Aller au contenu

Securisation des donnees du reseau


Invité

Messages recommandés

Je trouve top a la fois le routeur mais aussi fenrir.

Je te l accorde cest loin detre simple : ca fait plusieurs mois sue je suis dessus et dis toi que j ai loin d avoir tes competences. Looool. Jai fait 2 fois la meme erreur a savoir reseau box = reseau erx.

En fait il y a tellement de fonctionnalite qu on ne sait meme pas ce qu on peut faire.

Les pbs de hdd sur nas n ont rien arranges.

Sent from Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 63
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Sans oublier le fait que certaines fonctions rendent l'offload inopérant (bridge, qos, ...), au moins en partie.

il y a 3 minutes, gaetan.cambier a dit :

Et de toute facon, l'erx tient pas mal sans offload.

Je suis du même avis, mais j'aime me dire que je tire le max des capacités du bousin.

http://community.ubnt.com/t5/EdgeMAX-Beta/ER-X-1-8-5-alpha-1-HW-Offload-speed-test/m-p/1534169/highlight/true#M15868

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, gaetan.cambier a dit :

Perso j'ai des problème de stabilité avec l'offload. Et de toute facon, l'erx tient pas mal sans offload.

J'attend la prochaine update pour retenter

Juste sur IPSEC ou avec HWNAT ?

Offload IPSEC ne passe pas du tt de mon coté

mais effectivement ca tourne sans

Lien vers le commentaire
Partager sur d’autres sites

Pourtant c'est déjà pas mal je trouve (release notes de la 1.9.0) :

Citation

[Offload] Add IPsec crypto offload support for ER-X platform (including the ER-X, ER-X-SFP, and EP-R6 models) which provides significant IPsec performance improvement. This is disabled by default and can be enabled using the CLI (or the equivalent in the Web UI Config Tree):


set system offload ipsec enable

and then "commit" and "save", and then a router reboot is currently required for the setting to take effect.
One thing to note is that IPsec offload only applies to ESP (for the actual data traffic), not IKE. In addition, not all algorithms are compatible with IPsec offload, and there are also some differences with the other platforms. Therefore here is a summary of the current status. For the ER-X platform:

  • ESP encryption algorithms that can be "offloaded": 3des, aes128, aes256
  • ESP hash algorithms that can be "offloaded": md5, sha1, sha256
  • ESP encryption algorithms incompatible with "offload": aes128gcm128, aes256gcm128. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.)
  • ESP hash algorithms incompatible with "offload": sha384, sha512. (More specifically, if these are configured then IPsec offload cannot be enabled, and vice versa.)
  • IKE encryption algorithms that are not supported: aes128gcm128, aes256gcm128. (More specifically, these are not supported for IKE on the ER-X platform.)
  • All config options for IKE hash algorithms are supported.

Mais je n'ai pas du tout testé l'IPSec sur l'erx, seulement sur mon erpoe (tunnel site à site en ikev1 avec mes serveurs, en ikev2 je n'arrive pas à faire marcher la VTI correctement).

À noter que dans ton cas @Hedy, l'offload IPSec n'a presque aucun intérêt puisque tu fais du L2TP si me souviens bien.

Lien vers le commentaire
Partager sur d’autres sites

gnagnagna :razz:

L'avantage de gcm c'est les perf quand on a un gros débit, mais comme il n'est pas dans l'offload, a mon avis il ne va pas plus vite que les autres (qui sont supportés), niveau sécurité c'est au mieux similaire aux autres puisqu'il a été approuvé par la NSA :lol: => https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography

Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, gaetan.cambier a dit :

En fait l'aesgcm est + efficace sur des cpu intel depuis quelques annees.

Oui c'est vrai, beaucoup d'algo à base d'AES sont accélérés par l'AES-NI (ça date de 2010) et c'est effectivement nettement plus rapide avec que sans (à noter que ce n'est pas réservé aux Intel, AMD et VIA ont aussi des x86 avec une gestion intégrée de l'AES).

(sur ma machine il y a un facteur 6)

hwa-on.pnghwa-off.png

Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité).

Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs. Pour ce qui est de la sécurité, quand j'ai besoin de blinder la sécurité, j'ai plus confiance en Camellia (ou ChaCha20 si j'ai besoin de perfs).

il y a 44 minutes, gaetan.cambier a dit :

Par contre je sais pas quel est le mieux pour les smartphones ...

Pas mal de cpu ARM gèrent l'offload (certains Allwinner, Broadcom ou encore Qualcomm par exemple), mais encore faut il que le pilote qui va avec ait été acheté (c'est souvent soumis à licence) et correctement installé. C'est bien entendu le cas pour les Cavium, sinon on ne serait pas entrain d'en parler :lol:.

<mode super parano on>Utiliser l'accélération matériel implique automatiquement d'avoir pleine confiance dans la "propreté" du hard et des pilotes qui vont avec</mode super parano off>

ps : j'ai passé ma matinée avec MS sur un soucis de cipher, donc je suis chaud sur le sujet.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Fenrir a dit :

Par contre, je ne connais pas les caractéristiques de ta connexion Internet, mais je pense que même sans accélération coté PC, tu dois pouvoir aller bien au delà des capacités de l'erx. Mais si ta connexion est suffisamment rapide, l'aes256 est pris en charge à la fois par les Intel et l'erx (même si sans le GCM, c'est un cran en dessous niveau sécurité).

oui, pas de risque de saturé mon pc avec ipsec ... ca risque pas :lol:

Il y a 9 heures, Fenrir a dit :

Perso, l'offload m’intéresse plus pour la conso énergétique et le soulagement du CPU que pour les perfs.

en fait moi aussi pour le smartphone ... mais aucune info trouvée si éventuellement quelqu'un avait les info pour les samsung S6 et S5 neo, je suis preneur :idea:

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 08/11/2016 à 11:00, Hedy a dit :

jai un bug sur le mien avec l offload ipsec

 

Citation

[Release Notes v1.9.1beta1]

Changelog

Changes since v1.9.1alpha2

Enhancements and bug fixes

  • [DHCP] Fix error when DHCP static lease with dot in name (i.e. "lch.cern") was not written to /etc/hosts and thus could not be resolved by dnsmasq. Discussed here

  • [L2TP] Add warning message on ER-X platform that "IPsec offload" should not be used together with L2TP VPN. This is a temporary solution until proper fix is delived in 2.0 version. Discussed here
  • [Routing] Fix incomplete-route issue that was no fully fixed in 1.9.1alpha2. Discussed here
  • [Routing] Improve memory management in routing daemons (i.e. bgpd, nsm, ribd...).

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.