Buscar

Veeam Backup: Encriptación de red

A partir de la versión 8 de Veeam Backup, la comunicación a nivel de red se puede encriptar y en según que casos, se habilita automáticamente todo y que a nivel global está deshabilitada.

Por ejemplo:

Imaginemos un job de backup: Cuando el componente de proxy de Veeam Backup escribe contra un repositorio SMB, es necesaria una comunicación por red, por tanto, esta comunicación de red se puede cifrar.


Veeam backup: Encriptación de red ¿Dónde se configura?


De forma predeterminada, la encriptación se puede configurar en la siguiente ubicación:

Desplegamos el menú general y nos situamos en la opción: "Network Traffic", a continuación, nos aparece una ventana con el título: "Global Network Traffic Rules".

Veremos que no hay ninguna regla predeterminada y que si pulsamos sobre el botón: "Add", nos aparece una nueva ventana donde podremos indicar rangos que queremos que se les aplique en encriptación.

Deberemos indicar el rango que queremos en origen y destino y marcar la opción: "Encrypt network traffic".

Veeam backup: Encriptación de red

Veeam backup: Encriptación de red ¿Está deshabilitada por defecto?


Según hemos visto en el apartado anterior, la encriptación de red está deshabilitada por defecto, ya que no hay reglas preconfiguradas por defecto.

Sin embargo, esta afirmación, no es del todo cierta.

De forma predeterminada, aunque no veamos reglas de encriptación de red vía GUI, si uno de los dos puntos de comunicación TCP/IP no dispone de un direccionamiento privado, se activará el cifrado de forma automática.

Recordemos que el direccionamiento TCP/IP privado es el siguiente:

10.0.0.0 – 10.255.255.255 10.0.0.0/8 (255.0.0.0)
172.16.0.0 – 172.31.255.255 172.16.0.0/12 (255.240.0.0)
192.168.0.0 – 192.168.255.255 192.168.0.0/16 (255.255.0.0)
169.254.0.0 – 169.254.255.255 169.254.0.0/16 (255.255.0.0)

Ejemplo:

Nuestro Proxy de Veeam Backup reside en la dirección IP: 172.19.0.100 y nuestro repositorio SMB reside en la dirección IP: 188.15.12.24

La dirección IP del repositorio, al no estar dentro de los rangos definidos en la tabla anterior, es una IP pública.

Por defecto, el tráfico del job de backup hacia el repositorio SMB, será cifrado. 

De hecho en el detalle del job de backup, veremos el texto: "Network traffic will be encrypted".

Encriptación de red automática si origen y/o destino dispone de una IP pública: Especial atención a esta funcionalidad en redes privadas donde el direccionamiento TCP/IP no corresponde a la tabla anterior.

Una red donde el direccionamiento TCP/IP no corresponde a la tabla anterior, veremos en los jobs: "Network traffic will be encrypted".


Veeam backup: Encriptación de red automática si origen y/o destino tiene una IP publica: ¿Cómo lo deshabilitamos? 


Como hemos visto en el punto anterior, la encriptación basada en si una de las direcciones IP origen o destino son públicas, está habilitada por defecto.

Para deshabilitar esta funcionalidad, bastará con situar esta clave en el registro:

Ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication
 
Clave:
DisablePublicIPTrafficEncryption

Tipo:
REG_DWORD

Valor:
1


Veeam backup: Encriptación de red: Rendimiento


Cuando el tráfico de red está encriptado, ya sea por reglas que hemos configurado nosotros o bien por la detección automática de IP pública en origen y/o destino, se realizará un uso intensivo de recursos de CPU.

Este uso intensivo de recursos de CPU hará que los jobs tarden mas a finalizar.

No hay comentarios:

Publicar un comentario