Comments | murav1ik: Шифрование в OpenVPN

murav1ik

Шифрование в OpenVPN

Apr 08, 2016 13:37

Всё хочу сесть и как нормальный человек написать о людях, о жизни, о своих внезапных открытиях и наблюдениях, да хоть о том, что наконец-то в Москву пришла весна. Но вместо этого моя голова занята мыслями вроде "как настроить juniper", "как организовать ipsec", "почему vpn себя так ведёт". Кажется, если так будет продолжаться и дальше, то я обрасту ( Read more... )

it-шное, помогите кто-нибудь!, за что я люблю этот мир, учусь, админские будни

Comments 19

hvostat_hvostat April 8 2016, 10:49:07 UTC

DES - небезопасное шифрование, он уже "вскрыт" его использовать нельзя.

3DES - просто последовательное трехкратное шифрование DES

AES - современный стойкий шифр, рекомендуемый к применению.

AES128 - более чем достаточно.

murav1ik April 8 2016, 11:35:06 UTC

Это всё так, но у меня на этом сервере уже несколько десятков клиентов.
Изменить шифрование теперь не так-то просто.

hvostat_hvostat April 8 2016, 11:43:28 UTC

Дык вот поменяй, пока их несколько десятков, в не сотен!

Кстати, pupptet / chef поставила-потискала?

hvostat_hvostat April 8 2016, 10:57:14 UTC

Далее, про статейку.

Я не совсем понимаю, почему ты нашла и стала читать именно её.

Linksys WRT54GL - это древняя, как говно мамонта, медленная игрушка.

Тестировать на ней - это, по меньшей мере, странно.

murav1ik April 8 2016, 11:36:12 UTC

Потому что это единственный сравнительный анализ, который я нашла.)
Мне кажется, не столь важно, на чем гоняли эти тесты, - мне было интересно посмотреть разницу в использовании ресурсов.

hvostat_hvostat April 8 2016, 11:41:12 UTC

Тестировать надо на том, на чём ты будешь это юзать.

Пример простой - есть большое количество "железок", в которых для ускорения работы AES стоит специальный аппаратный модуль.

Если ставить DES, то работать на них оно будет еле-еле.
А если выставить AES, то перформанс будет поражать воображение.

rustedowl April 8 2016, 12:09:36 UTC

DES-EDE3-CBC - это 3DES, так что все еще безопасно.
Но оптимизацией занимаются только для шифра AES, раз уж он промышленный стандарт.

rustedowl April 8 2016, 12:08:24 UTC

OpenVPN работает последовательно с двумя шифрами. При установлении соединения и обработке сертификатов он использует алгоритм RSA и размер ключей который ты сгененрировала когда создавала сертификаты. Можно использовать алгоритм EC, при некотором желании, но я не уверен что он везде поддерживается, давно не проверял. Создается туннель обмена ключами, по немного нестандартному TLS (не углублялся, но OpenVPNовский TLS можно запросто отличить от остального). Как будут шифроваться данные в этом тунеле задается директивой tls-cipher ( ... )

funker April 8 2016, 14:23:58 UTC

Я отключал шифрование данных на туннеле из Москвы в жопу мира с пингами под 90 мс, когда очень надо было добиться устойчивой работы SIP, а шифрование было необязательно. Помогло. Но без крайней необходимости лучше так не делать.

murav1ik April 8 2016, 14:36:30 UTC

То есть, со стороны сервера был прописан cipher, а на клиенте было указано none?

funker April 8 2016, 14:37:30 UTC

Нет. С обеих сторон было указано none.

murav1ik April 8 2016, 14:39:04 UTC

Как при этом не потерялись клиенты с шифрованием?

Thread 11