ВЛИЯНИЕ АЛГОРИТМОВ ШИФРОВАНИЯ И ХЕШИРОВАНИЯ НА СКОРОСТЬ ПЕРЕДАЧИ ДАННЫХ ПО VPN-СОЕДИНЕНИЯМ ПОД НАГРУЗКОЙ


Цитировать

Полный текст

Аннотация

Технология виртуальных частных сетей в настоящее время является основной для обмена конфиденциальной информацией по сети Интернет. Технологии, используемые для защиты трафика, передаваемого по таким сетям, задействуют ресурсы маршрутизатора и влияют на скорость обработки данных. Использование маршрутизаторов для шифрования и дешифрования данных может сказаться на скорости передачи этих данных по такой сети, особенно если по такой сети передается не только трафик VPN, но и трафик обычных пользователей сети Интернет. В данной работе сравнивается влияние алгоритмов шифрования и хеширования на процесс передачи пакетов по двум типам VPN-соединений: Client-to-Site и Site-to-Site. Проведено исследование влияния алгоритмов шифрования и хеширования на скорость и работоспособность двух технологий VPN-соединения при загрузке канала связи. Данный эксперимент проводился на компьютерной и физической моделях. Компьютерная модель сети была создана в эмуляторе сетей GNS3, физическая модель была собрана с помощью маршрутизаторов нового поколения с интегрированными услугами Cisco RV 340. Результаты исследования представлены в виде графиков и диаграмм.

Полный текст

Введение При передаче сообщений по общедоступной сети Интернет основным требованием являет- ся безопасность сетей телекоммуникаций [1; 2]. Стоимость виртуальных частных сетей (VPN) значительно ниже выделенных линий, притом что создаваемые VPN-соединения обеспечивают требуемый уровень защиты от угроз. Для обеспе- чения безопасности таких сетей широко исполь- зуется набор протоколов IPsec, реализуемых на сетевом уровне [3]. IPsec включает три основных протокола: заголовка аутентификации (Authentication Header - AH); обеспечения конфиденциальности (Encapsu- lating Security Payload - ESP); обмена секретными ключами (Internet Se- curity Association and Key Management Protocol - ISAKMP). Функции AH и ESP в значительной степени перекрываются, поэтому для создания VPN вы- бирают один из протоколов, в предлагаемой ра- боте - ESP. Функция Название протокола IPsec AH ESP Шифрован. DES 3DES AES SEAL Целостность MD5 SHA-1 SHA-2 SHA-3 Аутентифик. PSK RSA Ключи DH1 DH2 DH5 DH14 Таблица. Протоколы и алгоритмы IPsec Для создания туннеля IPsec применяется ряд алгоритмов: шифрования, проверки целостности (хеширования), аутентификации, обмена ключа- ми (таблица), которые требуют дополнительных ресурсов маршрутизатора, что влияет на скорость передаваемых файлов по VPN-соединению. Проведение эксперимента Для изучения влияния степени загрузки кана- ла связи на скорость передачи данных по VPN- соединению было реализовано две модели сети с различными типами VPN [4]: Client-to-Site (рису- нок 1), Site-to-Site (рисунок 2). Компьютерное моделирование соединений VPN проведено на эмуляторе GNS3 [5], где на маршрутизаторах был задан ряд параметров, предусмотренных стандартом IPSec [3]. Для настройки IPSec необходимо: настроить систему авторизации и учета со- бытий для добавления пользователей, которым будет разрешен доступ по VPN (только для Cli- ent-to-Site); настроить политику ISAKMP: выбрать алго- ритм шифрования, алгоритм хеширования, вы- брать группу Диффи - Хелмана, выбрать метод аутентификации, где данные настройки соответ- ствуют настройке первой фазы IPSec; настройка второй фазы включает в себя на- стройку набора преобразований (настройку ис- пользуемых алгоритмов шифрования и хеширо- вания), а также настройку алгоритмов передачи AH или ESP; Рисунок 1. Модель с VPN-туннелем Client-to-Site настроить динамическую криптографиче- скую карту и привязать настройки IPSec к ней; так как динамическую криптографическую карту нельзя привязать к интерфейсу, то необхо- димо создать обычную криптографическую кар- ту и связать ее с динамической, затем привязать созданную криптографическую карту к выходя- щему интерфейсу маршрутизатора. В первой фазе настройки IPsec указан ряд ал- горитмов и протоколов: crypto isakmp policy 101; encr aes; hash md5; authentication pre-share; group 2. Приведенная последовательность команд за- дает политику (101). При моделировании исполь- зуется алгоритм шифрования (encr aes), который рекомендован в настоящее время. Алгоритм про- верки целостности (hash md5) считается устарев- шим, но MD5 широко используется при обучении студентов, поскольку принцип его работы тот же, что и новых алгоритмов [6]. Для аутентификации использован алгоритм общего секретного ключа (pre-shared secret key - PSK). Параметр (group 2) позволяет устройствам на двух сторонах туннеля создать общий секретный ключ для шифрования данных при обмене по сети открытыми ключами (метод Diffie-Hellman - DH). Алгоритмы DH1, DH2, DH5 вполне пригодны для моделирования, т. к. реальных угроз при моделировании нет. За- тем производится обмен ключами аутентифика- ции: RA(config)#crypto isakmp key cisco2021-1 address 200.10.10.2 RB(config)#crypto isakmp key cisco2021-1 address 200.10.10.1 Вторая фаза создания VPN-туннеля начинает- ся с создания набора преобразования (Transform Set), который назван VPN-SET-1: Рисунок 2. Модели с VPN-туннелем Site-to-Site RA(config)#crypto ipsec transform- set VPN-SET-1 esp-aes esp-md5-hmac Алгоритмы шифрования (esp-aes) и «хеши- рования» набора VPN-SET-1 (esp-md5-hmac) должны совпадать с соответствующими параме- трами политики ISAKMP. Создаваемая далее криптографическая карта (crypto map) содержит наборы правил для разных VPN-туннелей. Набор правил идентифицирует порядковый номер (10 в нижеприведенном при- мере): RA(config)#crypto map MAP-1 10 ip- sec-isakmp RA(config-map)#set peer 200.10.10.2 RA(config-map)#set transform-set VPN-SET-1 RA(config-map)#match address SPISOK Последняя строка конфигурации разрешает передачу данных по туннелю при совпадении адресов со списком доступа SPISOK. Привязка криптокарты к исходящему интер- фейсу производится по команде: RA(confi interface FastEthernet0/1 RA(confi crypto map MAP-1 RA(confi ip access-list extended SPISOK RA(confi permit ip В завершение конфигурирования формирует- ся список контроля доступа с именем SPISOK, которое было использовано при создании крипто- карты: 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 На каждой из моделей сети, представленных на рисунках 1, 2, было проведено исследование влияния степени загрузки канала связи на ско- рость передачи данных по VPN-соединению с различными типами шифрования и хеширования: aes/sha, aes/md5, 3des/sha, 3des/md5 [7]. Суть ис- следования состояла в том, что при подключении а б Рисунок 3. Скорость передачи пакетов для одного пользователя: a - VPN Client-to-Site; б - VPN Site-to-Site ПК к серверу по виртуальной частной сети загру- жался с FTP-сервера один файл, фиксировалось показание скорости загрузки данного файла; за- тем проводилась одновременная загрузка от двух до девяти файлов одинакового размера с того же сервера, также фиксировались скорости загрузки всех файлов. В качестве FTP-сервера использова- лась программа FileZilla [8] Server, подключение к которой со стороны клиента происходило с по- мощью файлового менеджера FileZilla Client. Во время подключения большого числа поль- зователей к VPN, каждый из них скачивал файлы с FTP-сервера, тем самым происходило увели- чение нагрузки на канал связи. С помощью про- граммы Wireshark [9] фиксировалось изменение скорости передачи файлов для одного пользо- вателя для всех типов VPN. Данные результаты приведены на рисунках 3, а (VPN Client-to-Site) и б (VPN Site-to-Site). На данных рисунках изображено изменение числа передаваемых пакетов в единицу времени (по оси Х - время в секундах, по оси У - число передаваемых пакетов). Скорость передачи па- кетов в VPN типа Client-to-Site при увеличении нагрузки на канал связи уменьшается плавно по экспоненциальному закону, тогда как при увели- чении нагрузки на канал связи в VPN типа Site- to-Site скорость передачи пакетов уменьшается резкими рывками и в некоторые моменты време- ни достигает нулевого значения. После загрузки были посчитаны средние ско- рости всех одновременно загруженных файлов. Результаты представлены в виде столбчатых диа- грамм, которые приведены на рисунках 4, а (VPN а б Рисунок 4. Результаты компьютерного моделирования: a - VPN Client-to-Site; б - VPN Site-to-Site Client-to-Site) и б (VPN Site-to-Site). На приведен- ной диаграмме по оси Х отложены столбцы, ко- торые обозначают скорости передачи данных по VPN-соединению при одновременной загрузке от одного до девяти файлов одного размера. Из рисунков 4, а и б понятно, что наивысший показатель скорости передачи файлов показыва- ет VPN-туннель с алгоритмами aes/sha. Также из рисунка 4, а видно, что при большой нагрузке на канал связи при алгоритмах 3des/md5 и 3des/sha происходит разрыв соединения. Проверка достоверности результатов компью- терного моделирования проведена на физической модели сети. Для этого был создан программно- аппаратный комплекс на базе маршрутизаторов нового поколения с интегрированными услугами Cisco RV340 [10]. Эксперимент проводился так же, как и при компьютерном моделировании. Клиент подклю- чался по VPN к FTP-серверу и скачивал один файл, скорость передачи этого файла фиксиро- валась; далее клиент увеличивал число скачиваа б Рисунок 5. Результаты физического моделирования: a - VPN Client-to-Site; б - VPN Site-to-Site емых файлов от двух до девяти, высчитывалась средняя скорость передаваемых файлов, и полу- ченный результат фиксировался. Результаты эксперимента на физической мо- дели представлены в виде столбчатых диаграмм на рисунках 5, а (Client-to-Site) и б (Site-to-Site). Анализ результатов Из результатов эксперимента видно, что с уве- личением нагрузки на канал связи скорость за- грузки первого файла с FTP-сервера снижается. Технология Client-to-Site имеет самые высо- кие скорости загрузки для типов шифрования/ хеширования aes/sha и aes/md5, но они не превы- шают скорость технологии Site-to-Site. Однако при сочетании алгоритмов шифрования/хеширо- вания 3des/md5 и 3des/sha при большой нагрузке на канал связи, более пяти одновременно загру- жаемых файлов, VPN-туннель «разрушается» и дальнейшее его использование невозможно. В VPN-соединении типа Site-to-Site параме- тры aes/sha поддерживают самую высокую ско- рость передачи файлов. При физическом моделировании прослежи- вается та же закономерность, что и при компью- терном: с увеличением нагрузки на канал связи скорость загрузки файлов снижается. При со- вместном использовании типа шифрования 3des и всех типов хеширования в технологии Client-to- Site VPN-туннель работает нестабильно: соеди- нение показывало предельно высокие скорости загрузки (выше 1 Гбайт/с), что приводило к отка- зу конечного оборудования (персонального ком- пьютера). При всех остальных сочетаниях типов шифрования и хеширования значительной разни- цы в скорости передачи данных не наблюдается. Заключение Исходя из приведенных в работе результатов, можно сделать выводы: с увеличением нагрузки на канал связи ско- рость загрузки файлов снижается; для организации VPN рекомендуется при- менять алгоритмы шифрования и хеширования aes/sha, и, как видно из полученных результатов, при этом сочетании алгоритмов шифрования/хе- ширования VPN-туннель показывает стабильную работу под нагрузкой, а также имеет высокий по- казатель скорости по сравнению с другими соче- таниями; при компьютерном моделировании у всех технологий VPN наилучший показатель скорости загрузки файлов был с параметрами aes/sha; физическое моделирование подтвердило ре- зультаты моделирования и показало, что во всех рассмотренных типах VPN и при любом сочета- нии алгоритмов шифрования и хеширования нет существенной разницы в скорости передачи фай- лов, и поэтому следует использовать рекомендо- ванные сочетания алгоритмов, а именно aes/sha, так как они обладают лучшей защищенностью.
×

Об авторах

Н. Н Васин

Поволжский государственный университет телекоммуникаций и информатики

Email: vasin-nn@psuti.ru
Самара, РФ

Е. М Аленников

Поволжский государственный университет телекоммуникаций и информатики

Email: ealennikov@yandex.ru
Самара, РФ

А. Ю Субботская

Поволжский государственный университет телекоммуникаций и информатики

Email: subotann@mail.ru
Самара, РФ

Список литературы

  1. Таненбаум Э., Уэзеролл Д. Компьютерные сети. СПб.: Питер, 2012. 41 с
  2. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Питер, 2016. 771 с
  3. Стандарт IETF (RFC 2401-2412). Архитектура безопасности для интернет-протокола. URL: https://datatracker.ietf.org/doc/html/rfc2401 (дата обращения: 12.05.2021)
  4. Егоров А.Н. Моделирование компьютерных сетей. СПб.: ГУМРФ имени адмирала С.О. Макарова, 2015. URL: https://studfile.net/preview/5851940/page:35 (дата обращения: 12.05.2021)
  5. Васин Н.Н., Аленников Е.М. Влияние алгоритмов шифрования на скорость передачи пакетов в пользовательской VPN // Проблемы техники и технологий телекоммуникаций (ПТиТТ-2020), IV Научный форум Телекоммуникации: теория и технологии (ТТТ-2020): сборник трудов XXII Международной научно-технической конференции. 2020. С. 250-251
  6. Васин Н.Н., Аленников Е.М., Субботская А.Ю. Моделирование виртуальных частных сетей: методические указания по выполнению лабораторной работы. Самара: ПГУТИ, 2020. 30 с. URL: http://eclib.psuti.ru/cgi-bin/irbis64r_12/cgiirbis_64.exe (дата обращения: 12.05.2021)
  7. Что такое шифрование 3DES и как работает DES? URL: https://heritage-offshore.com/informacionnoj-bezopasnosti/chto-takoe-shifrovanie-3des-i-kak-rabotaet-des (дата обращения: 13.05.2021)
  8. FileZilla - бесплатный FTP-клиент. URL: https://www.filezilla.ru (дата обращения: 14.05.2021)
  9. Wireshark: офиц. сайт. URL: https://www.wireshark.org (дата обращения: 14.05.2021)
  10. Cisco Small Business RV Series Routers. URL: https://www.cisco.com/c/en/us/support/routers/small-business-rv-series-routers/series.html (дата обращения: 17.05.2021)

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

© Васин Н.Н., Аленников Е.М., Субботская А.Ю., 2021

Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Данный сайт использует cookie-файлы

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, которые обеспечивают правильную работу сайта.

О куки-файлах