Архив за Март, 2010Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования. Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA. Схема такая: (FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client) Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола. __________________________ Включаем шифрование. Метки: ASA, cisco, IPSec, ISR 1841, vyatta, скорость, сравнение Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key). Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4. Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II Метки: cisco, IPSec, vyatta, настройка Теперь усложним задачу: попробуем «прокинуть порт» внутрь. Или другими словами, анонсировать какой-нибудь сервис наружу МСЭ. Для этого нам понадобится 2 конструкции: Как уже отмечал выше, на Vyatta реализовано 2 основных вида сетевых трансляций: трансляция адреса источника, когда идём наружу МСЭ (inside), и трансляция адреса назначения, когда идём снаружи МСЭ (destination). Разница в том, с какой стороны можно инициировать сессии. В первом случае – изнутри, а во втором – снаружи МСЭ. При этом нам нет необходимости описывать ответные пакеты: при прохождении первого пакета мы запоминаем (кэшируем) трансляцию и ответные пакеты уходят, используя эту запись в кэше. Итак, для примера попробуем анонсировать наружу web-сервер 10.4.4.100 по порту 80 адреса интерфейса. Метки: vyatta, анонс сервиса, сложные протоколы Едем дальше. Попробуем добавить безопасности. Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling). Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже. Все глобальные параметры межсетевого экранирования собраны в режиме Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа). Для начала описываем действие, которое мы хотим сделать с пакетом Метки: firewall, vyatta, МСЭ, настройка 11 марта 2010г состоялся увлекательный семинар Миши Кадера в Московской cisco про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей. Для начала экскурс в историю: По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах): Метки: cisco, ввоз, правила, таможня, ФСБ, ФСТЭК Асимметричное шифрование, в отличие от симметричного, не требует одинакового ключа для шифрования и расшифровывания у двух контрагентов. Асимметричное шифрование подразумевает наличие у каждой из сторон нескольких связанных ключей, каждый из которых выполняет определенные функции. Рассмотрим самую распространенную схему – у каждой из сторон по паре ключей. В каждой паре один ключ называется открытым и его можно передавать по незащищенным каналам связи, а второй – закрытым и его никогда не передают по открытым канал связи. Пусть у нас есть ключи хоста A: открытый E(A) (encrypt) и D(A) (decrypt) Примечание: чтобы излишне не усложнять дальнейшее изложение, не будем разделять в условных обозначениях шифрование и расшифровывание. К тому же часто на самом деле это одна и та же процедура, только выполняющаяся на разных ключах. Тогда для произвольной строки text выполняется равенство: [[text]E(A)]D(A)=text И наоборот [[text]D(A)]E(A)=text Метки: certificate, PKI, сертификат, удостоверяющий центр Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова Интерфейсы. Причем команда Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду. Метки: vyatta, маршрутизатор, начальные настройки Сейчас на нашем рынке сетевых устройств для сетей, чуть более сложных, чем домашние, сложилась патовая ситуация: в связи с введением новых таможенных правил на ввоз криптографии практически заморожен приток любого нового оборудования. Однако, бизнес ждать не любит и требует заменителей. Поэтому активизировалось желание найти более-менее адекватную замену cisco ISR и научиться при помощи нее строить сети небольших контор. Весьма неплохой набор, надо признать! Ядро поддерживает большое количество разных интерфейсов, от банальных ethernet и serial, до беспроводных, агрегированных линков и вланов. Это позволяет задействовать ещё один скрытый резерв: часто у компаний лежат без дела несколько устаревшие или маломощные сервера, часто рэковые и брендовые, которые выбросить жалко, а использовать не получается. Тогда можно пристрелить сразу несколько зайцев и существенно сэкономить. Метки: router, vyatta, маршрутизатор |