[tonny_bennet]

Здравствуйте.

Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает.

 

Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать.

 

Туннели построены на MikroTik. Вот настройки одного из пиров.

 

> ip ipsec proposal print

1    name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m 
     pfs-group=none 


> ip ipsec peer print

0    ;;; host1
     address=5.55.55.164/32 local-address=:: passive=no port=500 
     auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" 
     generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no proposal-check=obey 
     hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
     lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 


> ip ipsec policy print 

1     ;;; host0 - host1
      src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any 
      protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no 
      sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 

 

Подскажите стоит ли что-то менять, и если стоит то что?

[ShyLion]

"на всякий случай" сойдет и так.

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

[tonny_bennet]

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Россия,

RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню

не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами.

 

"на всякий случай" сойдет и так.

Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.

[Nik0n]

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

[WY6EPT]

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Ну и да, таи пароль надо было звёздочками закрыть, даже если он специально вставлен для паблика, как минимум никто бы не писал, что вы уже расшифрованы:)

[taf_321]

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

[SyJet]

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

[vlad11]

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

 

Или PC на том же Атоме. 70-80 Mb OpenVPN траффика пропустит через себя.

[Dim-Soft]

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

[tonny_bennet]

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Спасибо. Попробую изменить и посмотреть на производительность.

 

но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S

 

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

<режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники>

P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)

[tonny_bennet]

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

 

Небольшое уточнение:

В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.

[applx]

можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1

[tonny_bennet]

можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1

простите не понял о чём речь

Edited September 26, 2016 by tonny_bennet