Jump to content
Калькуляторы

Какие параметры IPSec шифрования выбрать MikroTik

Здравствуйте.

Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает.

 

Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать.

 

Туннели построены на MikroTik. Вот настройки одного из пиров.

 

> ip ipsec proposal print

1    name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m 
     pfs-group=none 


> ip ipsec peer print

0    ;;; host1
     address=5.55.55.164/32 local-address=:: passive=no port=500 
     auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" 
     generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no proposal-check=obey 
     hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
     lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 


> ip ipsec policy print 

1     ;;; host0 - host1
      src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any 
      protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no 
      sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 

 

Подскажите стоит ли что-то менять, и если стоит то что?

Share this post


Link to post
Share on other sites

"на всякий случай" сойдет и так.

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Share this post


Link to post
Share on other sites

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Россия,

RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню

не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами.

 

"на всякий случай" сойдет и так.

Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.

Share this post


Link to post
Share on other sites

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Ну и да, таи пароль надо было звёздочками закрыть, даже если он специально вставлен для паблика, как минимум никто бы не писал, что вы уже расшифрованы:)

Share this post


Link to post
Share on other sites

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Share this post


Link to post
Share on other sites

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

Share this post


Link to post
Share on other sites

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

 

Или PC на том же Атоме. 70-80 Mb OpenVPN траффика пропустит через себя.

Share this post


Link to post
Share on other sites

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Спасибо. Попробую изменить и посмотреть на производительность.

 

но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S

 

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

<режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники>

P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)

Share this post


Link to post
Share on other sites

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

 

Небольшое уточнение:

В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.

Share this post


Link to post
Share on other sites

можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1

простите не понял о чём речь

Edited by tonny_bennet

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.