Czasami
zachodzi konieczność zestawienia tunelu VPN pomiędzy zdalnymi
lokalizacjami np. pomiędzy centralą firmy a jej oddziałami. Cały ruch
pomiędzy lokalizacjami jest wtedy szyfrowany i nie może zostać
podsłuchany. Tunele można zestawić w różny sposób - poprzez urządzenia
sprzętowe lub wykorzystując dwa komputery z Linuksem. Czy możemy
wykorzystać do tego celu stare routery leżące na półce i już nie
wykorzystywane w firmie?
W opisywanym przypadku rozważono dwa routery Cisco 2600 z 48MB
flash oraz 64MB RAM, czyli maksimum dostępnej pamięci flash/ram.
Routery posiadały także odpowiednie oprogramowanie, pozwalające na
zestawienie tunelu IPSEC.
Łącze pomiędzy lokalizacjami miało przepływność 1Mbit. Czy taki sprzęt
wystarczy na obsłużenie połączenia z taką szybkością?
Testy przeprowadzono zestawiając tunele z różnym poziomem szyfrowania a
następnie dokonując operacji kopiowania pliku pomiędzy dwoma PC-tami z
Linuksem podłączonymi do obu końców tunelu. Kopiowanie odbywało się
przy pomocy protokołu FTP (server vsftp na jednym końcu tunelu,
przeglądarka Konqueror na drugim końcu). We wszystkich przypadkach
obciążenie routerów wynosiło oczywiście 99-100% mocy procesora.
Ustawienia tunelu VPN były następujące: zastosowano pre-shared key,
jako algorytm mieszający wybrano esp-md5-hmac, zmieniano algorytmy
szfrowania używające domyślnej długości klucza.
Dla szyfrowania algorytmem 3DES (długość klucza 168 bit) zmierzona
prędkość kopiowania pliku wynosiła 105 kB/s. Dla szyfrowania AES (klucz
o długości 128 bit) zmierzono 215kB/s. W celach porównawczych
zestawiono też tunel bez szyfrowania (tyko algorytm mieszający
esp-md5-hmac). Zmierzona prędkość kopiowania pliku w Konquerorze
wyniosła 414kB/s. Nie radzimy oczywiście używać ustawień bez
szyfrowania w sieci firmowej...
Najbardziej obiecującym zatem algorytmem był AES z kluczem o długości
128bit. Z powyższym szyfrowaniem wykonano zatem dodatkowe testy. Była
to symulacja połączenia internetowego o szybkości ok. 1Mbit i
zmierzenie obciążenie procesora routerów. Na interfejsie szeregowym
routerów ustalono prędkość transmisji (przy pomocy polecenia clock
rate) na 1300000 bodów. Próba kopiowania pliku wykazała prędkość
kopiowania 150kB/s. Obciążenie procesorów obu routerów wynosiło 65-67%.
Uzyskane wyniki potwierdzają, że para routerów 2600 wystarczy do
zestawienia tunelu VPN z szyfrowaniem AES przy pomocy klucza o długości
128kbit, co wydaje się dawać dostateczne bezpieczeństwo i powinna
poradzić sobie z szybkością łącza internetowego nawet 1-1,5Mbit.
Zapas mocy procesora wystarczy wtedy na dodatkowe operacje takie
jak routing czy NAT do Internetu.