Cisco kondigt encryptie-module voor ISR G2-routers aan

Cisco heeft een module voor het toepassen van hardwarematige encryptie op zijn ISR G2-routers aangekondigd. Met de module kan ip-verkeer via vpn-tunnels met diverse encryptie-algoritmen versleuteld worden.

Cisco Internal Service ModuleVolgens Cisco kan zijn VPN Internal Service Module overweg met zogenaamde 'Suite B'-algoritmen. Deze versleutelingsalgoritmen zijn door de NSA goedgekeurd voor het encrypten van dataverkeer bij het Amerikaanse ministerie voor Defensie. Naast aes kan een systeembeheerder ook kiezen uit onder andere des en triple-des. Daarnaast ondersteunt de module het hardwarematig berekenen en controleren van sha-2-algoritmen.

Cisco stelt dat de encryptiemodule dankzij zijn multicore-processor op een Cisco-router uit de 3900-serie maximaal drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps, drie maal sneller dan vpn-verbindingen via ipsec. De kaart ondersteunt nog geen multicast encryption, maar de netwerkfabrikant sluit niet uit dat deze feature in de toekomst alsnog zal worden toegevoegd aan de firmware. De adviesprijs voor de versleutelingsmodule, die met alle varianten van de ISR G2-routers is te gebruiken, begint bij 2000 dollar.

Door Dimitri Reijerman

Redacteur

Feedback • 30-10-2011 14:30 30

30-10-2011 • 14:30

30

Lees meer

Cisco geeft nieuwe firmware verouderd en zwak hashing-algoritme
Cisco geeft nieuwe firmware verouderd en zwak hashing-algoritme Nieuws van 20 maart 2013
Cisco neemt videosoftwarebedrijf NDS over voor 5 miljard dollar
Cisco neemt videosoftwarebedrijf NDS over voor 5 miljard dollar Nieuws van 15 maart 2012
Amerikaanse veiligheidsdienst zet 'veilige Android' online
Amerikaanse veiligheidsdienst zet 'veilige Android' online Nieuws van 20 januari 2012
Cisco kondigt CloudVerse-platform aan
Cisco kondigt CloudVerse-platform aan Nieuws van 6 december 2011
Cisco komt met reeks nieuwe switches
Cisco komt met reeks nieuwe switches Nieuws van 19 maart 2010
Cisco introduceert nieuwe ISR-routers
Cisco introduceert nieuwe ISR-routers Nieuws van 20 oktober 2009
Meer producten en artikelen
Netwerk en systeembeheer Netwerk Cisco Encryptie Netwerkapparatuur

Reacties (30)

-Moderatie-faq
30
28
15
2
0
3
Wijzig sortering
Dutch_Razor 30 oktober 2011 14:55
Deze versleutelingsalgoritmen zijn door de NSA goedgekeurd voor het encrypten van dataverkeer bij het Amerikaanse ministerie voor Defensie.
Ah, met backdoor dus :+
PolarBear @Dutch_Razor30 oktober 2011 15:48
Hoewel je het als grap bedoelt er toch even serieus op ingaan. Suite B bestaat uit de volgende onderdelen:

Advanced Encryption Standard (AES) with key sizes of 128 and 256 bits. — symmetric encryption
Elliptic Curve Digital Signature Algorithm (ECDSA) — digital signatures
Elliptic Curve Diffie–Hellman (ECDH) — key agreement
Secure Hash Algorithm 2 (SHA-256 and SHA-384) — message digest

Allemaal open source/industrie standaarden. De kans dat er backdoors in deze algortimes zit is vrij klein.
-=bas=- @PolarBear31 oktober 2011 02:43
Ik wil geen party-crasher zijn maar kan jij controleren of dat daadwerkelijk zo is?

Afgezien van het feit dat Cisco je niet de mogelijkheid geeft om de software zelf te compileren en te installeren op deze module,
heb je ook niet de mogelijkheid om te achterhalen wat er standaard op deze module geinstalleerd is.
Hoe open-source de gebruikte software ook is, je weet simpelweg niet wat Cisco er nog aan toegevoegd heeft.
De meeste gebruikers updated hun equipement toch weer met wat Cisco hen aanbiedt.
downtime @Dutch_Razor30 oktober 2011 15:55
Waarom zou de NSA backdoors willen in algoritmen die bij Defensie gebruikt moeten worden? Het makkelijker maken voor Chinese hackers om mee te luisteren?
stewie @downtime30 oktober 2011 18:06
de nsa spioneert zelf op de Amerikaanse overheid.
het is de National Security Agency.

[Reactie gewijzigd door stewie op 26 juli 2024 14:29]

mindwise 30 oktober 2011 15:40
"Cisco stelt dat de encryptiemodule dankzij zijn multicore-processor op een Cisco-router uit de 3900-serie maximaal drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps, drie maal sneller dan vpn-verbindingen via ipsec"

"3x sneller dan IPSec" is een vreemd statement, IPSec is een technologie en staat los van throughput, de het lijkt me bovendien dat deze kaart de encryptie ook obv IPSec tunnels bouwt en dat maakt die uptspraak helemaal vreemd.
PolarBear @mindwise30 oktober 2011 15:52
In het artikel op de Cisco website staat dan ook:
It provides up to three times better performance for IPsec VPN encrypted traffic.
Ram6 @PolarBear30 oktober 2011 16:05
It provides up to three times better performance for IPsec VPN encrypted traffic.
Dan wat? De kale ISR G2? Jammer dat het artikel dat niet vermeldt...
Wel fijn is dat dit ding operates independently of other ISR G2 resources. Minder kans op een router DoS attack dus.
Verwijderd @Ram630 oktober 2011 16:52
Wel fijn is dat dit ding operates independently of other ISR G2 resources. Minder kans op een router DoS attack dus.
Niet helemaal waar.

Het is een ISM-module, die schroef je intern in de router (de deksel moet eraf) en heeft dus geen eigen netwerkpoorten naar buiten. Het verkeer gaat nog steeds via de interfaces van de router zelf, en die zijn dus nog steeds vulnerable voor DoS.

Wat ze bedoelen, is dat deze module eigen cpu en geheugen heeft, en het botte rekenwerk wat het verzet dus niet ten koste gaat van de cpu en geheugen van de router zelf.
shadylog 30 oktober 2011 15:02
Apart dat DES nog steeds aangeleverd wordt, volgens mij al een hele tijd geen veilige encryptie meer.

Edit:
Klopt, DES key kan binnnen een aantal uren ontcijferd worden:
http://en.wikipedia.org/wiki/EFF_DES_cracker

[Reactie gewijzigd door shadylog op 26 juli 2024 14:29]

PolarBear @shadylog30 oktober 2011 15:51
Daarom gebruiken ze ook Triple Des, niet het meest veilige wat er bestaat, maar zeker niet onveilig.
strandbal @shadylog30 oktober 2011 15:03
Compatibility is heilig he ;)
DukeBox
@shadylog30 oktober 2011 15:28
^ ja, dat ook ;)
Daarom renew je de key om de x hoeveelheid data of tijd.

[Reactie gewijzigd door DukeBox op 26 juli 2024 14:29]

HarryDeCowboy 30 oktober 2011 18:36
Is natuurlijk een groot voordeel dat het semi-zelfstandig werkt, maar het belangrijkste is dat het hardwarematig codeert/decodeert en dus niet 'hackbaar' is, tenzij de module ook geflasht/herschreven kan worden via de router intern, dan zou de module weer aangepast kunnen worden zoals nu ook nog wel eens gebeurd met softwarematige encryptie ingebakken in servers/routers.

Hardwarematige beveiliging is zo goed als altijd veiliger dan softwarematige encryptie, is altijd weer een extra stok achter de deur mocht er toch ingebroken worden in de server/router.
humbug @HarryDeCowboy31 oktober 2011 02:32
Ik zou eigenlijk niet weten waarom. In feite zullen de algoritmes niet wezenlijk verschillen. Ja men kan bij software de encryptie aanpassen maar dat zul je dan toch op beide eindpunten van de vpn verbinding moeten doen en als je die toegang toch al hebt kun je ook gewoon op een hardware router bv voor des kiezen.

Voor de rest is het ook bij cisco voornamelijk software en iOS kan net als windows bsd of linux gehacked worden. In mijn ogen dus weinig verschil. Cisco kies je voor betrouwbaarheid support en de breed beschikbare kennis. Niet voor de beste prestaties of prijs. En dus ook niet omdat het veiliger is.
Verwijderd @tijs14tijs30 oktober 2011 15:17
inderdaad, 2000 dollar lijkt mij een beetje overpriced voor wat je krijgt.

2000 euro voor een stukje pcb, met een multicore proccesor van onbekend type die ook nog eens totaal onveilige standaarden ondersteunt, komt een beetje over als uitmelken van de overheid(van de vs).
PolarBear @Verwijderd30 oktober 2011 15:50
Toon jij even een stukje hardware wat goedkoper drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps? En welke onveilige standaarden heb je het over?
pablo_p @PolarBear30 oktober 2011 23:28
Uit benchmarks blijkt dat een Core i7-2600K 30 Gbps AES kan, dus het 25(!!)- voudige.

Aantal tunnels is een andere limiet, maar met veel geheugen moet dat prima te doen zijn. De Cisco zal zeker niet 1.2 Gbit halen met 3000 tunnels, mijn ervaring met Cisco benchmarks en performance figures is dan je die allemaal als of moet lezen, dus 1.2 Gbit throughput of 3000 tunnels. Bij meerdere tunnels moet er een swap gedaan worden van de encryptie key in de registers en dat heeft een enorme performance impact.

Zeker is dat in Cisco Routers de CPU relatief gezien niet zo sterk is. Performance wordt gehaald door taken in dedicated ASICs af te handelen, zoals hier de Encryption module. Een general purpose CPU, zoals in Intel Core CPUs kan zoveel krachtiger zijn dan de CPU en ASICs in een Cisco router (let op: routers, niet multilayer switches) dat Intel CPU zonder ASICs een serieuze concurrent kan zijn en zeker zal worden.
Ik vind dat er conceptueel niets mis is met dit model van Cisco, maar goedkoop wordt het sowieso niet. Maar bij Cisco betaal je meer voor de functionaliteit die je krijgt dan voor de hardware zelf, zo ziet hun pricing en winst-model in mekaar.
Vastloper @pablo_p31 oktober 2011 09:43
Bij meerdere tunnels moet er een swap gedaan worden van de encryptie key in de registers en dat heeft een enorme performance impact.
Jij denkt nu alleen in software termen. Het grote voordeel van echte hardware is nu juist dat je die registers voor de andere tunnel er ook naast kan hebben tegelijk! Zeker met het huidig aantal transistors in een ic is 3000 registersets voor tunnels makkelijk te realiseren. Die limiet zal wel een harde limiet zijn, niet zoals in software beperkt door het systeemgeheugen, maar desalniettemin lijkt het me heel erg onwaarschijnlijk dat er geswapt/geschakeld moet worden voor tunnels. De hele reden waarom je zoiets in hardware maakt is nu juist dat het daar heel eenvoudig tegelijk kan, terwijl je in sofwtare heel expliciet aparte sets/objecten moet creeren voor de verschillende tunnels is dat in hardware eigenlijk vanzelfsprekend en eenvoudig. Neem van mij aan dat dedicated hardware voor specifieke taken, mist goed ontworpen ten alle tijden sneller zal zijn dan welke software oplossing dan ook op even dure hardware.

[Reactie gewijzigd door Vastloper op 26 juli 2024 14:29]

menke @Verwijderd30 oktober 2011 15:27
2000 dollar lijkt mij een beetje overpriced
Ze hebben er vermoedelijk behoorlijk wat tijd en geld ingestoken om dit product te ontwikkelen. Het traject om dit apparaat goedgekeurd te krijgen door de NSA zal ook wel tijdrovend zijn.
Al deze ontwikkelkosten willen ze natuurlijk terugverdienen. En aangezien de markt voor dit soort producten niet groot is is de opslag per product groot.
En als er dan ook nog geen concurrerend product op de markt is kunnen ze daar best wel van profiteren met een extra hoge prijs.
(En een markt waar je hoge prijzen kunt rekenen trekt natuurlijk concurrenten aan, waardoor de prijs ooit wel zal dalen)

Edit: typo

[Reactie gewijzigd door menke op 26 juli 2024 14:29]

DukeBox
@Verwijderd30 oktober 2011 15:27
In die 2000$ zit natuurlijk ook ontwikkelings kosten en evt. licenties die cisco moet afdragen. Het product heeft natuurlijk niet dezelfde afzet markt als een linksys routertje..
Verwijderd @Verwijderd30 oktober 2011 16:21
inderdaad, 2000 dollar lijkt mij een beetje overpriced voor wat je krijgt.

2000 euro voor een stukje pcb, met een multicore proccesor van onbekend type die ook nog eens totaal onveilige standaarden ondersteunt, komt een beetje over als uitmelken van de overheid(van de vs).
De 2000 dollar is listprice, afhankelijk van wat voor deal je hebt begint korting ongeveer bij 50-60% en loopt gemakkelijk op tot 90%+ waarbij Cisco er nog steeds aan verdient. Verder is de prijs verwaarloosbaar vergeleken met de andere componenten in een dergelijk chassis.

Dit heeft verder helemaal niets te maken met het uitmelken van overheden. Cisco bouwt dergelijke kaarten alleen als er genoeg markt voor is en de vraag uit de Enterprise hoek naar dergelijke apparatuur is erg groot.

Het is wellicht verstandiger om niet te reageren als je ergens volstrekt niets van af weet.
TrailBlazer
@Verwijderd30 oktober 2011 16:50
90% is wel heel veel hoor. Grote ISP's en bedrijven komen wel tot 50%. Klanten die overstappen van een concurent naar Cisco willen ook wel meer krijgen maar 90% makkelijk halen is zwaar overdreven.
Bl@ckbird
@TrailBlazer30 oktober 2011 18:58
En dan heb je nog de Dollar - Euro conversie wat scheelt.
GB2 @tijs14tijs30 oktober 2011 19:15
En dan ben je er niet... je hebt ook nog een 3900 serie router nodig...
Bl@ckbird
@GB230 oktober 2011 19:19
Of een 1941 router of een router uit de 2900 serie.
Er zijn ook -HSEC bundels, die bestaan uit een router, security IOS en VPN module. Hierop geeft Cisco wat korting t.o.v. allemaal losse modules / componenten.
ro8in @tijs14tijs30 oktober 2011 21:47
Mwa valt wel mee hoor. Cisco producten kunnen al gauw in de 10 duizende euro's lopen dus kijk hier niet echt van op eigenlijk..
dasiro @tijs14tijs31 oktober 2011 01:44
voor 3000 VPN-tunnels is dat amper $0.66 per tunnel oftewel een koopje

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq