COMPARISON OF THE EFFECT OF ENCRYPTION AND HASHING ALGORITHMS ON DATA TRANSFER RATE OF CLIENT-TO-SITE AND SITE-TO-SITE VPN CONNECTIONS UNDER LOAD


Cite item

Full Text

Abstract

Virtual private network (VPN) technology is currently the mainstay for the exchange of confidential information through Internet. The technologies used to protect traffic of such networks consume router resources and affect the processing speed. Use of routers to encrypt and decrypt data can affect the transfer rate of this data over such network, especially if such network carries not only VPN traffic, but also traffic of ordinary Internet users. This paper compares the impact of encryption and hashing algorithms on the process of transferring packets over two types of VPN connections: Client- to-Site and Site-to-Site connections. A study of the influence of encryption and hashing algorithms on the speed and performance of two VPN-connection technologies when loading a communication channel was carried out. This experiment was carried out on computer and physical models. The computer model of the network was created in the GNS3 network emulator, the physical model was assembled using the next generation routers with integrated services Cisco RV 340. The research results are presented in the form of graphs and diagrams.

Full Text

Введение При передаче сообщений по общедоступной сети Интернет основным требованием являет- ся безопасность сетей телекоммуникаций [1; 2]. Стоимость виртуальных частных сетей (VPN) значительно ниже выделенных линий, притом что создаваемые VPN-соединения обеспечивают требуемый уровень защиты от угроз. Для обеспе- чения безопасности таких сетей широко исполь- зуется набор протоколов IPsec, реализуемых на сетевом уровне [3]. IPsec включает три основных протокола: заголовка аутентификации (Authentication Header - AH); обеспечения конфиденциальности (Encapsu- lating Security Payload - ESP); обмена секретными ключами (Internet Se- curity Association and Key Management Protocol - ISAKMP). Функции AH и ESP в значительной степени перекрываются, поэтому для создания VPN вы- бирают один из протоколов, в предлагаемой ра- боте - ESP. Функция Название протокола IPsec AH ESP Шифрован. DES 3DES AES SEAL Целостность MD5 SHA-1 SHA-2 SHA-3 Аутентифик. PSK RSA Ключи DH1 DH2 DH5 DH14 Таблица. Протоколы и алгоритмы IPsec Для создания туннеля IPsec применяется ряд алгоритмов: шифрования, проверки целостности (хеширования), аутентификации, обмена ключа- ми (таблица), которые требуют дополнительных ресурсов маршрутизатора, что влияет на скорость передаваемых файлов по VPN-соединению. Проведение эксперимента Для изучения влияния степени загрузки кана- ла связи на скорость передачи данных по VPN- соединению было реализовано две модели сети с различными типами VPN [4]: Client-to-Site (рису- нок 1), Site-to-Site (рисунок 2). Компьютерное моделирование соединений VPN проведено на эмуляторе GNS3 [5], где на маршрутизаторах был задан ряд параметров, предусмотренных стандартом IPSec [3]. Для настройки IPSec необходимо: настроить систему авторизации и учета со- бытий для добавления пользователей, которым будет разрешен доступ по VPN (только для Cli- ent-to-Site); настроить политику ISAKMP: выбрать алго- ритм шифрования, алгоритм хеширования, вы- брать группу Диффи - Хелмана, выбрать метод аутентификации, где данные настройки соответ- ствуют настройке первой фазы IPSec; настройка второй фазы включает в себя на- стройку набора преобразований (настройку ис- пользуемых алгоритмов шифрования и хеширо- вания), а также настройку алгоритмов передачи AH или ESP; Рисунок 1. Модель с VPN-туннелем Client-to-Site настроить динамическую криптографиче- скую карту и привязать настройки IPSec к ней; так как динамическую криптографическую карту нельзя привязать к интерфейсу, то необхо- димо создать обычную криптографическую кар- ту и связать ее с динамической, затем привязать созданную криптографическую карту к выходя- щему интерфейсу маршрутизатора. В первой фазе настройки IPsec указан ряд ал- горитмов и протоколов: crypto isakmp policy 101; encr aes; hash md5; authentication pre-share; group 2. Приведенная последовательность команд за- дает политику (101). При моделировании исполь- зуется алгоритм шифрования (encr aes), который рекомендован в настоящее время. Алгоритм про- верки целостности (hash md5) считается устарев- шим, но MD5 широко используется при обучении студентов, поскольку принцип его работы тот же, что и новых алгоритмов [6]. Для аутентификации использован алгоритм общего секретного ключа (pre-shared secret key - PSK). Параметр (group 2) позволяет устройствам на двух сторонах туннеля создать общий секретный ключ для шифрования данных при обмене по сети открытыми ключами (метод Diffie-Hellman - DH). Алгоритмы DH1, DH2, DH5 вполне пригодны для моделирования, т. к. реальных угроз при моделировании нет. За- тем производится обмен ключами аутентифика- ции: RA(config)#crypto isakmp key cisco2021-1 address 200.10.10.2 RB(config)#crypto isakmp key cisco2021-1 address 200.10.10.1 Вторая фаза создания VPN-туннеля начинает- ся с создания набора преобразования (Transform Set), который назван VPN-SET-1: Рисунок 2. Модели с VPN-туннелем Site-to-Site RA(config)#crypto ipsec transform- set VPN-SET-1 esp-aes esp-md5-hmac Алгоритмы шифрования (esp-aes) и «хеши- рования» набора VPN-SET-1 (esp-md5-hmac) должны совпадать с соответствующими параме- трами политики ISAKMP. Создаваемая далее криптографическая карта (crypto map) содержит наборы правил для разных VPN-туннелей. Набор правил идентифицирует порядковый номер (10 в нижеприведенном при- мере): RA(config)#crypto map MAP-1 10 ip- sec-isakmp RA(config-map)#set peer 200.10.10.2 RA(config-map)#set transform-set VPN-SET-1 RA(config-map)#match address SPISOK Последняя строка конфигурации разрешает передачу данных по туннелю при совпадении адресов со списком доступа SPISOK. Привязка криптокарты к исходящему интер- фейсу производится по команде: RA(confi interface FastEthernet0/1 RA(confi crypto map MAP-1 RA(confi ip access-list extended SPISOK RA(confi permit ip В завершение конфигурирования формирует- ся список контроля доступа с именем SPISOK, которое было использовано при создании крипто- карты: 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 На каждой из моделей сети, представленных на рисунках 1, 2, было проведено исследование влияния степени загрузки канала связи на ско- рость передачи данных по VPN-соединению с различными типами шифрования и хеширования: aes/sha, aes/md5, 3des/sha, 3des/md5 [7]. Суть ис- следования состояла в том, что при подключении а б Рисунок 3. Скорость передачи пакетов для одного пользователя: a - VPN Client-to-Site; б - VPN Site-to-Site ПК к серверу по виртуальной частной сети загру- жался с FTP-сервера один файл, фиксировалось показание скорости загрузки данного файла; за- тем проводилась одновременная загрузка от двух до девяти файлов одинакового размера с того же сервера, также фиксировались скорости загрузки всех файлов. В качестве FTP-сервера использова- лась программа FileZilla [8] Server, подключение к которой со стороны клиента происходило с по- мощью файлового менеджера FileZilla Client. Во время подключения большого числа поль- зователей к VPN, каждый из них скачивал файлы с FTP-сервера, тем самым происходило увели- чение нагрузки на канал связи. С помощью про- граммы Wireshark [9] фиксировалось изменение скорости передачи файлов для одного пользо- вателя для всех типов VPN. Данные результаты приведены на рисунках 3, а (VPN Client-to-Site) и б (VPN Site-to-Site). На данных рисунках изображено изменение числа передаваемых пакетов в единицу времени (по оси Х - время в секундах, по оси У - число передаваемых пакетов). Скорость передачи па- кетов в VPN типа Client-to-Site при увеличении нагрузки на канал связи уменьшается плавно по экспоненциальному закону, тогда как при увели- чении нагрузки на канал связи в VPN типа Site- to-Site скорость передачи пакетов уменьшается резкими рывками и в некоторые моменты време- ни достигает нулевого значения. После загрузки были посчитаны средние ско- рости всех одновременно загруженных файлов. Результаты представлены в виде столбчатых диа- грамм, которые приведены на рисунках 4, а (VPN а б Рисунок 4. Результаты компьютерного моделирования: a - VPN Client-to-Site; б - VPN Site-to-Site Client-to-Site) и б (VPN Site-to-Site). На приведен- ной диаграмме по оси Х отложены столбцы, ко- торые обозначают скорости передачи данных по VPN-соединению при одновременной загрузке от одного до девяти файлов одного размера. Из рисунков 4, а и б понятно, что наивысший показатель скорости передачи файлов показыва- ет VPN-туннель с алгоритмами aes/sha. Также из рисунка 4, а видно, что при большой нагрузке на канал связи при алгоритмах 3des/md5 и 3des/sha происходит разрыв соединения. Проверка достоверности результатов компью- терного моделирования проведена на физической модели сети. Для этого был создан программно- аппаратный комплекс на базе маршрутизаторов нового поколения с интегрированными услугами Cisco RV340 [10]. Эксперимент проводился так же, как и при компьютерном моделировании. Клиент подклю- чался по VPN к FTP-серверу и скачивал один файл, скорость передачи этого файла фиксиро- валась; далее клиент увеличивал число скачиваа б Рисунок 5. Результаты физического моделирования: a - VPN Client-to-Site; б - VPN Site-to-Site емых файлов от двух до девяти, высчитывалась средняя скорость передаваемых файлов, и полу- ченный результат фиксировался. Результаты эксперимента на физической мо- дели представлены в виде столбчатых диаграмм на рисунках 5, а (Client-to-Site) и б (Site-to-Site). Анализ результатов Из результатов эксперимента видно, что с уве- личением нагрузки на канал связи скорость за- грузки первого файла с FTP-сервера снижается. Технология Client-to-Site имеет самые высо- кие скорости загрузки для типов шифрования/ хеширования aes/sha и aes/md5, но они не превы- шают скорость технологии Site-to-Site. Однако при сочетании алгоритмов шифрования/хеширо- вания 3des/md5 и 3des/sha при большой нагрузке на канал связи, более пяти одновременно загру- жаемых файлов, VPN-туннель «разрушается» и дальнейшее его использование невозможно. В VPN-соединении типа Site-to-Site параме- тры aes/sha поддерживают самую высокую ско- рость передачи файлов. При физическом моделировании прослежи- вается та же закономерность, что и при компью- терном: с увеличением нагрузки на канал связи скорость загрузки файлов снижается. При со- вместном использовании типа шифрования 3des и всех типов хеширования в технологии Client-to- Site VPN-туннель работает нестабильно: соеди- нение показывало предельно высокие скорости загрузки (выше 1 Гбайт/с), что приводило к отка- зу конечного оборудования (персонального ком- пьютера). При всех остальных сочетаниях типов шифрования и хеширования значительной разни- цы в скорости передачи данных не наблюдается. Заключение Исходя из приведенных в работе результатов, можно сделать выводы: с увеличением нагрузки на канал связи ско- рость загрузки файлов снижается; для организации VPN рекомендуется при- менять алгоритмы шифрования и хеширования aes/sha, и, как видно из полученных результатов, при этом сочетании алгоритмов шифрования/хе- ширования VPN-туннель показывает стабильную работу под нагрузкой, а также имеет высокий по- казатель скорости по сравнению с другими соче- таниями; при компьютерном моделировании у всех технологий VPN наилучший показатель скорости загрузки файлов был с параметрами aes/sha; физическое моделирование подтвердило ре- зультаты моделирования и показало, что во всех рассмотренных типах VPN и при любом сочета- нии алгоритмов шифрования и хеширования нет существенной разницы в скорости передачи фай- лов, и поэтому следует использовать рекомендо- ванные сочетания алгоритмов, а именно aes/sha, так как они обладают лучшей защищенностью.
×

About the authors

N. N Vasin

Povolzhskiy State University of Telecommunications and Informatics

Email: vasin-nn@psuti.ru
Samara, Russian Federation

E. M Alennikov

Povolzhskiy State University of Telecommunications and Informatics

Email: ealennikov@yandex.ru
Samara, Russian Federation

A. Yu Subbotskaya

Povolzhskiy State University of Telecommunications and Informatics

Email: subotann@mail.ru
Samara, Russian Federation

References

  1. Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб.: Питер, 2012. 41 с
  2. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Питер, 2016. 771 с
  3. Стандарт IETF (RFC 2401-2412). Архитектура безопасности для интернет-протокола. URL: https://datatracker.ietf.org/doc/html/rfc2401 (дата обращения: 12.05.2021)
  4. Егоров А.Н. Моделирование компьютерных сетей. СПб.: ГУМРФ имени адмирала С.О. Макарова, 2015. URL: https://studfile.net/preview/5851940/page:35 (дата обращения: 12.05.2021)
  5. Васин Н.Н., Аленников Е.М. Влияние алгоритмов шифрования на скорость передачи пакетов в пользовательской VPN // Проблемы техники и технологий телекоммуникаций (ПТиТТ-2020), IV Научный форум Телекоммуникации: теория и технологии (ТТТ-2020): сборник трудов XXII Международной научно-технической конференции. 2020. С. 250-251
  6. Васин Н.Н., Аленников Е.М., Субботская А.Ю. Моделирование виртуальных частных сетей: методические указания по выполнению лабораторной работы. Самара: ПГУТИ, 2020. 30 с. URL: http://eclib.psuti.ru/cgi-bin/irbis64r_12/cgiirbis_64.exe (дата обращения: 12.05.2021)
  7. Что такое шифрование 3DES и как работает DES? URL: https://heritage-offshore.com/informacionnoj-bezopasnosti/chto-takoe-shifrovanie-3des-i-kak-rabotaet-des (дата обращения: 13.05.2021)
  8. FileZilla - бесплатный FTP-клиент. URL: https://www.filezilla.ru (дата обращения: 14.05.2021)
  9. Wireshark: офиц. сайт. URL: https://www.wireshark.org (дата обращения: 14.05.2021)
  10. Cisco Small Business RV Series Routers. URL: https://www.cisco.com/c/en/us/support/routers/small-business-rv-series-routers/series.html (дата обращения: 17.05.2021)

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2021 Vasin N.N., Alennikov E.M., Subbotskaya A.Y.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies