ProHoster > Blog > administrasie > Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk

Ek het hierdie resensie geskryf (of, as u verkies, 'n vergelykingsgids) toe ek die taak gehad het om verskeie toestelle van verskillende verskaffers te vergelyk. Daarbenewens het hierdie toestelle aan verskillende klasse behoort. Ek moes die argitektuur en kenmerke van al hierdie toestelle verstaan ​​en 'n "koördinaatstelsel" skep vir vergelyking. Ek sal bly wees as my resensie iemand help:

  • Verstaan ​​die beskrywings en spesifikasies van enkripsietoestelle
  • Onderskei "papier" eienskappe van dié wat werklik belangrik is in die werklike lewe
  • Gaan verder as die gewone stel verskaffers en sluit enige produkte in wat geskik is om die probleem op te los, in ag
  • Vra die regte vrae tydens onderhandelinge
  • Stel tendervereistes (RFP) op
  • Verstaan ​​watter eienskappe opgeoffer sal moet word as 'n sekere toestelmodel gekies word

Wat kan geassesseer word

In beginsel is die benadering van toepassing op enige selfstandige toestelle wat geskik is vir die enkripteer van netwerkverkeer tussen afgeleë Ethernet-segmente (kruiswerf-enkripsie). Dit wil sê "bokse" in 'n aparte omhulsel (goed, ons sal ook lemme/modules vir die onderstel hier insluit), wat via een of meer Ethernet-poorte gekoppel is aan 'n plaaslike (kampus) Ethernet-netwerk met ongeënkripteerde verkeer, en deur 'n ander poort(e) na kanaal/netwerk waardeur reeds geënkripteerde verkeer na ander, afgeleë segmente oorgedra word. So 'n enkripsie-oplossing kan in 'n privaat- of operateurnetwerk ontplooi word deur verskillende tipes "vervoer" (donker vesel, frekwensieverdelingstoerusting, geskakelde Ethernet, sowel as "pseudodrade" wat deur 'n netwerk met 'n ander roete-argitektuur gelê word, meestal MPLS ), met of sonder VPN-tegnologie.

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
Netwerkenkripsie in 'n verspreide Ethernet-netwerk

Die toestelle self kan óf wees gespesialiseerde (uitsluitlik bedoel vir enkripsie), of multifunksioneel (baster, konvergente), dit wil sê om ook ander funksies uit te voer (byvoorbeeld 'n firewall of router). Verskillende verskaffers klassifiseer hul toestelle in verskillende klasse/kategorieë, maar dit maak nie saak nie - die enigste belangrike ding is of hulle kruiswerfverkeer kan enkripteer, en watter eienskappe hulle het.

Net vir ingeval, herinner ek jou dat "netwerkenkripsie", "verkeersenkripsie", "enkripsie" informele terme is, hoewel dit dikwels gebruik word. U sal dit waarskynlik nie in Russiese regulasies vind nie (insluitend dié wat GOST's bekendstel).

Enkripsievlakke en transmissiemodusse

Voordat ons begin om die eienskappe self te beskryf wat vir evaluering gebruik gaan word, sal ons eers een belangrike ding moet verstaan, naamlik die “enkripsievlak”. Ek het opgemerk dat dit dikwels in amptelike verkoperdokumente (in beskrywings, handleidings, ens.) en in informele gesprekke (by onderhandelinge, opleiding) genoem word. Dit wil sê, almal weet blykbaar baie goed waarvan ons praat, maar ek het persoonlik verwarring gesien.

So, wat is 'n "enkripsievlak"? Dit is duidelik dat ons praat oor die nommer van die OSI/ISO-verwysingsnetwerkmodellaag waarteen enkripsie plaasvind. Ons lees GOST R ISO 7498-2–99 “Inligtingstegnologie. Interkonneksie van oop stelsels. Basiese verwysingsmodel. Deel 2. Inligtingsekuriteitargitektuur.” Uit hierdie dokument kan dit verstaan ​​word dat die vlak van vertroulikheidsdiens (een van die meganismes vir verskaffing wat enkripsie is) die vlak van die protokol is, waarvan die diensdatablok ("loonvrag", gebruikersdata) geïnkripteer is. Soos dit ook in die standaard geskryf is, kan die diens beide op dieselfde vlak, "op sy eie," en met behulp van 'n laer vlak gelewer word (dit is hoe dit byvoorbeeld meestal in MACsec geïmplementeer word) .

In die praktyk is twee maniere om geïnkripteer inligting oor 'n netwerk oor te dra moontlik (IPsec kom dadelik in gedagte, maar dieselfde modusse word ook in ander protokolle gevind). IN vervoer (soms ook inheems genoem) modus is slegs geïnkripteer diens blok data, en die opskrifte bly "oop", ongeënkripteer (soms word bykomende velde met diensinligting van die enkripsiealgoritme bygevoeg, en ander velde word gewysig en herbereken). IN tonnel dieselfde modus almal protokol die datablok (dit wil sê die pakkie self) word geïnkripteer en ingekapsuleer in 'n diensdatablok van dieselfde of hoër vlak, dit wil sê dit word omring deur nuwe kopskrifte.

Die enkripsievlak self in kombinasie met een of ander transmissiemodus is nie goed of sleg nie, so daar kan byvoorbeeld nie gesê word dat L3 in vervoermodus beter is as L2 in tonnelmodus nie. Dit is net dat baie van die eienskappe waarmee toestelle geëvalueer word, daarvan afhang. Byvoorbeeld, buigsaamheid en verenigbaarheid. Om in 'n netwerk L1 (bisstroom-aflos), L2 (raamskakeling) en L3 (pakkieroetering) in vervoermodus te werk, benodig jy oplossings wat op dieselfde of hoër vlak enkripteer (anders sal die adresinligting geïnkripteer word en die data sal nie sy beoogde bestemming bereik nie), en die tonnelmodus oorkom hierdie beperking (hoewel dit ander belangrike eienskappe prysgee).

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
Vervoer en tonnel L2-enkripsiemodusse

Kom ons gaan nou verder met die ontleding van die kenmerke.

produktiwiteit

Vir netwerkkodering is werkverrigting 'n komplekse, multidimensionele konsep. Dit gebeur dat 'n sekere model, hoewel beter in een prestasie-eienskap, minderwaardig is in 'n ander. Daarom is dit altyd nuttig om al die komponente van enkripsieprestasie en hul impak op die werkverrigting van die netwerk en die toepassings wat dit gebruik, in ag te neem. Hier kan ons 'n analogie trek met 'n motor, waarvoor nie net maksimum spoed belangrik is nie, maar ook versnellingstyd tot "honderde", brandstofverbruik, ensovoorts. Verkopermaatskappye en hul potensiële kliënte gee groot aandag aan prestasie-eienskappe. As 'n reël word enkripsietoestelle gerangskik op grond van prestasie in verkoperlyne.

Dit is duidelik dat werkverrigting afhang van beide die kompleksiteit van die netwerk- en kriptografiese bewerkings wat op die toestel uitgevoer word (insluitend hoe goed hierdie take geparalleliseer en gepyplyn kan word), sowel as van die werkverrigting van die hardeware en die kwaliteit van die firmware. Daarom gebruik ouer modelle meer produktiewe hardeware; soms is dit moontlik om dit met bykomende verwerkers en geheuemodules toe te rus. Daar is verskeie benaderings tot die implementering van kriptografiese funksies: op 'n algemene-doel sentrale verwerkingseenheid (CPU), toepassingspesifieke geïntegreerde stroombaan (ASIC), of veldprogrammeerbare logika geïntegreerde stroombaan (FPGA). Elke benadering het sy voor- en nadele. Die SVE kan byvoorbeeld 'n enkripsie-bottelnek word, veral as die verwerker nie gespesialiseerde instruksies het om die enkripsie-algoritme te ondersteun nie (of as dit nie gebruik word nie). Gespesialiseerde skyfies het nie buigsaamheid nie; dit is nie altyd moontlik om dit te "oplaai" om werkverrigting te verbeter, nuwe funksies by te voeg of kwesbaarhede uit te skakel nie. Daarbenewens word die gebruik daarvan slegs met groot produksievolumes winsgewend. Dit is hoekom die "goue middeweg" so gewild geword het - die gebruik van FPGA (FPGA in Russies). Dit is op FPGA's wat die sogenaamde kriptoversnellers gemaak word - ingeboude of inprop gespesialiseerde hardeware modules vir die ondersteuning van kriptografiese bedrywighede.

Aangesien ons praat oor netwerk enkripsie, is dit logies dat die werkverrigting van oplossings in dieselfde hoeveelhede gemeet moet word as vir ander netwerktoestelle - deurset, persentasie raamverlies en latensie. Hierdie waardes word in RFC 1242 gedefinieer. Terloops, niks word geskryf oor die dikwels genoemde vertragingsvariasie (jitter) in hierdie RFC nie. Hoe om hierdie hoeveelhede te meet? Ek het nie 'n metodologie gevind wat in enige standaarde (amptelik of nie-amptelik soos RFC) spesifiek vir netwerkenkripsie goedgekeur is nie. Dit sal logies wees om die metodologie te gebruik vir netwerktoestelle wat verskans is in die RFC 2544-standaard. Baie verskaffers volg dit - baie, maar nie almal nie. Byvoorbeeld, hulle stuur toetsverkeer in slegs een rigting in plaas van albei, soos aanbeveel standaard. In elk geval.

Die meting van die werkverrigting van netwerkkoderingstoestelle het steeds sy eie kenmerke. Eerstens is dit korrek om alle metings vir 'n paar toestelle uit te voer: alhoewel die enkripsiealgoritmes simmetries is, sal vertragings en pakkieverliese tydens enkripsie en dekripsie nie noodwendig gelyk wees nie. Tweedens maak dit sin om die delta, die impak van netwerkkodering op die finale netwerkprestasie te meet, deur twee konfigurasies te vergelyk: sonder enkripsietoestelle en daarmee. Of, soos die geval is met hibriede toestelle, wat verskeie funksies bykomend tot netwerkkodering kombineer, met enkripsie afgeskakel en aangeskakel. Hierdie invloed kan anders wees en afhang van die verbindingskema van die enkripsietoestelle, op die bedryfsmodusse en laastens van die aard van die verkeer. Veral baie werkverrigtingparameters hang af van die lengte van pakkies, en daarom, om die werkverrigting van verskillende oplossings te vergelyk, word grafieke van hierdie parameters, afhangende van die lengte van pakkies, dikwels gebruik, of IMIX word gebruik - die verspreiding van verkeer per pakket lengtes, wat ongeveer die regte een weerspieël. As ons dieselfde basiese konfigurasie sonder enkripsie vergelyk, kan ons netwerkenkripsie-oplossings wat anders geïmplementeer is, vergelyk sonder om in hierdie verskille in te gaan: L2 met L3, stoor-en-stuur ) met deursny, gespesialiseerd met konvergent, GOST met AES ensovoorts.

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
Verbindingsdiagram vir prestasietoetsing

Die eerste kenmerk waaraan mense aandag gee, is die "spoed" van die enkripsietoestel, dit wil sê bandwydte (bandwydte) van sy netwerk koppelvlakke, bietjie vloeitempo. Dit word bepaal deur die netwerkstandaarde wat deur die koppelvlakke ondersteun word. Vir Ethernet is die gewone getalle 1 Gbps en 10 Gbps. Maar, soos ons weet, in enige netwerk die maksimum teoretiese deurset (deurset) op elkeen van sy vlakke is daar altyd minder bandwydte: 'n deel van die bandwydte word "opgevreet" deur interraamintervalle, diensopskrifte, ensovoorts. As 'n toestel in staat is om verkeer teen die volle spoed van die netwerkkoppelvlak te ontvang, te verwerk (in ons geval, enkripteer of dekripteer) en versend, dit wil sê met die maksimum teoretiese deurset vir hierdie vlak van die netwerkmodel, dan word gesê om te werk teen lynspoed. Om dit te doen, is dit nodig dat die toestel nie pakkies in enige grootte en op enige frekwensie verloor of weggooi nie. As die enkripsietoestel nie werking teen lynspoed ondersteun nie, word sy maksimum deurset gewoonlik in dieselfde gigabits per sekonde gespesifiseer (wat soms die lengte van die pakkies aandui - hoe korter die pakkies, hoe laer is die deurset gewoonlik). Dit is baie belangrik om te verstaan ​​dat die maksimum deurset die maksimum is geen verlies nie (al kan die toestel teen 'n hoër spoed verkeer deur homself “pomp”, maar terselfdertyd sommige pakkies verloor). Wees ook bewus daarvan dat sommige verskaffers die totale deurset tussen alle pare poorte meet, so hierdie getalle beteken nie veel as alle geïnkripteer verkeer deur 'n enkele poort gaan nie.

Waar is dit veral belangrik om teen lynspoed te werk (of, met ander woorde, sonder pakkieverlies)? In hoë-bandwydte, hoë-latensie skakels (soos satelliet), waar 'n groot TCP-venstergrootte gestel moet word om hoë transmissiespoed te handhaaf, en waar pakkieverlies netwerkwerkverrigting dramaties verminder.

Maar nie al die bandwydte word gebruik om nuttige data oor te dra nie. Ons moet rekening hou met die sg oorhoofse koste (oorhoofse) bandwydte. Dit is die gedeelte van die enkripsietoestel se deurset (as 'n persentasie of grepe per pakkie) wat werklik vermors word (kan nie gebruik word om toepassingsdata oor te dra nie). Oorhoofse koste ontstaan ​​eerstens as gevolg van 'n toename in die grootte (byvoeging, "vulsel") van die dataveld in geënkripteerde netwerkpakkies (afhangende van die enkripsiealgoritme en sy bedryfsmodus). Tweedens, as gevolg van die toename in die lengte van pakkieopskrifte (tonnelmodus, diensinvoeging van die enkripsieprotokol, simulasie-invoeging, ens. afhangende van die protokol en werkswyse van die syfer- en transmissiemodus) - gewoonlik is hierdie oorhoofse koste die belangrikste, en hulle gee eerste aandag. Derdens, as gevolg van fragmentasie van pakkies wanneer die maksimum data-eenheidgrootte (MTU) oorskry word (as die netwerk in staat is om 'n pakkie wat die MTU oorskry in twee te verdeel, deur sy kopskrifte te dupliseer). Vierdens, as gevolg van die voorkoms van bykomende diens (beheer) verkeer op die netwerk tussen enkripsie toestelle (vir sleutel uitruil, tonnel installasie, ens.). Lae bokoste is belangrik waar kanaalkapasiteit beperk is. Dit is veral duidelik in die verkeer van klein pakkies, byvoorbeeld stem – waar oorhoofse koste meer as die helfte van die kanaalspoed kan “opvreet”!

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
deurset

Ten slotte is daar meer vertraging ingestel – die verskil (in breukdele van 'n sekonde) in netwerkvertraging (die tyd wat dit neem vir data om te slaag vandat dit die netwerk binnekom tot dit dit verlaat) tussen data-oordrag sonder en met netwerkkodering. Oor die algemeen, hoe laer die latency ("latency") van die netwerk is, hoe meer krities word die latency wat deur enkripsietoestelle ingestel word. Die vertraging word ingestel deur die enkripsie-operasie self (afhangende van die enkripsie-algoritme, bloklengte en modus van werking van die syfer, sowel as die kwaliteit van die implementering daarvan in die sagteware), en die verwerking van die netwerkpakket in die toestel . Die latensie wat ingestel word, hang af van beide die pakkieverwerkingsmodus (deurlaat of stoor-en-stuur) en die werkverrigting van die platform (hardeware-implementering op 'n FPGA of ASIC is oor die algemeen vinniger as sagteware-implementering op 'n SVE). L2-kodering het byna altyd 'n laer latensie as L3- of L4-enkripsie, as gevolg van die feit dat L3/L4-enkripsietoestelle dikwels gekonvergeer word. Byvoorbeeld, met hoëspoed-Ethernet-enkripteerders wat op FPGA's geïmplementeer is en op L2 enkripteer, is die vertraging as gevolg van die enkripsiebewerking verdwynend klein - soms wanneer enkripsie op 'n paar toestelle geaktiveer is, verminder die totale vertraging wat deur hulle ingestel word selfs! Lae latensie is belangrik waar dit vergelykbaar is met algehele kanaalvertragings, insluitend voortplantingsvertraging, wat ongeveer 5 μs per kilometer is. Dit wil sê, ons kan sê dat vir stedelike skaal netwerke (tiene kilometers deursnee), mikrosekondes baie kan bepaal. Byvoorbeeld, vir sinchroniese databasisreplikasie, hoëfrekwensiehandel, dieselfde blokketting.

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
Ingestel vertraging

Skaalbaarheid

Groot verspreide netwerke kan baie duisende nodusse en netwerktoestelle, honderde plaaslike netwerksegmente insluit. Dit is belangrik dat enkripsie-oplossings nie addisionele beperkings op die grootte en topologie van die verspreide netwerk oplê nie. Dit geld hoofsaaklik vir die maksimum aantal gasheer- en netwerkadresse. Sulke beperkings kan byvoorbeeld ondervind word wanneer 'n multipunt-geënkripteerde netwerktopologie (met onafhanklike veilige verbindings, of tonnels) of selektiewe enkripsie (byvoorbeeld deur protokolnommer of VLAN) geïmplementeer word. As in hierdie geval netwerkadresse (MAC, IP, VLAN ID) as sleutels gebruik word in 'n tabel waarin die aantal rye beperk is, dan verskyn hierdie beperkings hier.

Daarbenewens het groot netwerke dikwels verskeie strukturele lae, insluitend die kernnetwerk, wat elkeen sy eie adresseringskema en sy eie roeteerbeleid implementeer. Om hierdie benadering te implementeer, word spesiale raamformate (soos Q-in-Q of MAC-in-MAC) en roetebepalingsprotokolle dikwels gebruik. Om nie die konstruksie van sulke netwerke te belemmer nie, moet enkripsietoestelle sulke rame korrek hanteer (dit wil sê, in hierdie sin sal skaalbaarheid versoenbaarheid beteken - meer daaroor hieronder).

Buigsaamheid

Hier praat ons oor die ondersteuning van verskeie konfigurasies, verbindingskemas, topologieë en ander dinge. Byvoorbeeld, vir geskakelde netwerke gebaseer op Carrier Ethernet-tegnologieë, beteken dit ondersteuning vir verskillende tipes virtuele verbindings (E-Line, E-LAN, E-Tree), verskillende tipes dienste (beide deur poort en VLAN) en verskillende vervoertegnologieë (hulle het reeds hierbo gelys). Dit wil sê, die toestel moet in beide lineêre ("punt-tot-punt") en meerpuntmodusse kan werk, afsonderlike tonnels vir verskillende VLAN's kan vestig, en buite-orde aflewering van pakkies binne 'n veilige kanaal toelaat. Die vermoë om verskillende syfermodusse te kies (insluitend met of sonder inhoudstawing) en verskillende pakketoordragmodusse laat jou toe om 'n balans tussen sterkte en werkverrigting te vind, afhangende van huidige toestande.

Dit is ook belangrik om beide private netwerke te ondersteun, waarvan die toerusting deur een organisasie besit word (of aan hom verhuur word), en operateurnetwerke, waarvan verskillende segmente deur verskillende maatskappye bestuur word. Dit is goed as die oplossing bestuur sowel intern as deur 'n derde party toelaat (met behulp van 'n bestuurde diensmodel). In operateurnetwerke is 'n ander belangrike funksie ondersteuning vir multi-tenancy (deel deur verskillende kliënte) in die vorm van kriptografiese isolasie van individuele kliënte (intekenare) wie se verkeer deur dieselfde stel enkripsietoestelle gaan. Dit vereis tipies die gebruik van aparte stelle sleutels en sertifikate vir elke kliënt.

As 'n toestel vir 'n spesifieke scenario gekoop word, is al hierdie kenmerke dalk nie baie belangrik nie - jy moet net seker maak dat die toestel ondersteun wat jy nou nodig het. Maar as 'n oplossing aangekoop word "vir groei", om ook toekomstige scenario's te ondersteun, en as 'n "korporatiewe standaard" gekies word, dan sal buigsaamheid nie oorbodig wees nie - veral met inagneming van die beperkings op die interoperabiliteit van toestelle van verskillende verskaffers ( meer hieroor hieronder).

Eenvoud en gemak

Gemak van diens is ook 'n multifaktoriale konsep. Ongeveer kan ons sê dat dit die totale tyd is wat spesialiste van 'n sekere kwalifikasie spandeer wat nodig is om 'n oplossing in verskillende stadiums van sy lewensiklus te ondersteun. As daar geen koste is nie, en installasie, konfigurasie en werking is ten volle outomaties, dan is die koste nul en die gerief is absoluut. Dit gebeur natuurlik nie in die regte wêreld nie. 'n Redelike benadering is 'n model "knoop aan 'n draad" (bump-in-the-wire), of deursigtige verbinding, waarin die byvoeging en deaktivering van enkripsietoestelle geen handmatige of outomatiese veranderinge aan die netwerkkonfigurasie vereis nie. Terselfdertyd word die instandhouding van die oplossing vereenvoudig: u kan die enkripsiefunksie veilig aan- en afskakel, en indien nodig, die toestel eenvoudig met 'n netwerkkabel "omseil" (dit wil sê, direk koppel daardie poorte van die netwerktoerusting waaraan dit was verbind). Daar is weliswaar een nadeel - 'n aanvaller kan dieselfde doen. Om die "knooppunt op 'n draad"-beginsel te implementeer, is dit nodig om nie net die verkeer in ag te neem nie datalaagMaar beheer- en bestuurslae – toestelle moet deursigtig vir hulle wees. Daarom kan sulke verkeer slegs geïnkripteer word wanneer daar geen ontvangers van hierdie tipe verkeer in die netwerk tussen die enkripsietoestelle is nie, want as dit weggegooi of geïnkripteer word, kan die netwerkkonfigurasie verander wanneer jy enkripsie aktiveer of deaktiveer. Die enkripsietoestel kan ook deursigtig wees vir fisiese laagsein. In die besonder, wanneer 'n sein verlore gaan, moet dit hierdie verlies (dit wil sê sy senders afskakel) heen en weer ("vir homself") in die rigting van die sein stuur.

Ondersteuning in die verdeling van gesag tussen die inligtingsekuriteit- en IT-afdelings, veral die netwerkdepartement, is ook belangrik. Die enkripsie-oplossing moet die organisasie se toegangsbeheer- en ouditmodel ondersteun. Die behoefte aan interaksie tussen verskillende departemente om roetine-operasies uit te voer, moet tot die minimum beperk word. Daarom is daar 'n voordeel in terme van gerief vir gespesialiseerde toestelle wat uitsluitlik enkripsiefunksies ondersteun en so deursigtig as moontlik vir netwerkbedrywighede is. Eenvoudig gestel, werknemers van inligtingsekuriteit behoort geen rede te hê om "netwerkspesialiste" te kontak om netwerkinstellings te verander nie. En hulle behoort op hul beurt nie die behoefte te hê om enkripsie-instellings te verander wanneer die netwerk in stand gehou word nie.

Nog 'n faktor is die vermoëns en gerief van die kontroles. Hulle moet visueel, logies wees, invoer-uitvoer van instellings, outomatisering, ensovoorts. U moet dadelik aandag gee aan watter bestuursopsies beskikbaar is (gewoonlik hul eie bestuursomgewing, webkoppelvlak en opdragreël) en watter stel funksies elkeen van hulle het (daar is beperkings). 'n Belangrike funksie is ondersteuning buite die band (buite-band) beheer, dit wil sê deur 'n toegewyde beheernetwerk, en in die band (in-band) beheer, dit wil sê deur 'n gemeenskaplike netwerk waardeur nuttige verkeer oorgedra word. Bestuursinstrumente moet alle abnormale situasies aandui, insluitend inligtingsekuriteitsinsidente. Roetine, herhalende bewerkings moet outomaties uitgevoer word. Dit het hoofsaaklik betrekking op sleutelbestuur. Hulle moet outomaties gegenereer/verspreid word. PKI-ondersteuning is 'n groot pluspunt.

Verenigbaarheid

Dit wil sê, die toestel se verenigbaarheid met netwerkstandaarde. Boonop beteken dit nie net industriële standaarde wat deur gesaghebbende organisasies soos IEEE aanvaar word nie, maar ook eie protokolle van bedryfsleiers, soos Cisco. Daar is twee hoof maniere om verenigbaarheid te verseker: óf deur deursigtigheid, of deur eksplisiete ondersteuning protokolle (wanneer 'n enkripsietoestel een van die netwerknodes vir 'n sekere protokol word en die beheerverkeer van hierdie protokol verwerk). Verenigbaarheid met netwerke hang af van die volledigheid en korrektheid van die implementering van beheerprotokolle. Dit is belangrik om verskillende opsies vir die PHY-vlak (spoed, transmissiemedium, enkoderingskema), Ethernet-rame van verskillende formate met enige MTU, verskillende L3-diensprotokolle (hoofsaaklik die TCP/IP-familie) te ondersteun.

Deursigtigheid word verseker deur die meganismes van mutasie (tydelike verandering van die inhoud van oop opskrifte in verkeer tussen enkripteers), oorslaan (wanneer individuele pakkies ongeënkripteer bly) en inkeping van die begin van enkripsie (wanneer normaalweg geënkripteerde velde van pakkies nie geïnkripteer word nie).

Hoe om Ethernet-enkripsietoestelle te evalueer en te vergelyk
Hoe deursigtigheid verseker word

Kontroleer dus altyd presies hoe ondersteuning vir 'n spesifieke protokol verskaf word. Dikwels is ondersteuning in deursigtige modus geriefliker en betroubaarder.

Interoperabiliteit

Dit is ook verenigbaarheid, maar in 'n ander sin, naamlik die vermoë om saam te werk met ander modelle van enkripsietoestelle, insluitend dié van ander vervaardigers. Baie hang af van die stand van standaardisering van enkripsieprotokolle. Daar is eenvoudig geen algemeen aanvaarde enkripsiestandaarde op L1 nie.

Daar is 'n 2ae (MACsec)-standaard vir L802.1-enkripsie op Ethernet-netwerke, maar dit gebruik nie dwarsdeursny (end-tot-end), en interpoort, "hop-by-hop" enkripsie, en in sy oorspronklike weergawe is nie geskik vir gebruik in verspreide netwerke nie, so sy eie uitbreidings het verskyn wat hierdie beperking oorkom (natuurlik as gevolg van interoperabiliteit met toerusting van ander vervaardigers). Weliswaar, in 2018 is ondersteuning vir verspreide netwerke by die 802.1ae-standaard gevoeg, maar daar is steeds geen ondersteuning vir GOST-enkripsie-algoritmestelle nie. Daarom word eie, nie-standaard L2-enkripsieprotokolle, as 'n reël, onderskei deur groter doeltreffendheid (veral laer bandwydte-bokoste) en buigsaamheid (die vermoë om enkripsiealgoritmes en -modusse te verander).

Op hoër vlakke (L3 en L4) is daar erkende standaarde, hoofsaaklik IPsec en TLS, maar ook hier is dit nie so eenvoudig nie. Die feit is dat elkeen van hierdie standaarde 'n stel protokolle is, elk met verskillende weergawes en uitbreidings wat vereis word of opsioneel vir implementering. Daarbenewens verkies sommige vervaardigers om hul eie enkripsieprotokolle op L3/L4 te gebruik. Daarom moet jy in die meeste gevalle nie staatmaak op volledige interoperabiliteit nie, maar dit is belangrik dat ten minste interaksie tussen verskillende modelle en verskillende generasies van dieselfde vervaardiger verseker word.

Betroubaarheid

Om verskillende oplossings te vergelyk, kan jy óf gemiddelde tyd tussen mislukkings óf beskikbaarheidsfaktor gebruik. As hierdie getalle nie beskikbaar is nie (of daar is geen vertroue in hulle nie), dan kan 'n kwalitatiewe vergelyking getref word. Toestelle met gerieflike bestuur sal 'n voordeel hê (minder risiko van konfigurasiefoute), gespesialiseerde enkripteerders (om dieselfde rede), sowel as oplossings met minimale tyd om 'n fout op te spoor en uit te skakel, insluitend middele van "warm" rugsteun van hele nodusse en toestelle.

Koste

Wat koste betref, soos met die meeste IT-oplossings, is dit sinvol om die totale koste van eienaarskap te vergelyk. Om dit te bereken, hoef jy nie die wiel weer uit te vind nie, maar gebruik enige geskikte metodologie (byvoorbeeld van Gartner) en enige sakrekenaar (byvoorbeeld die een wat reeds in die organisasie gebruik word om TCO te bereken). Dit is duidelik dat vir 'n netwerk enkripsie oplossing, die totale koste van eienaarskap bestaan ​​uit direk koste van die aankoop of huur van die oplossing self, infrastruktuur vir die gasheer van toerusting en koste van ontplooiing, administrasie en instandhouding (hetsy in-huis of in die vorm van derdeparty-dienste), sowel as vanaf indirek koste van oplossingstilstand (veroorsaak deur verlies aan eindgebruikerproduktiwiteit). Daar is seker net een subtiliteit. Die prestasie-impak van die oplossing kan op verskillende maniere beskou word: óf as indirekte koste wat veroorsaak word deur verlore produktiwiteit, óf as "virtuele" direkte koste van die aankoop/opgradering en instandhouding van netwerkhulpmiddels wat vergoed vir die verlies aan netwerkwerkverrigting as gevolg van die gebruik van enkripsie. In elk geval, uitgawes wat moeilik is om met voldoende akkuraatheid te bereken, word die beste uit die berekening gelaat: op hierdie manier sal daar meer vertroue in die finale waarde wees. En, soos gewoonlik, is dit in elk geval sinvol om verskillende toestelle volgens TCO te vergelyk vir 'n spesifieke scenario van hul gebruik - werklik of tipies.

duursaamheid

En die laaste kenmerk is die volharding van die oplossing. In die meeste gevalle kan duursaamheid slegs kwalitatief beoordeel word deur verskillende oplossings te vergelyk. Ons moet onthou dat enkripsietoestelle nie net 'n middel is nie, maar ook 'n voorwerp van beskerming. Hulle kan aan verskeie bedreigings blootgestel word. Op die voorgrond is die dreigemente van skending van vertroulikheid, reproduksie en wysiging van boodskappe. Hierdie bedreigings kan gerealiseer word deur kwesbaarhede van die syfer of sy individuele modusse, deur kwesbaarhede in enkripsieprotokolle (insluitend in die stadiums van die totstandkoming van 'n verbinding en die generering/verspreiding van sleutels). Die voordeel sal wees vir oplossings wat dit moontlik maak om die enkripsie-algoritme te verander of die syfermodus te verander (ten minste deur 'n firmware-opdatering), oplossings wat die mees volledige enkripsie verskaf, wat nie net gebruikersdata van die aanvaller wegsteek nie, maar ook adres- en ander diensinligting , sowel as tegniese oplossings wat nie net enkripteer nie, maar ook boodskappe beskerm teen reproduksie en wysiging. Vir alle moderne enkripsie-algoritmes, elektroniese handtekeninge, sleutelgenerering, ens., wat in standaarde vasgelê is, kan aanvaar word dat die sterkte dieselfde is (anders kan jy eenvoudig verdwaal in die wildernis van kriptografie). Moet dit noodwendig GOST-algoritmes wees? Alles is eenvoudig hier: as die toepassingscenario RFD-sertifisering vir CIPF vereis (en in Rusland is dit meestal die geval; vir die meeste netwerkenkripsie-scenario's is dit waar), dan kies ons slegs tussen gesertifiseerdes. Indien nie, is dit geen sin om toestelle sonder sertifikate van oorweging uit te sluit nie.

Nog 'n bedreiging is die bedreiging van inbraak, ongemagtigde toegang tot toestelle (insluitend deur fisiese toegang buite en binne die saak). Die bedreiging kan deurgevoer word
kwesbaarhede in implementering - in hardeware en kode. Daarom sal oplossings met 'n minimale "aanvaloppervlak" via die netwerk, met omhulsels beskerm teen fisiese toegang (met indringingsensors, ondersoekbeskerming en outomatiese herstel van sleutelinligting wanneer die omhulsel oopgemaak word), sowel as dié wat firmware-opdaterings toelaat 'n voordeel in die geval dat 'n kwesbaarheid in die kode bekend word. Daar is 'n ander manier: as al die toestelle wat vergelyk word, RFD-sertifikate het, kan die CIPF-klas waarvoor die sertifikaat uitgereik is, as 'n aanduiding van weerstand teen inbraak beskou word.

Ten slotte, 'n ander tipe bedreiging is foute tydens opstelling en werking, die menslike faktor in sy suiwerste vorm. Dit toon nog 'n voordeel van gespesialiseerde enkripteers bo gekonvergeerde oplossings, wat dikwels op gesoute "netwerkspesialiste" gemik is en probleme vir "gewone", algemene inligtingsekuriteitspesialiste kan veroorsaak.

Opsomming

In beginsel sou dit hier moontlik wees om 'n soort integrale aanwyser voor te stel om verskillende toestelle te vergelyk, iets soos

$$display$$K_j=∑p_i r_{ij}$$display$$

waar p die gewig van die aanwyser is, en r die rangorde van die toestel volgens hierdie aanwyser is, en enige van die kenmerke hierbo gelys kan in "atomiese" aanwysers verdeel word. So 'n formule kan bruikbaar wees, byvoorbeeld wanneer tendervoorstelle volgens vooraf ooreengekome reëls vergelyk word. Maar jy kan klaarkom met 'n eenvoudige tafel soos

Karakterisering
Toestel 1
Toestel 2
...
Toestel N

deurset
+
+

+ + +

Oorhoofse koste
+
++

+ + +

Vertraag
+
+

++

Skaalbaarheid
+ + +
+

+ + +

Buigsaamheid
+ + +
++

+

Interoperabiliteit
++
+

+

Verenigbaarheid
++
++

+ + +

Eenvoud en gemak
+
+

++

fout verdraagsaamheid
+ + +
+ + +

++

Koste
++
+ + +

+

duursaamheid
++
++

+ + +

Ek sal graag vrae en konstruktiewe kritiek beantwoord.

Bron: will.com

Voeg 'n opmerking