Hallo. Ich suche nach einer Lösung um eine 1GBit Ethernet Verbindung transparent zu verschlüsseln. Wie immer möglichst kostengünstig und mit vollem Durchsatz. Warum? Wir haben zusätzliche Büros am anderen Ende des Gebäudes bekommen. Das Netzwerkkabel dahin geht durch andere Büros und Patchpanels. Da wollen wir verhindern das jemand einfach mithört. Wir benötigen aber die Datenrate von 1GBit (kein LWL). Daher scheiden viele Router usw aus. Am Besten wäre eine kleine Box die AES256 in Hardware macht. Danke für Ideen. Martin
sowas hier? http://www.rohde-schwarz.de/de/Produkte/IT-Sicherheit/Netzwerksicherheit/SITLine_ETH.html
Ist das nicht so ein Anwendungsfall für den VPN mal erfunden wurde? Zwei Netzwerke über ein potentiell unsichere Netzwerkverbindung verknüpfen. Also zwei Rechner mit je zwei Netzwerkkarten an beiden Enden aufstellen, dazu ein Linux und ein wenig Konfiguration. Sicher billiger als so etwas hier: Dario B. schrieb: > sowas hier? > > http://www.rohde-schwarz.de/de/Produkte/IT-Sicherheit/Netzwerksicherheit/SITLine_ETH.html
Scelumbro schrieb: > Ist das nicht so ein Anwendungsfall für den VPN mal erfunden wurde? Zwei > Netzwerke über ein potentiell unsichere Netzwerkverbindung verknüpfen. > Also zwei Rechner mit je zwei Netzwerkkarten an beiden Enden aufstellen, > dazu ein Linux und ein wenig Konfiguration. An sich schon, der Knackpunkt ist aber der geforderte Durchsatz mit 1Gbit/s. Als ich das letzte mal so einen Benchmark gemacht habe waren die Haswells mit dem Hardware-AES noch nicht draußen. Da gingen so 200-300MBit/s. Wie es jetzt mit den Haswells aussieht hab ich noch nicht probiert, dürfte dem GBit jedoch schon näher kommen. Was man auch noch beachten sollte wäre die Latenz: wenn man z.B. unterschiedliche kleine Dateien von einem Fileserver liest/schreibt oder für VoIP spielt die Latenz typischerweise eine größere Rolle als der Durchsatz. Gerade hier sind die Hardware-Cryptoboxen meist besser als die klassische VPN-Lösung.
Hallo. Ja genau der Datendurchsatz bei VPN ist das Problem. Ohne spezielle Hardware beibt man meist bei den schon erwähnten 400MBit. Neben der R&S habe ich noch einige andere Kryptoboxn gefunden - sind mir aber alle zu aufwändig. Es müsste doch eine kleine Box geben mit 2* Ethernet und einem FPGA. Konfiguration des Keys dann über ein Webinterface. Ich brauche ja auch kein Routing etc. Einfach was auf Ethernet reinkommt verschlüsseln und auf dem anderen Ethernet ausgeben. Auf der anderen Seite umgekehrt. Martin
Klar, man könnte das recht einfach mit einem FPGA und 2x GMII Phys machen. RAM bräuchte es gar nicht. Entwicklungskosten und -zeit sind aber Gründe die dagegen sprechen. Jeder Intel der AES-NI unterstützt bekommt locker 125MByte/s AES hin. Warum es ausgerechnet AES256 sein soll ist mir nicht ganz klar, 128 Bit sind bei AES derzeit absolut ausreichend. 256 Bit reduziert die Performance aber auch nicht allzu sehr. Sind dann eben 14 statt 10 Runden. AES-NI rechnet eine volle Runde in einem Takt, pro Durchlauf fallen 16 Byte raus, d.h. bei 1GHz Takt ergibt das >1 GByte/s Durchsatz pro core. Hier Messungen mit Truecrypt: http://www.robo47.net/blog/200-Truecrypt-7.0-Linux-AES-NI-Benchmark-with-i7-620M-on-Dell-Latitude-E6510 Auch ein Atom sollte damit 1xGBit locker saturiert bekommen solange der AES-NI kann.
Martin schrieb: > Ja genau der Datendurchsatz bei VPN ist das Problem. Ach. Erzähl das aber nicht meinem PC!
1 | ~ $cryptsetup benchmark |
2 | ... |
3 | # Algorithm | Key | Encryption | Decryption |
4 | aes-cbc 128b 746.8 MiB/s 3249.2 MiB/s |
5 | serpent-cbc 128b 103.0 MiB/s 641.0 MiB/s |
6 | twofish-cbc 128b 208.6 MiB/s 406.7 MiB/s |
7 | aes-cbc 256b 554.4 MiB/s 2483.9 MiB/s |
8 | serpent-cbc 256b 104.5 MiB/s 646.8 MiB/s |
9 | twofish-cbc 256b 211.2 MiB/s 407.2 MiB/s |
10 | aes-xts 256b 2830.1 MiB/s 2822.9 MiB/s |
11 | serpent-xts 256b 639.5 MiB/s 619.0 MiB/s |
12 | twofish-xts 256b 395.0 MiB/s 402.3 MiB/s |
13 | aes-xts 512b 2175.8 MiB/s 2162.8 MiB/s |
14 | serpent-xts 512b 637.8 MiB/s 617.8 MiB/s |
15 | twofish-xts 512b 393.0 MiB/s 402.2 MiB/s |
OK, ist ein Core-i7. Aber da ist ja stellenweise auch richtig Luft zu den geforderten 125MB/s. XL
2x Supermicro 5018A-TN4 mit Linux als Softwarerouter. Die neuen Atom können AES in Hardware. Ist zumindest server-grade Hardware. Ich weiß nicht ob OpenWRT mittlerweile AES-NI unterstützt, würde sich aber dafür anbieten.
Hallo Martin, was Du suchst nennt sich MacSEC (IEEE 802.1AE) und bietet eine Verschlüsselung bereits im Ethernet PHY auf Bitebene. Wird z.B. von CISCO in Routern und Switches angeboten.
Hallo Netzfinder. Kannst du mir von Cisco ein genaues Modell nennen? Danke. Martin
Hallo. Würde es schon ein 3560CG-8TC-S tun? Da steht er kann MacSec aber wenn ich das jetzt richtig verstanden habe ist das Verschlüsselung Port zu Endgerät. Ich benötige ja Verschlüsselung zwischen 2 uplink Ports. Das nennt Cisco ja anders NDSSEC? Gibt es das auch bei anderen Herstellern? Martin
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.