tonny_bennet Posted September 23, 2016 · Report post Здравствуйте. Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает. Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать. Туннели построены на MikroTik. Вот настройки одного из пиров. > ip ipsec proposal print 1 name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m pfs-group=none > ip ipsec peer print 0 ;;; host1 address=5.55.55.164/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 > ip ipsec policy print 1 ;;; host0 - host1 src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 Подскажите стоит ли что-то менять, и если стоит то что? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 23, 2016 · Report post "на всякий случай" сойдет и так. А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tonny_bennet Posted September 23, 2016 · Report post А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы? Россия, RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами. "на всякий случай" сойдет и так. Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted September 23, 2016 · Report post за счет раскрытого Вами secret ваш трафик уже расшифрован xD Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
WY6EPT Posted September 23, 2016 · Report post Мне кажется как минимум md5 надо менять на sha256/512 А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc Ну и да, таи пароль надо было звёздочками закрыть, даже если он специально вставлен для паблика, как минимум никто бы не писал, что вы уже расшифрованы:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted September 24, 2016 · Report post Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted September 24, 2016 · Report post Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М. Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted September 24, 2016 · Report post Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М. Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями Или PC на том же Атоме. 70-80 Mb OpenVPN траффика пропустит через себя. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dim-Soft Posted September 24, 2016 · Report post RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tonny_bennet Posted September 26, 2016 · Report post Мне кажется как минимум md5 надо менять на sha256/512 А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc Спасибо. Попробую изменить и посмотреть на производительность. но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М. RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S за счет раскрытого Вами secret ваш трафик уже расшифрован xD <режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники> P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tonny_bennet Posted September 26, 2016 · Report post Мне кажется как минимум md5 надо менять на sha256/512 А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc Небольшое уточнение: В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
applx Posted September 26, 2016 · Report post можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tonny_bennet Posted September 26, 2016 (edited) · Report post можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1 простите не понял о чём речь Edited September 26, 2016 by tonny_bennet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...