Как осуществляется шифрование в маршрутизаторе VPN?

Question

[Tapchek]

Все мы часто говорим о том, что VPN ориентированные маршрутизаторы поддерживающие протоколы осуществляющие шифрования (тот же IPsec и др.) осуществляют шифрование. И вот у меня возник вопрос а как и где в устройстве происходит этот процесс, существуют ли специальные платы для роутеров или какая-нибудь микросхема или этот процесс распределен по всей плате роутера? И осуществляется хоть где-нибудь хотя бы аппаратно-программное шифрование (аппаратное наверное уже слишком и как я думаю не может быть встроено в сам роутер, а является самостоятельным устройством) Кто знает ребят, буду очень благодарен за ответ. Будете опираться на конкретную модель - вообще конфетка будет :)

Comments

[hint000]

аппаратное наверное уже слишком и как я думаю не может быть встроено в сам роутер, а является самостоятельным устройством

Сильно недооцениваете уровень современных технологий. :) У вас есть банковская пластиковая карта? В нашей стране большинство таких карт - с чипом. Чип размером с булавочную головку. И в нём есть аппаратное шифрование. И это было, кажется, уже лет 15 назад.
(только производительность чипа в карточке низкая, для маршрутизаторов чипы намного быстрее)

[Валентин]

hint000, ну тут очень сильный вопрос, что считать «аппаратным шифрованием». Есть ли отдельный чип или даже отдельная система в виде специальной платы для этого или все делается в рамках одного CPU с дополнительным набором команд. Чип в карточке все-таки специализирован только под описанную вами ситуацию и нужен в первую очередь для безопасности, а не увеличения производительности.

Answer 1

[CityCat4]

Ну добро. Берем конкретную модель - Mikrotik RB4011iGS, 1 SFP+ слот, 10 гигабитных портов, аппаратное шифрование IPSec.
Конкретно как и чем осуществляется шифрование - это тебе вряд ли кто скажет, кроме инженеров микротика, но если интересно, можешь сравнить результаты тестов с RB2011 например.
Непосредственно же шифрование выполняется ядром маршрутизатора во время прохождения пакета, попадающего под политику шифрования - лучше всего этот процесс иллюстрирует эта схема (на ней процесс шифрования/дешифровки называется xfrm).
Для установленного соединения по IPSec есть записи в двух таблицах ядра - SPD (Security Policy Descriptor) и SAD (Security Associations Descriptor). Первая содержит информацию, что шифровать, вторая - как шифровать, а ядро согласно этим данным и работает.

Comments

[Tapchek]

а что подразумевается под ядром?

[hint000]

Tapchek, ядро операционной системы, которая работает на маршрутизаторе.
На *WRT - ядро Linux.
На Микротике - RouterOS с ядром Linux.
На маршрутизаторах-мыльницах (уровня SOHO) разных производителей - в большинстве случаев ядро Linux.
На Juniper - ядро Linux и ядро FreeBSD на разных версиях.

Answer 2

[Валентин]

«Аппаратная» поддержка IPSec у всех разная. Но вы должны понимать, как принципиально работает эта технология. А именно базово она состоит из службы (демона), которая ожидает подключения и инициирует соединения с заданными настройками (security associations в терминах IPSec), и непосредственно процессами, шифрующими трафик (самые ресурсоемкие). Так вот обычно, когда говорят про аппаратную поддержку IPSec, речь идёт о том, что в каком-нибудь чипе поддерживается именно шифрование. Реализации могут быть разные, на ASA раньше были вроде бы отдельные ASICи (могу заблуждаться), на приведённом в другом комментарии микротике это делается в центральном процессоре от Annapurna Labs (видимо, в отличие от процессора Atheros из другого сравниваемого роутера RB2011, процессор Anapurna поддерживает набор AES команд). Вот пример Аппаратной поддержки в интеле.