Fórumok
Helló,
Két lokáció között van IP tunnel. Minden ami a tunelben van eleve titkosított (SSH, HTTPS-en, stb), így szükséges/érdemes e a tunel fölé titkosítást (IPsec) rakni, vagy tökmindegy?
A fő ok amiatt kérdezem, mivel mikrotikben nem lehet fastpath a tunnelen ha ipsec van, nem tudom ez mennyit lassit majd a dolgon.
Hozzászólások
> Minden ami a tunnelben van eleve titkosított...
Egészen addig, amíg véletlenül arra nem küldesz valamit, ami nem titkosított...
Egyébként, Te tudod, hogy az egyes IP fejléceidet, SNI csomagokat, stb. mennyire akarod elrejteni a külvilágtól...
BTW, az ipsec erőforrás-igénye mellett a fastpath hiánya lesz a legkisebb bajod.
HW-ből megy az ipsec titkosítás, így ez nem okoz gondot.
A véletlen dologra, hát ennyi erővel a neten is kimehet titkosítatlanul. Ezt nem tartom reális veszélynek.
node a lényeges rész, akkor ezek az ip fejléc stb dolog. Ez mennyire valós veszély? Mire lehet használni?
Domain, tárhely és webes megoldások: aWh
trackelésre, és profilozásra.
zrubi.hu
A legerosebb mikrotik 60Mbps-t tud 1 tunnelen a 64bytos csomagmeretnel, azert ez - fuggoen attol, hogy mit akarsz forgalmazni - nem tul izmos ;)
Köszi az infot, csináltam egy kis tesztet. RouterOS 6.45.7, KVM-ben, 2 vCPU (X5650), 1 GB RAM. Az egyik routernek csak 1 GBit-es uplinkje van.
IPIP tunnel titkosítás nélkül:
Kikapcsolt fast-path-val titkosítás nélkül:
Bekapcsolt IPSec-vel:
Iroda felé az 1 GBipes uplinkes routerről (60/10-es internet van), ahol hEX PoE van lerakva routerként:
IPsec bekapcsolva:
IPsec kikapcsolva:
Domain, tárhely és webes megoldások: aWh
mivel virtualizált a mikrotik - és x86 a platform, nem tenném rá a nyakam, hogy működik az IPSec gyorsítás
Kéne neki, a doksi szerint. De majd leprobalom, hgoy letiltom az aes-ni-t.
Domain, tárhely és webes megoldások: aWh
Hogyan készítetted a benchmarkot? (szakmai érdeklődés) Milyen csomagmérettel dolgozik ez?
https://wiki.mikrotik.com/wiki/Manual:Tools/Speed_Test
Domain, tárhely és webes megoldások: aWh
A nem titkosított (nem IPSec) tunnel nem véd a Man-in-the-Middle támadás ellen.
Jah, de a tunelre nem is security dolgok miatt van szükség, arra a benne lévő dolgok mennek titkosítva eleve.
Domain, tárhely és webes megoldások: aWh
Én mondjuk pályafutásom során elég kevés olyan helyet (beleértve a bankokat és nagyvállalatokat) láttam, ahol nem lehetett könnyedén MitM támadást végrehajtani, mert:
- SSH host kulcsok nem voltak dokumentálva, sőt upgrade során random cserélődhettek
- HTTPS esetén self signed certek, vagy csak simán IP-vel használva.
- lejárt, és/vagy rossz névre szóló tanúsítványok, és úgy általában totál csőd PKI szinten.
- ősrégi telefonos appok, ezeréve elavult "titkosítással" mentek,
- menet közben csak kiderültek olyanok, mint jaaa:
* az FTP-n megy, és kurva fontos.
* az egy direkt adatbázis kapcsolat, a vastag kliensek miatt,
* az xy vackok management interface-ei is "látszódnak"
* az NFS v3-at használ.
* de az "out of scope" :)
* az csak egy teszt rendszer
* azt épp leszereljük
* stb
de persze a fejlesztő már nem elérhető, (vagy csak simán nincs rá pénz) nem lehet változtatni
És akkor még az olyan bugokról nem is beszéltünk, amik az egyes protokolok titkosítását érintették, mint:
Szóval elméletben, egy optimális világban :igen "felesleges" a + titkosítási réteg.
Gyakorlatban viszont bizony van értelme, és hozzáad(hat) a teljes megoldásod biztonságához.
szerintem.
zrubi.hu
Én tennék titkosítást a tunnelre is, mivel akkor a DNS kéréseid valamint a routing információk is védve lennének...
A DNS kéréseket a helyi router szolgálja ki, ilyesmi semmikép nem menne a tunelen. A routing információ alatt mit értesz? Sajnos a teszt azt mutatja, hogy jelentős sebesség csökkenést kellene elszenvedni a titkosítás miatt.
Domain, tárhely és webes megoldások: aWh
Két lokációt írtál, gondolom két AS vagy csak 2 subnet, de ha nem static routing van akkor a routing protokoll(ok) kommunikálnak a site-ot közt.
Vagy logikailag csak egy site? Akkor csak az IP header-ek.
Wireshark szépen megmutatja mi megy nyílt an.
Ha nem akarod a világnak kihirdetni a belső infrastruktúrádat, akkor hasznos lehet. Titkosítás nélkül lehallgatható a két telep közötti forgalom, illetve mitm támadással injektálható a belső hálózatodba csomag. Persze, ha eleve egy honeypot a végcél, akkor nem szóltam.
Zavard össze a világot: mosolyogj hétfőn.