Влияние алгоритмов шифрования и хеширования на скорость передачи данных по VPN-соединениям под нагрузкой
Автор: Васин Н.Н., Аленников Е.М., Субботская А.Ю.
Журнал: Инфокоммуникационные технологии @ikt-psuti
Рубрика: Технологии компьютерных систем и сетей
Статья в выпуске: 3 т.19, 2021 года.
Бесплатный доступ
Технология виртуальных частных сетей в настоящее время является основной для обмена конфиденциальной информацией по сети Интернет. Технологии, используемые для защиты трафика, передаваемого по таким сетям, задействуют ресурсы маршрутизатора и влияют на скорость обработки данных. Использование маршрутизаторов для шифрования и дешифрования данных может сказаться на скорости передачи этих данных по такой сети, особенно если по такой сети передается не только трафик VPN, но и трафик обычных пользователей сети Интернет. В данной работе сравнивается влияние алгоритмов шифрования и хеширования на процесс передачи пакетов по двум типам VPN-соединений: Client-to-Site и Site-to-Site. Проведено исследование влияния алгоритмов шифрования и хеширования на скорость и работоспособность двух технологий VPN-соединения при загрузке канала связи. Данный эксперимент проводился на компьютерной и физической моделях. Компьютерная модель сети была создана в эмуляторе сетей GNS3, физическая модель была собрана с помощью маршрутизаторов нового поколения с интегрированными услугами Cisco RV 340. Результаты исследования представлены в виде графиков и диаграмм.
Vpn-туннель, шифрование, хеширование, компьютерная модель, физическая модель
Короткий адрес: https://sciup.org/140262176
IDR: 140262176 | УДК: 681.3.07 | DOI: 10.18469/ikt.2021.19.3.09
Comparison of the effect of encryption and hashing algorithms on data transfer rate of client-to-site and site-to-site VPN connections under load
Virtual private network (VPN) technology is currently the mainstay for the exchange of confidential information through Internet. The technologies used to protect traffic of such networks consume router resources and affect the processing speed. Use of routers to encrypt and decrypt data can affect the transfer rate of this data over such network, especially if such network carries not only VPN traffic, but also traffic of ordinary Internet users. This paper compares the impact of encryption and hashing algorithms on the process of transferring packets over two types of VPN connections: Client- to-Site and Site-to-Site connections. A study of the influence of encryption and hashing algorithms on the speed and performance of two VPN-connection technologies when loading a communication channel was carried out. This experiment was carried out on computer and physical models. The computer model of the network was created in the GNS3 network emulator, the physical model was assembled using the next generation routers with integrated services Cisco RV 340. The research results are presented in the form of graphs and diagrams.
Текст научной статьи Влияние алгоритмов шифрования и хеширования на скорость передачи данных по VPN-соединениям под нагрузкой
При передаче сообщений по общедоступной сети Интернет основным требованием является безопасность сетей телекоммуникаций [1; 2]. Стоимость виртуальных частных сетей (VPN) значительно ниже выделенных линий, притом что создаваемые VРΝ-соединения обеспечивают требуемый уровень защиты от угроз. Для обеспечения безопасности таких сетей широко используется набор протоколов ІРѕес, реализуемых на сетевом уровне [3].
ІРѕес включает три основных протокола։
‒ заголовка аутентификации (Authentication Header ‒ AH);
‒ обеспечения конфиденциальности (Encapsulating Security Payload ‒ ESP);
‒ обмена секретными ключами (Internet Security Association and Key Management Protocol ‒ ISAKMP).
Функции АН и ЕЅР в значительной степени перекрываются, поэтому для создания VPN выбирают один из протоколов, в предлагаемой работе ‒ EЅP.
Таблица. Протоколы и алгоритмы ІPseс
|
Функция |
Название протокола |
|||
|
ІPseс |
АН |
ЕЅP |
||
|
Шифрован . |
DЕЅ |
3DЕЅ |
АЕЅ |
ЅЕАL |
|
Целостность |
MD5 |
ЅHA-1 |
ЅHA-2 |
ЅHA-3 |
|
Аутентифик. |
PЅΚ |
RЅA |
||
|
Ключи |
DH1 |
DH 2 |
DH 5 |
DH14 |
Для создания туннеля IPseс применяется ряд алгоритмов։ шифрования, проверки целостности (хеширования), аутентификации, обмена ключами (таблица), которые требуют дополнительных ресурсов маршрутизатора, что влияет на скорость передаваемых файлов по VPN-соединению.
Проведение эксперимента
Для изучения влияния степени загрузки канала связи на скорость передачи данных по VPN-соединению было реализовано две модели сети с различными типами VPN [4]: Client-to-Site (рисунок 1), Site-to-Site (рисунок 2).
Компьютерное моделирование соединений VPN проведено на эмуляторе GNS3 [5], где на маршрутизаторах был задан ряд параметров, предусмотренных стандартом IPSec [3].
Для настройки IPЅeс необходимо։
-
• настроить систему авторизации и учета событий для добавления пользователей, которым будет разрешен доступ по VPN (только для Сli-ent-to-Site);
-
• настроить политикy ISAKMP։ выбрать алгоритм шифрования, алгоритм хеширования, выбрать группу Диффи ‒ Хелмана, выбрать метод аутентификации, где данные настройки соответствуют настройке первой фазы ІPЅeс;
-
• настройка второй фазы включает в себя настройку набора преобразований (настройку используемых алгоритмов шифрования и хеширования), а также настройку алгоритмов передачи АН или ЕЅP;
Рисунок 1. Модель с VРN-тyннелем Client-to-Site
Рисyнок 2. Модели с VРN-тyннелем Site-to-Site
-
• настроить динамическую криптографическую карту и привязать настройки ІРЅес к ней;
-
• так как динамическую криптографическую карту нельзя привязать к интерфейсу, то необходимо создать обычную криптографическую карту и связать ее с динамической, затем привязать созданную криптографическую карту к выходящему интерфейсу маршрутизатора.
В первой фазе настройки ІРѕес указан ряд алгоритмов и протоколов:
‒ crypto isakmp policy 101;
‒ еncr аеѕ;
‒ һаѕһ md5;
‒ аuthentication pre-sharе;
‒ group 2.
Приведенная последовательность команд задает политику (101). При моделировании используется алгоритм шифрования (encr aes), который рекомендован в настоящее время. Алгоритм проверки целостности (hash md5) считается устаревшим, но МD5 широко используется при обучении студентов, поскольку принцип его работы тот же, что и новых алгоритмов [6]. Для аутентификации использован алгоритм общего секретного ключа (pre-shared secret kеу ‒ РЅΚ). Параметр (group 2) позволяет устройствам на двух сторонах туннеля создать общий секретный ключ для шифрования данных при обмене по сети открытыми ключами (метод Diffie-Hellman ‒ DH). Алгоритмы DH1, DH2, DH5 вполне пригодны для моделирования, т. к. реальных угроз при моделировании нет. Затем производится обмен ключами аутентификации:
RA(config)#crypto isakmp key cisco2021-1 address 200.10.10.2
RB(config)#crypto isakmp key cisco2021-1 address 200.10.10.1
Вторая фаза создания VРN-туннеля начинается с создания набора преобразования (Transform Set), который назван VPN-SET-1 :
RA(config)# crypto ipsec transformset VPN-SET-1 esp-aes esp-md5-hmac
Алгоритмы шифрования ( esp-aes ) и «хеширования» набора VPN-SET-1 ( esp-md5-hmac ) должны совпадать с соответствующими параметрами политики ІЅАΚМР.
Создаваемая далее криптографическая карта (crypto map) содержит наборы правил для разных VРN-туннелей. Набор правил идентифицирует порядковый номер (10 в нижеприведенном примере):
RA(config)# crypto map MAP-1 10 ip-sec-isakmp
RA(config-map)# set peer 200.10.10.2 RA(config-map)# set transform-set
VPN-SET-1
RA(config-map)# match address SPISOK
Последняя строка конфигурации разрешает передачу данных по туннелю при совпадении адресов со списком доступа ЅРІЅОΚ.
Привязка криптокарты к исходящему интерфейсу производится по команде:
RA(config)# interface FastEthernet0/1 RA(config-if)# crypto map MAP-1
В завершение конфигурирования формируется список контроля доступа с именем ЅРІЅОΚ, которое было использовано при создании криптокарты:
RA(config)# ip access-list extended
SPISOK
RA(config-ext-nacl)# permit ip
192.168.10.0 0.0.0.255 192.168.0.0
0.0.0.255
На каждой из моделей сети, представленных на рисунках 1, 2, было проведено исследование влияния степени загрузки канала связи на скорость передачи данных по VРN-соединению с различными типами шифрования и хеширования: аеѕ/ѕһа, аeѕ/md5, 3deѕ/ѕһа, 3deѕ/md5 [7]. Суть исследования состояла в том, что при подключении
Во*» (с)
а
Во*» (с)
б
Риcунок 3. Скороcть пeрeдaчи пaкeтов для одного пользовaтeля: a ‒ VPN Client-to-Site; б ‒ VPN Site-to-Site
ПК к серверу по виртуальной частной сети загружался с FTP-ceрвeрa один фaйл, фикcировaлоcь покaзaʜиe cкороcти зaгрузки дaнного фaйлa; зa-тeм проводилacь одноврeмeʜʜaя зaгрузкa от двух до дeвяти фaйлов одиʜaкового рaзмeрa c того жe ceрвeрa, тaкжe фикcировaлиcь cкороcти зaгрузки вcex фaйлов. В кaчecтвe FTP-ceрвeрa иcпользовa-лacь прогрaммa FileZilla [8] Server, подключeниe к которой cо cтороны клиeʜтa проиcходило c помощью фaйлового мeʜeджeрa FileZilla Client.
Во врeмя подключeния большого чиcлa поль-зовaтeлeй к VPN, кaждый из них cкaчивaл фaйлы c FTP-ceрвeрa, тeм caмым проиcходило увeли-чeниe ʜaгрузки нa кaʜaл cвязи. С помощью про-грaммы Wireshark [9] фикcировaлоcь измeʜeниe cкороcти пeрeдaчи фaйлов для одного пользо-вaтeля для вcex типов VPN. Дaʜʜыe рeзультaты привeдeʜы ʜa риcyʜкax 3, а (VPN Client-to-Site) и б (VPN Site-to-Site).
Ha дaʜʜых риcyʜкaх изобрaжeно измeʜeниe чиcлa пeрeдaвaeмых пaкeтов в eдиницу врeмeни (по оcи Х ‒ врeмя в ceкундax, по оcи У ‒ чиcло пeрeдaвaeмых пaкeтов). Скороcть пeрeдaчи пa-кeтов в VPN типa Client-to-Sitе при увeличeнии нaгрузки нa кaʜaл cвязи умeʜьшaeтcя плaвно по экcпонeʜциaльному зaкону, тогдa кaк при увeли-чeнии нaгрузки нa кaʜaл cвязи в VPN типa Site-to-Site cкороcть пeрeдaчи пaкeтов умeʜьшaeтcя рeзкими рывкaми и в нeкоторыe момeʜты врeмe-ни доcтигaeт нулeвого зʜaчeния.
Поcлe зaгрузки были поcчитaʜы cрeдниe cко-роcти вceх одноврeмeнно зaгружeʜʜых фaйлов. Peзультaты прeдcтaвлeʜы в видe cтолбчaтых диa-грaмм, которыe привeдeʜы ʜa риcyʜкax 4, а (VPN
а
б
Рисунок 4. Peзультаты компьютeрного модeлирования: a ‒ VРN Client-to-Site; б ‒ VРN Site-to-Site
Client-to-Site) и б (VPN Site-to-Site). На приведенной диаграмме по оси Х отложены столбцы, которые обозначают скорости передачи данных по VРΝ-соединению при одновременной загрузке от одного до девяти файлов одного размера.
Из рисунков 4, а и б понятно, что наивысший показатель скорости передачи файлов показывает VРN-туннель с алгоритмами аеѕ/sha. Также из рисунка 4, а видно, что при большой нагрузке на канал связи при алгоритмах 3des/md5 и 3des/ѕһа происходит разрыв соединения.
Проверка достоверности результатов компьютерного моделирования проведена на физической модели сети. Для этого был создан программноаппаратный комплекс на базе маршрутизаторов нового поколения с интегрированными услугами Cisco RV340 [10].
Эксперимент проводился так же, как и при компьютерном моделировании. Клиент подключался по VРN к FТР-сeрвeру и скачивал один файл, скорость пeрeдачи этого файла фиксиро-валась; далee клиeʜт увeличивал число скачива-
Число файлов ®aesmd5 gaes'sha ®3des/md5 g 3des/dia
а
■ aes/md5 ■ ae^sha ■ 3des/md5 ■ 3des/dna б
Рисунок 5. Peзультaты физичeского модeлировaния: a ‒ VPN Client-to-Site; б ‒ VPN Site-to-Site
емых файлов от двух до девяти, высчитывалась средняя скорость передаваемых файлов, и полученный результат фиксировался.
Результаты эксперимента на физической модели представлены в виде столбчатых диаграмм на рисунках 5, а (Client-to-Site) и б (Site-to-Site).
Анализ результатов
Из результатов эксперимента видно, что с увеличением нагрузки на канал связи скорость загрузки первого файлa с FTP-сeрвeрa снижaeтся.
Teхнология Сӏіеnt-to-Site имeeт сaмыe высо-киe скорости зaгрузки для типов шифровaния/ хеширования аеѕ/ѕһа и аеѕ/md5, но они не превышают скорость технологии Site-to-Site. Однако при сочетании алгоритмов шифрования/хеширо-вания 3des/md5 и 3des/ѕһа при большой нагрузке на канал связи, более пяти одновременно загружаемых файлов, VРN-туннель «разрушается» и дальнейшее его использование невозможно.
B VРN-coeдинении типа Site-to-Site параметры aes/ѕһа поддерживают самую высокую скорость передачи файлов.
При физическом моделировании прослеживается та же закономерность, что и при компьютерном: с увеличением нагрузки на канал связи скорость загрузки файлов снижается. При совместном использовании типа шифрования 3des и всех типов хеширования в технологии Client-to-Site VРN-туннель работает нестабильно: соеди-ʜeʜие показывало предельно высокие скорости загрузки (выше 1 Гбайт/с), что приводило к отказу конечного оборудования (персонального компьютера). При всех остальных сочетаниях типов шифрования и хеширования значительной разницы в скорости передачи данных не наблюдается.
Заключение
Исходя из приведенных в работе результатов, можно сделать выводы:
‒ с увеличением нагрузки на канал связи скорость загрузки файлов снижается;
‒ для организации VРN рекомендуется применять алгоритмы шифрования и хеширования aes/sha, и, как видно из полученных результатов, при этом сочетании алгоритмов шифрования/хе-ширования VРN-туннель показывает стабильную работу под нагрузкой, а также имеет высокий показатель скорости по сравнению с другими соче-таниями;
‒ при компьютерном моделировании у всех технологий VРN наилучший показатель скорости загрузки файлов был с параметрами aes/sha;
‒ физическое моделирование подтвердило результаты моделирования и показало, что во всех рассмотренных типах VРN и при любом сочетании алгоритмов шифрования и хеширования нет существенной разницы в скорости передачи файлов, и поэтому следует использовать рекомендованные сочетания алгоритмов, а именно aes/sha, так как они обладают лучшей защищенностью.
