Перейти к содержимому
Калькуляторы

Какие параметры IPSec шифрования выбрать MikroTik

Здравствуйте.

Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает.

 

Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать.

 

Туннели построены на MikroTik. Вот настройки одного из пиров.

 

> ip ipsec proposal print

1    name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m 
     pfs-group=none 


> ip ipsec peer print

0    ;;; host1
     address=5.55.55.164/32 local-address=:: passive=no port=500 
     auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" 
     generate-policy=no policy-template-group=default exchange-mode=main 
     send-initial-contact=yes nat-traversal=no proposal-check=obey 
     hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d 
     lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 


> ip ipsec policy print 

1     ;;; host0 - host1
      src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any 
      protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no 
      sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 

 

Подскажите стоит ли что-то менять, и если стоит то что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"на всякий случай" сойдет и так.

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А о каком государстве идет речь, каков статус передаваемых данных и каков юридический статус конторы?

Россия,

RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню

не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами.

 

"на всякий случай" сойдет и так.

Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Ну и да, таи пароль надо было звёздочками закрыть, даже если он специально вставлен для паблика, как минимум никто бы не писал, что вы уже расшифрованы:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все хорошо, но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

Та железка, где есть аппаратное ускорение шифрования, те же циски с модулями

 

Или PC на том же Атоме. 70-80 Mb OpenVPN траффика пропустит через себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

Спасибо. Попробую изменить и посмотреть на производительность.

 

но какая железка будет все это счастье реализовывать? Мы тут нарвались на то, что RB750 в принципе не тянут на скоростях больше 2-4М.

RB850Gx2 крайней редакции имеет аппаратный AES модуль, иначе или RB1100AHx2 или ССR1009 и выше

У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S

 

за счет раскрытого Вами secret ваш трафик уже расшифрован xD

<режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники>

P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется как минимум md5 надо менять на sha256/512

А шифрование 3des уже мамонт, я даже не уверен, что современные крипто фермы его будут долго колоть, поэтому и стоит взять как минимум aes256cbc

 

Небольшое уточнение:

В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно матчить proposal Phase1 / Phase2 я обычно использую AES256/SHA-1

простите не понял о чём речь

Изменено пользователем tonny_bennet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.