одном из них с
|
||||
каким-нибудь компьютером через канал IPsec, а в другом — с
|
||||
обычным, <quote>незащищённым</quote> компьютером.</para>
|
||||
</step>
|
||||
|
||||
<step>
|
||||
<para>Теперь начните <link linkend="tcpdump">сохранять
|
||||
пакеты</link>.</para>
|
||||
<para>Теперь начните <link linkend="tcpdump">сохранять
|
||||
пакеты</link>.</para>
|
||||
</step>
|
||||
|
||||
<step>
|
||||
<para>В <quote>шифрованном</quote> окне запустите команду &unix;
|
||||
&man.yes.1;, которая будет выдавать бесконечный
|
||||
поток символов <literal>y</literal>. Немножко подождите и
|
||||
завершите её. Затем переключитесь в обычное окно (не
|
||||
использующее канал IPsec) и сделайте то же самое.</para>
|
||||
&man.yes.1;, которая будет выдавать бесконечный
|
||||
поток символов <literal>y</literal>. Немножко подождите и
|
||||
завершите её. Затем переключитесь в обычное окно (не
|
||||
использующее канал IPsec) и сделайте то же самое.</para>
|
||||
</step>
|
||||
|
||||
<step>
|
||||
<para>Заключительный этап: запустите <link linkend="code">
|
||||
MUST</link>, передав ему для обработки только что
|
||||
сохранённые пакеты через командную строку. Вы должны
|
||||
увидеть что-то вроде изображённого чуть ниже. Заметьте, что
|
||||
безопасное соединение имеет 93% (6,7) от ожидаемого значения
|
||||
(7,18), а обычное соединение — всего лишь 29%
|
||||
(2,1).</para>
|
||||
<para>Заключительный этап: запустите <link linkend="code">
|
||||
MUST</link>, передав ему для обработки только что
|
||||
сохранённые пакеты через командную строку. Вы должны
|
||||
увидеть что-то вроде изображённого чуть ниже. Заметьте, что
|
||||
безопасное соединение имеет 93% (6,7) от ожидаемого значения
|
||||
(7,18), а обычное соединение — всего лишь 29%
|
||||
(2,1).</para>
|
||||
|
||||
<screen>&prompt.user; <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>ipsecdemo.bin</replaceable></userinput>
|
||||
<screen>&prompt.user; <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>ipsecdemo.bin</replaceable></userinput>
|
||||
&prompt.user; <userinput>uliscan <replaceable>ipsecdemo.bin</replaceable></userinput>
|
||||
|
||||
Uliscan 21 Dec 98
|
||||
|
|
@ -168,8 +168,8 @@ Expected value for L=8 is 7.1836656
|
|||
</procedure>
|
||||
</sect1>
|
||||
|
||||
<sect1 id="caveat">
|
||||
<title>Замечание</title>
|
||||
<sect1 id="caveat">
|
||||
<title>Замечание</title>
|
||||
|
||||
<para>Этот эксперимент показывает, что IPsec
|
||||
<emphasis>действительно</emphasis> распределяет передаваемые
|
||||
|
|
@ -179,7 +179,7 @@ Expected value for L=8 is 7.1836656
|
|||
(хотя я таковых не знаю). Для примера можно привести плохие
|
||||
алгоритмы генерации или обмена ключами, нарушение
|
||||
конфиденциальности данных или ключей, использование слабых в
|
||||
криптографическом смысле алгоритмов, взлом ядра и т. д. Изучайте
|
||||
криптографическом смысле алгоритмов, взлом ядра и т. д. Изучайте
|
||||
исходный код, узнавайте, что там происходит.</para>
|
||||
</sect1>
|
||||
|
||||
|
|
@ -187,14 +187,14 @@ Expected value for L=8 is 7.1836656
|
|||
<title>Определение IPsec</title>
|
||||
|
||||
<para>IPsec представляет собой протокол безопасного обмена
|
||||
информацией по Internet. Существует в виде расширения к IPv4;
|
||||
информацией по Internet. Существует в виде расширения к IPv4;
|
||||
является неотъемлемой частью IPv6. Содержит в себе протокол
|
||||
шифрования и аутентификации на уровне IP (межмашинное
|
||||
<quote>host-to-host</quote> взаимодействие). SSL защищает
|
||||
только лишь конкретный прикладной сокет;
|
||||
<application>SSH</application> защищает вход на машину;
|
||||
<application>PGP</application> защищает определённый файл или
|
||||
письмо. IPsec шифрует всю информацию, передаваемую между двумя
|
||||
письмо. IPsec шифрует всю информацию, передаваемую между двумя
|
||||
машинами.</para>
|
||||
</sect1>
|
||||
|
||||
|
|
@ -221,18 +221,18 @@ Expected value for L=8 is 7.1836656
|
|||
забудьте после модификации запустить &man.config.8;, и, как
|
||||
обычно, пересобрать и установить новое ядро.</para>
|
||||
|
||||
<programlisting>device bpf</programlisting>
|
||||
<programlisting>device bpf</programlisting>
|
||||
</sect1>
|
||||
|
||||
<sect1 id="code">
|
||||
<title>Универсальный Статистический Тест Маурера (размер блока
|
||||
— 8 бит)</title>
|
||||
<sect1 id="code">
|
||||
<title>Универсальный Статистический Тест Маурера (размер блока
|
||||
— 8 бит)</title>
|
||||
|
||||
<para>Оригинал нижеприведённого кода находится по <ulink
|
||||
url="http://www.geocities.com/SiliconValley/Code/4704/uliscanc.txt">
|
||||
этому адресу</ulink>.</para>
|
||||
<para>Оригинал нижеприведённого кода находится по <ulink
|
||||
url="http://www.geocities.com/SiliconValley/Code/4704/uliscanc.txt">
|
||||
этому адресу</ulink>.</para>
|
||||
|
||||
<programlisting>/*
|
||||
<programlisting>/*
|
||||
ULISCAN.c ---blocksize of 8
|
||||
|
||||
1 Oct 98
|
||||
|
|
|
|||
Loading…
Reference in a new issue