Hallo,
ich habe mal eine allgemeine Frage zu den verschiedenen Verschlüsselungs- und Hashverfahren im Lancom.
In wie weit unterscheiden sich die unterschiedlichen Verfahren in Bezug auf Sicherheit und CPU-Last?
Ich betreue hier hauptsächlich Router der 171x und 172x Serie, wir haben aber auch noch einige 1611 Office im Einsatz.
Bei den "neueren" VPN-Verbindungen hat der Assistent meistens Verbindungen mit AES-Verschlüsselung eingerichtet, mal mit SHA, mal mit MD5 Hash. Die schon seit vielen Jahren bestehenden VPN-Verbindungen, hauptsächlich die der 1611 Office Geräte, sind hauptsächlich noch mit 3DES-Verschlüsselung und MD5 Hash konfiguriert.
Bringt es irgendwelche Vorteile die "alten" VPN-Verbindungen auch auf AES mit SHA umzustellen? Welche Schlüssellänge verwendet man dann am besten? Sind 256 Bit schon Paranoia, oder ergibt es einen praktikabelen Sicherheitsgewinn und wie wie würde sich das ganze auf die Performance gerade der alten Geräte auswirken?
Unsere 161x Office Geräte arbeiten alle mit ca. 3 aktiven VPN-Verbindungen, unsere 1722 auch mal mit bis zu 6-10 aktiven Verbindungen.
Ich würde mich über ein paar Praktische Erfahrungsberichte und Einschätzungen freuen...
Gruß und ein schönes Wochenende
Alfred
Allgemeine Frage zu Verschlüsselungsverfahren im Lancom
Moderator: Lancom-Systems Moderatoren
Re: Allgemeine Frage zu Verschlüsselungsverfahren im Lancom
Hi Alfred,
Heute erst wieder im Lande, daher die Verzögerung.
Ohne zuviel zu verraten kann ich sagen, das LANCOM eine Hardware verwendet die es erlaubt, verschiedene cryptgraphische Algorithmen in Hardware zu berechnen.
Wenn eine solche Berechnung durchgeführt wird hat die CPU Zeit andere Aufgaben abzuarbeiten. Ein Gewinn also.
Bei den alten Geräten von denen du bereichtet hast wird die Hardware nur für ESP verwendet.
Bei den neueren Geräten wird sie auch bei Funktionalitäten verwendet wie z.b. SSH o.ä..
Allerdings wobei nur die neueren SHA2 in Hardware können.
Allgemein solltest du auf AES und SHA1 umstellen.
AES ist der Nachfolger von DES/3DES das sollte ähnlich schnell sein, ich habe aber selber nie Messungen zwischen 3DES und AES gemacht.
Auch wenn es schwer ist Kollisionen für MD5-Hashes zu finden, ist es mit viel Aufwand möglich. Bei SHA1 oder SHA2 ist es bisher noch nicht gelungen eine Kollision zu schaffen, meines Wissens.
Nun weis ich nicht wie gefragt bzw. ungefragt Informationen eures Unternehmens sind, aber ich wüsste nicht warum man deswegen auf einen alten Standart zurückgreifen sollte, welche meistens, mit, relativ gesehen, weniger Aufwand verbunden, knackbar sind.
Der Vorteil ist Konformität der Einstellungen zwischen den Geräten.
Das mit der Performance der Geräte ist immer schwer zusagen da jeder Aufbau unterschiedlich ist. Sofern aber im Moment die CPU-Last im laufenden Betrieb gering ist, solltest Du wohl ohne größere Probleme umstellen können.
Gruß
Heute erst wieder im Lande, daher die Verzögerung.
Ohne zuviel zu verraten kann ich sagen, das LANCOM eine Hardware verwendet die es erlaubt, verschiedene cryptgraphische Algorithmen in Hardware zu berechnen.
Wenn eine solche Berechnung durchgeführt wird hat die CPU Zeit andere Aufgaben abzuarbeiten. Ein Gewinn also.
Bei den alten Geräten von denen du bereichtet hast wird die Hardware nur für ESP verwendet.
Bei den neueren Geräten wird sie auch bei Funktionalitäten verwendet wie z.b. SSH o.ä..
Allerdings wobei nur die neueren SHA2 in Hardware können.
Allgemein solltest du auf AES und SHA1 umstellen.
AES ist der Nachfolger von DES/3DES das sollte ähnlich schnell sein, ich habe aber selber nie Messungen zwischen 3DES und AES gemacht.
Auch wenn es schwer ist Kollisionen für MD5-Hashes zu finden, ist es mit viel Aufwand möglich. Bei SHA1 oder SHA2 ist es bisher noch nicht gelungen eine Kollision zu schaffen, meines Wissens.
Nun weis ich nicht wie gefragt bzw. ungefragt Informationen eures Unternehmens sind, aber ich wüsste nicht warum man deswegen auf einen alten Standart zurückgreifen sollte, welche meistens, mit, relativ gesehen, weniger Aufwand verbunden, knackbar sind.
Der Vorteil ist Konformität der Einstellungen zwischen den Geräten.
Das mit der Performance der Geräte ist immer schwer zusagen da jeder Aufbau unterschiedlich ist. Sofern aber im Moment die CPU-Last im laufenden Betrieb gering ist, solltest Du wohl ohne größere Probleme umstellen können.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.