Создание туннеля IPSEC между Juniper

И так стоит задача сделать туннель между офисами , и все это дело зашифровать ( закриптовать ) , и так для этого нам понадобиться Juniper SRX 100 и  Juniper SRX 240 ( в главном офисе )

При шифровании было замечено след :

При базовых настройках  Basic + group 1  скорость  максимум 20 mb/s — после чего железка умирала .

Лучшие результаты производительности  показал  аутентификация md5 и алгоритм криптования DES  (вот тут можно и прогнать и 50 mb/s  и 65 mb/s)

Внимание :

В связи с тем , что недавно ввели новый закон касающийся шифровании информации (с подачи ФСБ ) — настройку и обслуживание оборудования на котом будет использоваться функции шифрования данных — это компания должна иметь разрешение на данный вид услуг ( нечто похожее на лицензию) .

P.S.

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

  • C1 – продукты, не требующие разрешения на ввоз;
  • C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
  • C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
  • C4 – продукты, не распределенные ни по одной из предыдущих категорий.

Аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы Cisco с программным обеспечением NPE попадают в категорию С2.

Символ «K8» в обозначении Cisco означает, что программное обеспечение поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Такое оборудование можно ввозить, так как оно попадает в категорию C2.

 

В силу этого как делают вендоры сейчас — они в Россию привозят оборудование которое  не может шифровать , а для того что б оно могло это делать надо активировать лицензию (которая как правило уже давно у всех бесплатная) — и вуаля у вас уже есть поддержка 3DES шифрования — конечно официально если ФСБ об этом узнает — вас за это поругают , поэтому лучше ни где не светить эту информацию