os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity
doc/ru_RU.KOI8-R/articles/ipsec-must/article.xml
Gabor Kovesdan 77d737ee88 - Rename the share/sgml directories to share/xml 
- Fix build errors from the next change

Approved by:	doceng (implicit)
2012-10-01 11:56:00 +00:00

368 lines
11 KiB
XML
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<?xml version="1.0" encoding="koi8-r" standalone="no"?>
<!DOCTYPE article PUBLIC "-//FreeBSD//DTD DocBook XML V4.2-Based Extension//EN"
"../../../share/xml/freebsd42.dtd" [
<!ENTITY % entities PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Entity Set//RU" "../../share/xml/entities.ent">
%entities;
]>
<!--
The FreeBSD Russian Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/articles/ipsec-must/article.xml,v 1.7 2004/07/16 12:06:05 den Exp $
Original revision: r25543
-->
<article lang="ru">
<articleinfo>
<title>Независимое исследование работы IPsec во FreeBSD</title>
<author>
<firstname>David</firstname>
<surname>Honig</surname>
<affiliation>
<address><email>honig@sprynet.com</email></address>
</affiliation>
</author>
<pubdate>3 May 1999</pubdate>
<legalnotice id="trademarks" role="trademarks">
&tm-attrib.freebsd;
&tm-attrib.opengroup;
&tm-attrib.general;
</legalnotice>
<releaseinfo>$FreeBSD$</releaseinfo>
<abstract>
<para>Вы только что установили и настроили IPsec, и оно,
кажется, заработало. Как это можно проверить? Я опишу метод
экспериментальной проверки правильного функционирования
IPsec.</para>
</abstract>
</articleinfo>
<sect1 id="problem">
<title>Постановка задачи</title>
<para>Для начала предположим, что Вы <link linkend="ipsec-install">
настроили <emphasis>IPsec</emphasis></link>. Как Вы
узнаете, что IPsec <link linkend="caveat">работает</link>?
Несомненно, соединения не будет, если Вы неверно его
сконфигурировали. И оно, конечно, появится в выводе команды
&man.netstat.1;, когда Вы всё сделаете верно. Но можно ли
как-то подтвердить сам факт функционирования IPsec?</para>
</sect1>
<sect1 id="solution">
<title>Решение</title>
<para>Для начала немножко криптографической теории:</para>
<orderedlist>
<listitem>
<para>Шифрованные данные равномерно распределены по области
определения, то есть каждый символ имеет максимальную
энтропию;</para>
</listitem>
<listitem>
<para><quote>Сырые</quote> и несжатые данные как правило
избыточны, то есть их энтропия меньше максимально
возможной.</para>
</listitem>
</orderedlist>
<para>Предположим, что у Вас имеется возможность измерить энтропию
входящего и исходящего трафика на сетевом интерфейсе. В этом
случае Вы сможете легко отличить зашифрованные данные от
открытых, причём даже в том случае, когда часть данных в
<quote>режиме шифрования</quote> передаётся в открытом виде, к
примеру внешние заголовки IP, которые используются для
маршрутизации.</para>
<sect2 id="MUST">
<title>MUST</title>
<para><quote>Универсальный Статистический Тест для Генераторов
Случайных Чисел</quote> Уэли Маурера (Ueli Maurer's Universal
Statistical Test for Random Bit Generators), сокращённо <ulink
url="http://www.geocities.com/SiliconValley/Code/4704/universal.pdf">
<acronym>MUST</acronym></ulink> позволяет быстро измерить
энтропию последовательного набора данных. Используемый
алгоритм похож на алгоритм сжатия. <link linkend="code">В
приложении</link> приведён исходный код, позволяющий измерять
энтропию последовательных кусков данных размером около
четверти мегабайта.</para>
</sect2>
<sect2 id="tcpdump">
<title>Tcpdump</title>
<para>Ещё нам нужен способ сохранения информации,
проходящей через интерфейс. Программа &man.tcpdump.1;
позволяет сделать это в случае, если Вы <link
linkend="kernel">сконфигурировали своё ядро</link> с
поддержкой <emphasis>Пакетного Фильтра Беркли (Berkeley Packet
Filter)</emphasis>.</para>
<para>Команда</para>
<screen><userinput><command>tcpdump</command> -c 4000 -s 10000 -w <replaceable>dumpfile.bin</replaceable></userinput></screen>
<para>сохранит 4000 пакетов в файл
<replaceable>dumpfile.bin</replaceable>. В данном примере объём
записываемой информации в каждом пакете не может превышать
10,000 байтов.</para>
</sect2>
</sect1>
<sect1 id="experiment">
<title>Эксперимент</title>
<para>Повторите следующие шаги эксперимента:</para>
<procedure>
<step>
<para>Откройте два окна терминала и свяжитесь в одном из них с
каким-нибудь компьютером через канал IPsec, а в другом &mdash; с
обычным, <quote>незащищённым</quote> компьютером.</para>
</step>
<step>
<para>Теперь начните <link linkend="tcpdump">сохранять
пакеты</link>.</para>
</step>
<step>
<para>В <quote>шифрованном</quote> окне запустите команду &unix;
&man.yes.1;, которая будет выдавать бесконечный
поток символов <literal>y</literal>. Немножко подождите и
завершите её. Затем переключитесь в обычное окно (не
использующее канал IPsec) и сделайте то же самое.</para>
</step>
<step>
<para>Заключительный этап: запустите <link linkend="code">
MUST</link>, передав ему для обработки только что
сохранённые пакеты через командную строку. Вы должны
увидеть что-то вроде изображённого чуть ниже. Заметьте, что
безопасное соединение имеет 93% (6,7) от ожидаемого значения
(7,18), а обычное соединение &mdash; всего лишь 29%
(2,1).</para>
<screen>&prompt.user; <userinput>tcpdump -c 4000 -s 10000 -w <replaceable>ipsecdemo.bin</replaceable></userinput>
&prompt.user; <userinput>uliscan <replaceable>ipsecdemo.bin</replaceable></userinput>
Uliscan 21 Dec 98
L=8 256 258560
Measuring file ipsecdemo.bin
Init done
Expected value for L=8 is 7.1836656
6.9396 --------------------------------------------------------
6.6177 -----------------------------------------------------
6.4100 ---------------------------------------------------
2.1101 -----------------
2.0838 -----------------
2.0983 -----------------</screen>
</step>
</procedure>
</sect1>
<sect1 id="caveat">
<title>Замечание</title>
<para>Этот эксперимент показывает, что IPsec
<emphasis>действительно</emphasis> распределяет передаваемые
байты по области определения <emphasis>равномерно</emphasis>,
как и любое другое шифрование. Однако этот метод <emphasis>не
может</emphasis> обнаружить множество других изъянов в системе
(хотя я таковых не знаю). Для примера можно привести плохие
алгоритмы генерации или обмена ключами, нарушение
конфиденциальности данных или ключей, использование слабых в
криптографическом смысле алгоритмов, взлом ядра и т. д. Изучайте
исходный код, узнавайте, что там происходит.</para>
</sect1>
<sect1 id="IPsec">
<title>Определение IPsec</title>
<para>IPsec представляет собой протокол безопасного обмена
информацией по Internet. Существует в виде расширения к IPv4;
является неотъемлемой частью IPv6. Содержит в себе протокол
шифрования и аутентификации на уровне IP (межмашинное
<quote>host-to-host</quote> взаимодействие). SSL защищает
только лишь конкретный прикладной сокет;
<application>SSH</application> защищает вход на машину;
<application>PGP</application> защищает определённый файл или
письмо. IPsec шифрует всю информацию, передаваемую между двумя
машинами.</para>
</sect1>
<sect1 id="ipsec-install">
<title>Установка IPsec</title>
<para>Большинство современных версий FreeBSD уже имеют поддержку
IPsec. Вероятно, Вы должны будете лишь добавить опцию
<option>IPsec</option> в конфигурационный файл ядра, и после
сборки и инсталляции нового ядра, сконфигурировать соединение
IPsec с помощью команды &man.setkey.8;.</para>
<para>Более подробно о том, как запустить IPsec во FreeBSD можно
прочесть в <ulink url="&url.books.handbook;/ipsec.html">Руководстве
пользователя</ulink>.</para>
</sect1>
<sect1 id="kernel">
<title>src/sys/i386/conf/KERNELNAME</title>
<para>Для того, чтобы захватывать сетевой трафик при помощи
&man.tcpdump.1;, следующие строки должны присутствовать
в конфигурационном файле ядра. Не
забудьте после модификации запустить &man.config.8;, и, как
обычно, пересобрать и установить новое ядро.</para>
<programlisting>device bpf</programlisting>
</sect1>
<sect1 id="code">
<title>Универсальный Статистический Тест Маурера (размер блока
&mdash; 8 бит)</title>
<para>Оригинал нижеприведённого кода находится по <ulink
url="http://www.geocities.com/SiliconValley/Code/4704/uliscanc.txt">
этому адресу</ulink>.</para>
<programlisting>/*
ULISCAN.c ---blocksize of 8
1 Oct 98
1 Dec 98
21 Dec 98 uliscan.c derived from ueli8.c
This version has // comments removed for Sun cc
This implements Ueli M Maurer's "Universal Statistical Test for Random
Bit Generators" using L=8
Accepts a filename on the command line; writes its results, with other
info, to stdout.
Handles input file exhaustion gracefully.
Ref: J. Cryptology v 5 no 2, 1992 pp 89-105
also on the web somewhere, which is where I found it.
-David Honig
honig@sprynet.com
Usage:
ULISCAN filename
outputs to stdout
*/
#define L 8
#define V (1&lt;&lt;L)
#define Q (10*V)
#define K (100 *Q)
#define MAXSAMP (Q + K)
#include &lt;stdio.h&gt;
#include &lt;math.h&gt;
int main(argc, argv)
int argc;
char **argv;
{
FILE *fptr;
int i,j;
int b, c;
int table[V];
double sum = 0.0;
int iproduct = 1;
int run;
extern double log(/* double x */);
printf("Uliscan 21 Dec 98 \nL=%d %d %d \n", L, V, MAXSAMP);
if (argc &lt; 2) {
printf("Usage: Uliscan filename\n");
exit(-1);
} else {
printf("Measuring file %s\n", argv[1]);
}
fptr = fopen(argv[1],"rb");
if (fptr == NULL) {
printf("Can't find %s\n", argv[1]);
exit(-1);
}
for (i = 0; i &lt; V; i++) {
table[i] = 0;
}
for (i = 0; i &lt; Q; i++) {
b = fgetc(fptr);
table[b] = i;
}
printf("Init done\n");
printf("Expected value for L=8 is 7.1836656\n");
run = 1;
while (run) {
sum = 0.0;
iproduct = 1;
if (run)
for (i = Q; run &amp;&amp; i &lt; Q + K; i++) {
j = i;
b = fgetc(fptr);
if (b &lt; 0)
run = 0;
if (run) {
if (table[b] &gt; j)
j += K;
sum += log((double)(j-table[b]));
table[b] = i;
}
}
if (!run)
printf("Premature end of file; read %d blocks.\n", i - Q);
sum = (sum/((double)(i - Q))) / log(2.0);
printf("%4.4f ", sum);
for (i = 0; i &lt; (int)(sum*8.0 + 0.50); i++)
printf("-");
printf("\n");
/* refill initial table */
if (0) {
for (i = 0; i &lt; Q; i++) {
b = fgetc(fptr);
if (b &lt; 0) {
run = 0;
} else {
table[b] = i;
}
}
}
}
}</programlisting>
</sect1>
</article>
Reference in a new issue View git blame Copy permalink