Jump to content

Какие параметры IPSec шифрования выбрать

tonny_bennet
 Share

Recommended Posts

tonny_bennet

tonny_bennet

Posted
Posted

Здравствуйте.

Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает.

 

Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать.

 

Туннели построены на MikroTik. Вот настройки одного из пиров.

 

> ip ipsec proposal print

1    name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m 
     pfs-group=none 


> ip ipsec peer print

0    ;;; host1
     address=5.55.55.164/32 local-address=:: passive=no port=500 
     auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" 
     generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no proposal-check=obey 
     hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
     lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 


> ip ipsec policy print 

1     ;;; host0 - host1
      src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any 
      protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no 
      sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0

 

Подскажите стоит ли что-то менять, и если стоит то что?

ShyLion

ShyLion

Posted
Posted

"на всякий случай" сойдет и так.

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

tonny_bennet

tonny_bennet

Posted
  • Author
Posted

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Россия,

RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню

не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами.

 

"на всякий случай" сойдет и так.

Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.

WY6EPT

WY6EPT

Posted
Posted

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Ну и да, таи пароль надо было звёздочками закрыть, даже если он специально вставлен для паблика, как минимум никто бы не писал, что вы уже расшифрованы:)

SyJet

SyJet

Posted
Posted

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

vlad11

vlad11

Posted
Posted

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

 

Или PC на том же Атоме. 70-80 Mb OpenVPN траффика пропустит через себя.

tonny_bennet

tonny_bennet

Posted
  • Author
Posted

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Спасибо. Попробую изменить и посмотреть на производительность.

 

но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S

 

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

<режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники>

P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)

tonny_bennet

tonny_bennet

Posted
  • Author
Posted

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

 

Небольшое уточнение:

В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.