Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties

Cisco heeft een module voor het toepassen van hardwarematige encryptie op zijn ISR G2-routers aangekondigd. Met de module kan ip-verkeer via vpn-tunnels met diverse encryptie-algoritmen versleuteld worden.

Cisco Internal Service ModuleVolgens Cisco kan zijn VPN Internal Service Module overweg met zogenaamde 'Suite B'-algoritmen. Deze versleutelingsalgoritmen zijn door de NSA goedgekeurd voor het encrypten van dataverkeer bij het Amerikaanse ministerie voor Defensie. Naast aes kan een systeembeheerder ook kiezen uit onder andere des en triple-des. Daarnaast ondersteunt de module het hardwarematig berekenen en controleren van sha-2-algoritmen.

Cisco stelt dat de encryptiemodule dankzij zijn multicore-processor op een Cisco-router uit de 3900-serie maximaal drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps, drie maal sneller dan vpn-verbindingen via ipsec. De kaart ondersteunt nog geen multicast encryption, maar de netwerkfabrikant sluit niet uit dat deze feature in de toekomst alsnog zal worden toegevoegd aan de firmware. De adviesprijs voor de versleutelingsmodule, die met alle varianten van de ISR G2-routers is te gebruiken, begint bij 2000 dollar.

Moderatie-faq Wijzig weergave

Reacties (30)

Deze versleutelingsalgoritmen zijn door de NSA goedgekeurd voor het encrypten van dataverkeer bij het Amerikaanse ministerie voor Defensie.
Ah, met backdoor dus :+
Hoewel je het als grap bedoelt er toch even serieus op ingaan. Suite B bestaat uit de volgende onderdelen:

Advanced Encryption Standard (AES) with key sizes of 128 and 256 bits. — symmetric encryption
Elliptic Curve Digital Signature Algorithm (ECDSA) — digital signatures
Elliptic Curve Diffie–Hellman (ECDH) — key agreement
Secure Hash Algorithm 2 (SHA-256 and SHA-384) — message digest

Allemaal open source/industrie standaarden. De kans dat er backdoors in deze algortimes zit is vrij klein.
Ik wil geen party-crasher zijn maar kan jij controleren of dat daadwerkelijk zo is?

Afgezien van het feit dat Cisco je niet de mogelijkheid geeft om de software zelf te compileren en te installeren op deze module,
heb je ook niet de mogelijkheid om te achterhalen wat er standaard op deze module geinstalleerd is.
Hoe open-source de gebruikte software ook is, je weet simpelweg niet wat Cisco er nog aan toegevoegd heeft.
De meeste gebruikers updated hun equipement toch weer met wat Cisco hen aanbiedt.
Waarom zou de NSA backdoors willen in algoritmen die bij Defensie gebruikt moeten worden? Het makkelijker maken voor Chinese hackers om mee te luisteren?
de nsa spioneert zelf op de Amerikaanse overheid.
het is de National Security Agency.

[Reactie gewijzigd door stewie op 30 oktober 2011 18:06]

"Cisco stelt dat de encryptiemodule dankzij zijn multicore-processor op een Cisco-router uit de 3900-serie maximaal drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps, drie maal sneller dan vpn-verbindingen via ipsec"

"3x sneller dan IPSec" is een vreemd statement, IPSec is een technologie en staat los van throughput, de het lijkt me bovendien dat deze kaart de encryptie ook obv IPSec tunnels bouwt en dat maakt die uptspraak helemaal vreemd.
In het artikel op de Cisco website staat dan ook:
It provides up to three times better performance for IPsec VPN encrypted traffic.
It provides up to three times better performance for IPsec VPN encrypted traffic.
Dan wat? De kale ISR G2? Jammer dat het artikel dat niet vermeldt...
Wel fijn is dat dit ding operates independently of other ISR G2 resources. Minder kans op een router DoS attack dus.
Wel fijn is dat dit ding operates independently of other ISR G2 resources. Minder kans op een router DoS attack dus.
Niet helemaal waar.

Het is een ISM-module, die schroef je intern in de router (de deksel moet eraf) en heeft dus geen eigen netwerkpoorten naar buiten. Het verkeer gaat nog steeds via de interfaces van de router zelf, en die zijn dus nog steeds vulnerable voor DoS.

Wat ze bedoelen, is dat deze module eigen cpu en geheugen heeft, en het botte rekenwerk wat het verzet dus niet ten koste gaat van de cpu en geheugen van de router zelf.
Apart dat DES nog steeds aangeleverd wordt, volgens mij al een hele tijd geen veilige encryptie meer.

Edit:
Klopt, DES key kan binnnen een aantal uren ontcijferd worden:
http://en.wikipedia.org/wiki/EFF_DES_cracker

[Reactie gewijzigd door shadylog op 30 oktober 2011 15:07]

Daarom gebruiken ze ook Triple Des, niet het meest veilige wat er bestaat, maar zeker niet onveilig.
Compatibility is heilig he ;)
^ ja, dat ook ;)
Daarom renew je de key om de x hoeveelheid data of tijd.

[Reactie gewijzigd door DukeBox op 30 oktober 2011 15:28]

Is natuurlijk een groot voordeel dat het semi-zelfstandig werkt, maar het belangrijkste is dat het hardwarematig codeert/decodeert en dus niet 'hackbaar' is, tenzij de module ook geflasht/herschreven kan worden via de router intern, dan zou de module weer aangepast kunnen worden zoals nu ook nog wel eens gebeurd met softwarematige encryptie ingebakken in servers/routers.

Hardwarematige beveiliging is zo goed als altijd veiliger dan softwarematige encryptie, is altijd weer een extra stok achter de deur mocht er toch ingebroken worden in de server/router.
Ik zou eigenlijk niet weten waarom. In feite zullen de algoritmes niet wezenlijk verschillen. Ja men kan bij software de encryptie aanpassen maar dat zul je dan toch op beide eindpunten van de vpn verbinding moeten doen en als je die toegang toch al hebt kun je ook gewoon op een hardware router bv voor des kiezen.

Voor de rest is het ook bij cisco voornamelijk software en iOS kan net als windows bsd of linux gehacked worden. In mijn ogen dus weinig verschil. Cisco kies je voor betrouwbaarheid support en de breed beschikbare kennis. Niet voor de beste prestaties of prijs. En dus ook niet omdat het veiliger is.
inderdaad, 2000 dollar lijkt mij een beetje overpriced voor wat je krijgt.

2000 euro voor een stukje pcb, met een multicore proccesor van onbekend type die ook nog eens totaal onveilige standaarden ondersteunt, komt een beetje over als uitmelken van de overheid(van de vs).
Toon jij even een stukje hardware wat goedkoper drieduizend versleutelde vpn-tunnels kan verwerken met een totale doorvoersnelheid van 1,2Gbps? En welke onveilige standaarden heb je het over?
Uit benchmarks blijkt dat een Core i7-2600K 30 Gbps AES kan, dus het 25(!!)- voudige.

Aantal tunnels is een andere limiet, maar met veel geheugen moet dat prima te doen zijn. De Cisco zal zeker niet 1.2 Gbit halen met 3000 tunnels, mijn ervaring met Cisco benchmarks en performance figures is dan je die allemaal als of moet lezen, dus 1.2 Gbit throughput of 3000 tunnels. Bij meerdere tunnels moet er een swap gedaan worden van de encryptie key in de registers en dat heeft een enorme performance impact.

Zeker is dat in Cisco Routers de CPU relatief gezien niet zo sterk is. Performance wordt gehaald door taken in dedicated ASICs af te handelen, zoals hier de Encryption module. Een general purpose CPU, zoals in Intel Core CPUs kan zoveel krachtiger zijn dan de CPU en ASICs in een Cisco router (let op: routers, niet multilayer switches) dat Intel CPU zonder ASICs een serieuze concurrent kan zijn en zeker zal worden.
Ik vind dat er conceptueel niets mis is met dit model van Cisco, maar goedkoop wordt het sowieso niet. Maar bij Cisco betaal je meer voor de functionaliteit die je krijgt dan voor de hardware zelf, zo ziet hun pricing en winst-model in mekaar.
Bij meerdere tunnels moet er een swap gedaan worden van de encryptie key in de registers en dat heeft een enorme performance impact.
Jij denkt nu alleen in software termen. Het grote voordeel van echte hardware is nu juist dat je die registers voor de andere tunnel er ook naast kan hebben tegelijk! Zeker met het huidig aantal transistors in een ic is 3000 registersets voor tunnels makkelijk te realiseren. Die limiet zal wel een harde limiet zijn, niet zoals in software beperkt door het systeemgeheugen, maar desalniettemin lijkt het me heel erg onwaarschijnlijk dat er geswapt/geschakeld moet worden voor tunnels. De hele reden waarom je zoiets in hardware maakt is nu juist dat het daar heel eenvoudig tegelijk kan, terwijl je in sofwtare heel expliciet aparte sets/objecten moet creeren voor de verschillende tunnels is dat in hardware eigenlijk vanzelfsprekend en eenvoudig. Neem van mij aan dat dedicated hardware voor specifieke taken, mist goed ontworpen ten alle tijden sneller zal zijn dan welke software oplossing dan ook op even dure hardware.

[Reactie gewijzigd door Vastloper op 31 oktober 2011 09:45]

2000 dollar lijkt mij een beetje overpriced
Ze hebben er vermoedelijk behoorlijk wat tijd en geld ingestoken om dit product te ontwikkelen. Het traject om dit apparaat goedgekeurd te krijgen door de NSA zal ook wel tijdrovend zijn.
Al deze ontwikkelkosten willen ze natuurlijk terugverdienen. En aangezien de markt voor dit soort producten niet groot is is de opslag per product groot.
En als er dan ook nog geen concurrerend product op de markt is kunnen ze daar best wel van profiteren met een extra hoge prijs.
(En een markt waar je hoge prijzen kunt rekenen trekt natuurlijk concurrenten aan, waardoor de prijs ooit wel zal dalen)

Edit: typo

[Reactie gewijzigd door menke op 30 oktober 2011 15:27]

In die 2000$ zit natuurlijk ook ontwikkelings kosten en evt. licenties die cisco moet afdragen. Het product heeft natuurlijk niet dezelfde afzet markt als een linksys routertje..
inderdaad, 2000 dollar lijkt mij een beetje overpriced voor wat je krijgt.

2000 euro voor een stukje pcb, met een multicore proccesor van onbekend type die ook nog eens totaal onveilige standaarden ondersteunt, komt een beetje over als uitmelken van de overheid(van de vs).
De 2000 dollar is listprice, afhankelijk van wat voor deal je hebt begint korting ongeveer bij 50-60% en loopt gemakkelijk op tot 90%+ waarbij Cisco er nog steeds aan verdient. Verder is de prijs verwaarloosbaar vergeleken met de andere componenten in een dergelijk chassis.

Dit heeft verder helemaal niets te maken met het uitmelken van overheden. Cisco bouwt dergelijke kaarten alleen als er genoeg markt voor is en de vraag uit de Enterprise hoek naar dergelijke apparatuur is erg groot.

Het is wellicht verstandiger om niet te reageren als je ergens volstrekt niets van af weet.
90% is wel heel veel hoor. Grote ISP's en bedrijven komen wel tot 50%. Klanten die overstappen van een concurent naar Cisco willen ook wel meer krijgen maar 90% makkelijk halen is zwaar overdreven.
En dan heb je nog de Dollar - Euro conversie wat scheelt.
En dan ben je er niet... je hebt ook nog een 3900 serie router nodig...
Of een 1941 router of een router uit de 2900 serie.
Er zijn ook -HSEC bundels, die bestaan uit een router, security IOS en VPN module. Hierop geeft Cisco wat korting t.o.v. allemaal losse modules / componenten.
Mwa valt wel mee hoor. Cisco producten kunnen al gauw in de 10 duizende euro's lopen dus kijk hier niet echt van op eigenlijk..
voor 3000 VPN-tunnels is dat amper $0.66 per tunnel oftewel een koopje

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True