Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline This Russian  
#1 Оставлено : 24 апреля 2009 г. 7:44:18(UTC)
This Russian

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2009(UTC)
Сообщений: 2

Доброго времени суток.
Мы используем криптошлюзы S-terra CSP VPN Gate 2.1 c CryptoPro 2.0 для шифрования трафика между регионально разделенными филиалами.

Трафик шифруется с использованием наборов преобразований esp-des esp-md5-hmac, ah-md5-hmac esp-des, h-sha-hmac esp-3des - проблема наблюдается во всех случаях.

Проблема вот в чём: очень медленно передаются данные между оракловым клиентом на linux-сервере в одном филиале и сервером Oracle в другом - около 10 часов. При том, что между сервером Oracle и клиентом на windows-сервере в том же филиале те же данные передаются минут за 10. Если с linux-сервера запускается быстрый пинг размером 1472 байта (что дает в итоге максимальный размер ethernet-фрейма), то ответы с сервера Oracle быстро перестают приходить. При этом на порядок более быстрые пинги (каждую миллисекунду) с windows-машины ходят без потерь.

Я вижу проблему в том, что linux-машина формирует ip-пакеты с ip id=0, так-как исходный пакет не приходится фрагментировать. При шифровании и инкапсуляции пакета ip id исходного пакета сохраняется, так что мы получаем кучу фрагментов с ip id, выставленным в 0. Насколько я знаю, ip id используется как раз для того, чтобы определять принадлежность фрагментов одному пакету. Так что вполне логично на мой взгляд, что при сборке исходных пакетов у принимающего криптошлюза возникают проблемы.

В период времени, когда ответы на пинги перестают приходить, принимающий трафик криптошлюз в другом филиале выдаёт ошибку: in packet XXX.XX.X.XXX->XXX.XX.X.XXX, proto 51, if e1000g1, dropped: SA 215695: decapsulation error 5: integrity verification failed

Специалист поддержки компании S-terra говорит, что данный сбой вызван нарушением целостность пакета, так-как "на каком-то транзитном устройстве теряются фрагменты пакетов или пакеты неправильно собираются". Что вполне логично.
Но меня интересует, насколько корректен в данной ситуации механизм шифрования и инкапсуляции пакетов с сохранением ip id, используемый криптопровайдером.
С трудом верится, что подобная ситуация возникает впервые, так что наверняка есть какое-то решение, о котором я не знаю. Или может быть я в корне не прав в своих предположениях? Заранее благодарю за ответ.
Offline Максим Коллегин  
#2 Оставлено : 24 апреля 2009 г. 7:53:50(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Уровень шифрования слабо связан с уровнем передачи, так что наши специалисты врядли смогут помочь. Особенно учитывая, что ни в одном из "наборов преобразований" нет ГОСТ-алгоритмов.

Отредактировано пользователем 24 апреля 2009 г. 7:54:27(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline This Russian  
#3 Оставлено : 24 апреля 2009 г. 8:11:09(UTC)
This Russian

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2009(UTC)
Сообщений: 2

Может быть подскажете, к кому в таком случае обратиться?
Кстати, в документации S-terra указано, что
AH Transform ah-md5-hmac - это "Протокол АН c алгоритмом аутентификации ГОСТ Р 34.11-94 HMAC";
ESP Encryption Transform esp-des - это "Протокол ESP с алгоритмом ГОСТ 28147-89";
ESP Authentication Transform esp-md5-hmac - это "Протокол ESP с алгоритмом аутентификации MD5 ГОСТ Р 34.11-94 HMAC"
Offline Максим Коллегин  
#4 Оставлено : 24 апреля 2009 г. 8:55:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Странные названия :)
Но проблемы с расшифрованием пакетов связаны с реализацией канального уровня и уж никак не с криптографией - так что обращаться к разработчикам системы - S-terra.

Отредактировано пользователем 24 апреля 2009 г. 9:03:16(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.