ProHoster > بلوق > إدارة > كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet

لقد كتبت هذه المراجعة (أو دليل المقارنة ، إذا كنت تفضل ذلك) عندما تم تكليفي بمقارنة عدة أجهزة من بائعين مختلفين. بالإضافة إلى ذلك ، تنتمي هذه الأجهزة إلى فئات مختلفة. كان علي أن أفهم بنية وخصائص كل هذه الأجهزة وأن أرسم "نظام إحداثيات" للمقارنة. سأكون سعيدًا إذا ساعدت تعليقي شخصًا ما:

  • فهم أوصاف ومواصفات أجهزة التشفير
  • تمييز خصائص "الورق" عن الخصائص المهمة حقًا في الحياة الواقعية
  • تجاوز مجموعة البائعين المعتادة وقم بتضمين أي منتجات مناسبة لحل المهمة في الاعتبار
  • اطرح الأسئلة الصحيحة في المفاوضات
  • كتابة متطلبات المناقصة (RFP)
  • افهم الخصائص التي يجب التضحية بها إذا تم اختيار طراز جهاز ما

ما الذي يمكن تقييمه

من حيث المبدأ ، ينطبق هذا النهج على أي أجهزة قائمة بذاتها (قائمة بذاتها) مناسبة لتشفير حركة مرور الشبكة بين مقاطع Ethernet البعيدة (التشفير عبر المواقع). أي ، "الصناديق" في علبة منفصلة (حسنًا ، سيتم أيضًا تضمين الشفرات / الوحدات للهيكل المعدني هنا) ، والتي يتم توصيلها عبر واحد أو أكثر من منافذ Ethernet بشبكة Ethernet المحلية (الحرم الجامعي) مع حركة مرور غير مشفرة ، ومن خلال أخرى المنفذ (المنافذ) - للقناة / الشبكة التي يتم من خلالها نقل حركة المرور المشفرة بالفعل إلى قطاعات أخرى بعيدة. يمكن نشر حل التشفير هذا في شبكة خاصة أو شبكة حاملة من خلال أنواع مختلفة من "النقل" (الألياف "الداكنة" ومعدات تقسيم التردد وشبكة إيثرنت المحولة بالإضافة إلى "الأسلاك الزائفة" الموضوعة عبر شبكة ذات توجيه مختلف معمارية ، غالبًا MPLS) ، مع أو بدون تقنية VPN.

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
تشفير الشبكة في شبكة إيثرنت موزعة

يمكن أن تكون الأجهزة نفسها إما متخصص (مصمم حصريًا للتشفير) ، أو متعدد الوظائف (مختلط ، متقاربة) ، أي أنها تؤدي أيضًا وظائف أخرى (على سبيل المثال ، جدار حماية أو جهاز توجيه). يصنف البائعون المختلفون أجهزتهم إلى فئات / فئات مختلفة ، ولكن لا يهم - ما يهم هو ما إذا كان بإمكانهم تشفير حركة المرور بين المواقع وما هي الخصائص التي يمتلكونها.

فقط في هذه الحالة ، أذكرك أن "تشفير الشبكة" ، "تشفير حركة المرور" ، "التشفير" هي مصطلحات غير رسمية ، على الرغم من استخدامها غالبًا. في الإجراءات القانونية التنظيمية الروسية (بما في ذلك تلك التي تقدم GOSTs) ، لن تجدها على الأرجح.

مستويات التشفير وطرق الإرسال

قبل الشروع في وصف الخصائص نفسها التي سيتم استخدامها للتقييم ، سيتعين علينا أولاً التعامل مع شيء واحد مهم ، ألا وهو "مستوى التشفير". لقد لاحظت أنه غالبًا ما يتم ذكره في كل من الوثائق الرسمية للبائعين (في الأوصاف والكتيبات وما إلى ذلك) وفي المناقشات غير الرسمية (في المفاوضات وفي الدورات التدريبية). أي ، بدا أن الجميع يعرفون كل شيء جيدًا ما هو على المحك ، لكنهم شهدوا شخصيًا بعض الارتباك.

إذن ، ما هي "طبقة التشفير" بالضبط؟ من الواضح أننا نتحدث عن رقم طبقة نموذج الشبكة المرجعية OSI / ISO التي يحدث فيها التشفير. نقرأ GOST R ISO 7498-2-99 “تكنولوجيا المعلومات. علاقة الأنظمة المفتوحة. النموذج المرجعي الأساسي. الجزء 2. هندسة أمن المعلومات. من هذا المستند ، يمكن فهم أن مستوى خدمة السرية (إحدى آليات التزويد التي هي مجرد تشفير) هو مستوى البروتوكول ، ووحدة بيانات الخدمة ("الحمولة" ، وبيانات المستخدم) التي يتم تشفيرها . كما هو مكتوب أيضًا في المعيار ، يمكن تقديم الخدمة على نفس المستوى ، "بمفردها" ، وبمساعدة مستوى أدنى (هذه هي الطريقة ، على سبيل المثال ، يتم تنفيذها غالبًا في MACsec) .

من الناحية العملية ، هناك وضعان لإرسال المعلومات المشفرة عبر الشبكة (يتبادر إلى الذهن IPsec على الفور ، ولكن توجد هذه الأوضاع أيضًا في البروتوكولات الأخرى). في ينقل (يسمى أحيانًا أيضًا الوضع الأصلي) مشفر فقط الخدمات كتلة البيانات ، وتظل الرؤوس "مفتوحة" وغير مشفرة (في بعض الأحيان يتم إضافة حقول إضافية مع معلومات الخدمة الخاصة بخوارزمية التشفير ، ويتم تعديل الحقول الأخرى وإعادة حسابها). في نفق نفس الوضع كله بروتوكول يتم تشفير كتلة البيانات (أي الحزمة نفسها) وتغليفها في كتلة بيانات خدمة من نفس المستوى أو مستوى أعلى ، أي أنها مؤطرة برؤوس جديدة.

في حد ذاته ، مستوى التشفير مع نوع من وضع الإرسال ليس جيدًا ولا سيئًا ، لذلك لا يمكن القول ، على سبيل المثال ، أن L3 في وضع النقل أفضل من L2 في وضع النفق. الأمر يتعلق فقط بالعديد من الخصائص التي تعتمد عليها ، وفقًا للأجهزة التي يتم تقييمها. على سبيل المثال ، المرونة والتوافق. للعمل في الشبكة L1 (ترحيل دفق البتات) و L2 (تبديل الإطار) و L3 (توجيه الحزمة) في وضع النقل ، هناك حاجة إلى حلول للتشفير على نفس المستوى أو أعلى (وإلا سيتم تشفير معلومات العنوان وسيتم تشفير البيانات لا تصل إلى وجهتها) ، ويسمح وضع النفق بالتغلب على هذا القيد (ومع ذلك ، فإن التضحية بالخصائص المهمة الأخرى).

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
وسائط النقل والنفق لتشفير L2

والآن دعنا ننتقل إلى تحليل الخصائص.

أداء

بالنسبة لتشفير الشبكة ، يعد الأداء مفهومًا معقدًا متعدد الأبعاد. يحدث أن نموذجًا معينًا ، متفوقًا في إحدى خصائص الأداء ، يكون أدنى من الآخر. لذلك ، من الجيد دائمًا مراعاة جميع جوانب أداء التشفير وتأثيرها على أداء الشبكة والتطبيقات التي تستخدمها. هنا يمكنك رسم تشبيه بسيارة ، ليس فقط السرعة القصوى مهمة لها ، ولكن أيضًا وقت التسارع إلى "المئات" ، واستهلاك الوقود ، وما إلى ذلك. تولي شركات البائعين وعملائهم المحتملين اهتمامًا كبيرًا بخصائص الأداء. كقاعدة عامة ، يتم الترتيب في سطور بائعي أجهزة التشفير من خلال الأداء.

من الواضح أن الأداء يعتمد على كل من تعقيد عمليات الشبكات والتشفير التي يتم إجراؤها على الجهاز (بما في ذلك مدى ملاءمة هذه المهام للتوازي وتوصيل الأنابيب) ، وكذلك على أداء الأجهزة وجودة البرامج الثابتة. لذلك ، تستخدم الطرز القديمة أجهزة أكثر إنتاجية ، وفي بعض الأحيان يكون من الممكن تزويدها بمعالجات ووحدات ذاكرة إضافية. هناك عدة طرق لتنفيذ وظائف التشفير: على وحدة معالجة مركزية للأغراض العامة (CPU) ، أو على دائرة متكاملة خاصة بالتطبيق (ASIC) ، أو على دائرة متكاملة منطقية قابلة للبرمجة (FPGA). كل نهج له إيجابيات وسلبيات. على سبيل المثال ، يمكن أن تصبح وحدة المعالجة المركزية (CPU) عنق زجاجة للتشفير ، خاصةً إذا لم يكن لدى المعالج تعليمات متخصصة لدعم خوارزمية التشفير (أو إذا لم يتم استخدامها). تفتقر الرقائق المتخصصة إلى المرونة ، وليس من الممكن دائمًا "إعادة تحميلها" لتحسين الأداء أو إضافة ميزات جديدة أو القضاء على نقاط الضعف. بالإضافة إلى ذلك ، يصبح استخدامها مربحًا فقط مع كميات كبيرة من الإنتاج. هذا هو السبب في أن "الوسط الذهبي" أصبح شائعًا جدًا - استخدام FPGA (باللغة الروسية ، FPGA). يتم تصنيع ما يسمى بمسرعات التشفير على FPGA - وحدات أجهزة متخصصة مدمجة أو مدمجة لدعم عمليات التشفير.

منذ ذلك الحين شبكة بالتشفير ، من المنطقي أن يتم قياس أداء الحلول بنفس الشروط المستخدمة في أجهزة الشبكة الأخرى - الإنتاجية ، ونسبة فقدان الإطار (خسارة الإطار) والكمون (زمن الوصول). يتم تحديد هذه القيم في RFC 1242. بالمناسبة ، لا يوجد شيء مكتوب عن تباين التأخير المذكور غالبًا (الارتعاش) في RFC هذا. كيف تقيس هذه الكميات؟ لم أجد منهجية معتمدة في أي معايير (رسمية أو غير رسمية مثل RFC) خصيصًا لتشفير الشبكة. سيكون من المنطقي استخدام منهجية أجهزة الشبكة ، المنصوص عليها في معيار RFC 2544. يتبعها العديد من البائعين - كثيرون ، ولكن ليس كلهم. على سبيل المثال ، يتم تغذية حركة المرور التجريبية في اتجاه واحد فقط بدلاً من كليهما ، مثل موصى به معيار. على أي حال.

لا يزال قياس أداء أجهزة تشفير الشبكة له خصائصه الخاصة. أولاً ، من الصحيح إجراء جميع القياسات لزوج من الأجهزة: على الرغم من أن خوارزميات التشفير متناظرة ، فإن التأخيرات وخسائر الحزم أثناء التشفير وفك التشفير لن تكون متساوية بالضرورة. ثانيًا ، من المنطقي قياس دلتا بالضبط ، تأثير تشفير الشبكة على أداء الشبكة النهائي ، ومقارنة تكوينين مع بعضهما البعض: بدون أجهزة تشفير ومعها. أو ، كما في حالة الأجهزة الهجينة التي تجمع بين العديد من الوظائف بالإضافة إلى تشفير الشبكة ، مع إيقاف التشفير وتشغيله. يمكن أن يكون هذا التأثير مختلفًا ويعتمد على مخطط اتصال أجهزة التشفير ، وعلى أنماط التشغيل ، وأخيراً على طبيعة حركة المرور. على وجه الخصوص ، تعتمد العديد من معلمات الأداء على طول الحزم ، ولهذا السبب لمقارنة أداء الحلول المختلفة ، غالبًا ما يتم استخدام الرسوم البيانية لاعتماد هذه المعلمات على طول الحزم ، أو يستخدمون IMIX - توزيع حركة المرور بواسطة أطوال الحزمة ، والتي تعكس تقريبًا الطول الحقيقي. إذا أخذنا نفس التكوين الأساسي بدون تشفير للمقارنة ، فيمكننا مقارنة حلول تشفير الشبكة التي تم تنفيذها بشكل مختلف دون الخوض في هذه الاختلافات: L2 مع L3 ، تخزين وإعادة توجيه) مع طرف إلى طرف (قطع) ، متخصص في متقاربة ، GOST مع AES وما إلى ذلك.

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
مخطط الأسلاك لاختبار الأداء

السمة الأولى التي ينتبه إليها الناس هي "سرعة" جهاز التشفير ، أي عرض النطاق (عرض النطاق الترددي) لواجهات الشبكة ، ومعدل البت. يتم تعريفه من خلال معايير الشبكات التي تدعمها الواجهات. بالنسبة إلى Ethernet ، الأرقام المعتادة هي 1 جيجابت في الثانية و 10 جيجابت في الثانية. ولكن ، كما نعلم ، في أي شبكة الحد الأقصى من الناحية النظرية قدرة (معدل النقل) عند كل مستوى من مستوياته يكون دائمًا أقل من عرض النطاق الترددي: جزء من عرض النطاق الترددي "يتم استهلاكه" من خلال الفواصل الزمنية بين الإطارات ورؤوس الخدمة وما إلى ذلك. إذا كان الجهاز قادرًا على تلقي ومعالجة (في حالتنا ، تشفير أو فك تشفير) ونقل حركة المرور بأقصى سرعة لواجهة الشبكة ، أي مع الحد الأقصى لعرض النطاق الترددي النظري لهذا المستوى من نموذج الشبكة ، فيقال للعمل بسرعة الخط. للقيام بذلك ، من الضروري ألا يفقد الجهاز ، ولا يتجاهل الحزم بأي حجم وأي تكرار لتكرارها. إذا كان جهاز التشفير لا يدعم سرعة الخط ، فعادةً ما يُشار إلى الحد الأقصى للإنتاجية في نفس الجيجابت في الثانية (يشير أحيانًا إلى طول الحزم - كلما كانت الحزم أقصر ، انخفض معدل النقل عادةً). من المهم جدًا أن نفهم أن الحد الأقصى للإنتاجية هو الحد الأقصى لا خسارة (حتى لو كان الجهاز يستطيع "ضخ" حركة المرور من خلاله بسرعة أعلى ، لكنه يفقد بعض الحزم). بالإضافة إلى ذلك ، تحتاج إلى الانتباه إلى حقيقة أن بعض البائعين يقيسون إجمالي الإنتاجية بين جميع أزواج المنافذ ، وبالتالي فإن هذه الأرقام لا تعني سوى القليل إذا كانت كل حركة المرور المشفرة تمر عبر منفذ واحد.

أين من المهم بشكل خاص العمل بسرعة الخط (أو بعبارة أخرى ، بدون فقدان الحزمة)؟ في الارتباطات ذات النطاق الترددي العالي ، والكمون العالي (مثل الأقمار الصناعية) ، حيث يجب تعيين حجم نافذة TCP كبير للحفاظ على معدل إرسال مرتفع ، وحيث يؤدي فقدان الحزمة إلى تقليل أداء الشبكة بشكل كبير.

ولكن لا يتم استخدام كل النطاق الترددي لنقل بيانات الحمولة. علينا أن نحسب حسابًا لما يسمى ب تكاليف غير مباشرة (علوية) النطاق الترددي. هذا هو الجزء من النطاق الترددي لجهاز التشفير (النسبة المئوية أو البايت لكل حزمة) الذي يتم إهداره بالفعل (لا يمكن استخدامه لنقل بيانات التطبيق). تنشأ التكاليف العامة ، أولاً ، بسبب الزيادة في حجم (الحشو ، الحشو) لحقل البيانات في حزم الشبكة المشفرة (اعتمادًا على خوارزمية التشفير وطريقة عملها). ثانيًا ، نظرًا للزيادة في طول رؤوس الحزمة (وضع النفق ، وإدخال خدمة بروتوكول التشفير ، وانتحال الهوية ، وما إلى ذلك ، اعتمادًا على البروتوكول وطريقة تشغيل التشفير ووضع الإرسال) - عادةً ما تكون هذه النفقات العامة هي الأكثر أهمية ، وهم ينتبهون أولاً. ثالثًا ، بسبب تجزئة الحزم عند تجاوز الحد الأقصى لحجم وحدة البيانات (MTU) (إذا تمكنت الشبكة من تقسيم حزمة تحتوي على فائض من MTU إلى قسمين ، مع تكرار رؤوسها). رابعًا ، نظرًا لظهور حركة مرور الخدمة (التحكم) الإضافية في الشبكة بين أجهزة التشفير (لتبادل المفاتيح ، والنفق ، وما إلى ذلك). الحمل المنخفض مهم عندما يكون النطاق الترددي محدودًا. يتضح هذا بشكل خاص في حركة المرور من الحزم الصغيرة ، على سبيل المثال ، الصوت - حيث يمكن أن "يأكل" الحمل أكثر من نصف سرعة القناة!

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
قدرة

أخيرًا ، هناك المزيد تأخير الإدراج هو الفرق (في أجزاء من الثانية) في تأخير الشبكة (الوقت الذي تستغرقه البيانات للانتقال من دخول الشبكة إلى مغادرتها) بين نقل البيانات بدون تشفير الشبكة ومعه. بشكل عام ، كلما قل التأخير ("الكمون") للشبكة ، كلما أصبح التأخير الذي تحدثه أجهزة التشفير أكثر أهمية. يتم تقديم التأخير من خلال عملية التشفير نفسها (اعتمادًا على خوارزمية التشفير وطول الكتلة ووضع تشغيل التشفير ، بالإضافة إلى جودة تنفيذه في البرنامج) ومعالجة حزمة الشبكة في الجهاز. يعتمد وقت الاستجابة المقدم على وضع معالجة الحزمة (من طرف إلى طرف أو تخزين وإعادة توجيه) وأداء النظام الأساسي (تنفيذ الأجهزة على FPGA أو ASIC بشكل عام أسرع من تنفيذ البرامج على وحدة المعالجة المركزية). دائمًا ما يكون لتشفير L2 زمن انتقال أقل مقارنة بتشفير L3 أو L4 نظرًا لحقيقة أن أجهزة تشفير L3 / L4 غالبًا ما تكون متقاربة. على سبيل المثال ، بالنسبة لتشفير Ethernet عالي السرعة المطبق على FPGA والتشفير على L2 ، يكون التأخير الناجم عن عملية التشفير ضئيلًا للغاية - أحيانًا عندما يتم تمكين التشفير على زوج من الأجهزة ، ينخفض ​​التأخير الإجمالي الذي تقدمه هذه الأجهزة! يعد التأخير المنخفض مهمًا حيث يمكن مقارنته بإجمالي تأخيرات القناة ، بما في ذلك تأخير انتشار الإشارة ، والذي يبلغ حوالي 5 ميكرو ثانية لكل كيلومتر. وهذا يعني أنه بالنسبة للشبكات على مستوى المدينة (عبر عشرات الكيلومترات) ، يمكن للميكروثانية أن تحل الكثير. على سبيل المثال ، لنسخ قاعدة البيانات المتزامن ، التداول عالي التردد ، نفس blockchain.

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
تأخير الإدراج

التدرجية

قد تتضمن الشبكات الموزعة الكبيرة عدة آلاف من العقد وأجهزة الشبكة ، ومئات من قطاعات الشبكات المحلية. من المهم ألا تفرض حلول التشفير قيودًا إضافية خاصة بها على حجم وطوبولوجيا الشبكة الموزعة. هذا ينطبق في المقام الأول على الحد الأقصى لعدد عناوين المضيف والشبكة. يمكن مواجهة هذه القيود ، على سبيل المثال ، عند تنفيذ هيكل شبكة محمية بالتشفير متعدد النقاط (مع اتصالات أو أنفاق آمنة مستقلة) أو تشفير انتقائي (على سبيل المثال ، عن طريق رقم البروتوكول أو VLAN). إذا تم استخدام عناوين الشبكة (MAC ، IP ، VLAN ID) في نفس الوقت كمفاتيح في جدول ، يكون عدد الصفوف محدودًا ، ثم تظهر هذه القيود هنا.

بالإضافة إلى ذلك ، غالبًا ما يكون للشبكات الكبيرة عدة مستويات هيكلية ، بما في ذلك الشبكة الأساسية ، حيث يقوم كل منها بتنفيذ مخطط العنونة الخاص به وسياسة التوجيه الخاصة به. لتنفيذ هذا النهج ، غالبًا ما يتم استخدام تنسيقات الإطارات الخاصة (مثل Q-in-Q أو MAC-in-MAC) وبروتوكولات تحديد المسار. من أجل عدم التدخل في إنشاء مثل هذه الشبكات ، يجب أن تتعامل أجهزة التشفير بشكل صحيح مع هذه الإطارات (أي ، في هذا المعنى ، ستعني قابلية التوسع التوافق - المزيد حول ذلك أدناه).

مرونة

نحن هنا نتحدث عن دعم التكوينات المختلفة وأنظمة الاتصال والطبولوجيا وأشياء أخرى. على سبيل المثال ، بالنسبة للشبكات المحولة القائمة على تقنيات Carrier Ethernet ، فهذا يعني دعم أنواع مختلفة من الاتصالات الافتراضية (E-Line و E-LAN ​​و E-Tree) وأنواع مختلفة من الخدمات (كل من المنافذ وشبكات VLAN) وتقنيات النقل المختلفة ( هم بالفعل المذكورة أعلاه). بمعنى ، يجب أن يكون الجهاز قادرًا على العمل في أوضاع خطية ("من نقطة إلى نقطة") ومتعددة النقاط ، وإنشاء أنفاق منفصلة لشبكات VLAN مختلفة ، والسماح بتسليم الحزمة بالترتيب داخل قناة آمنة. تتيح لك القدرة على تحديد أوضاع مختلفة لتشغيل التشفير (بما في ذلك مصادقة المحتوى أو بدونه) والأوضاع المختلفة لنقل الحزم تحقيق التوازن بين القوة والأداء وفقًا للظروف الحالية.

من المهم أيضًا دعم كل من الشبكات الخاصة ، التي تنتمي معداتها إلى مؤسسة واحدة (أو مستأجرة من قبلها) ، وشبكات المشغلين ، التي تدير قطاعات مختلفة منها شركات مختلفة. من الجيد إذا كان الحل يسمح بالإدارة من تلقاء نفسها ومن خلال مؤسسة تابعة لجهة خارجية (وفقًا لنموذج الخدمة المدارة). في شبكات المشغلين ، هناك وظيفة مهمة أخرى تتمثل في دعم تعدد الإيجارات (المشاركة من قبل عملاء مختلفين) في شكل عزل تشفير للعملاء الفرديين (المشتركين) الذين تمر حركتهم عبر نفس مجموعة أجهزة التشفير. كقاعدة عامة ، يتطلب ذلك استخدام مجموعات منفصلة من المفاتيح والشهادات لكل عميل.

إذا تم شراء الجهاز لسيناريو محدد ، فقد لا تكون كل هذه الميزات مهمة للغاية - ما عليك سوى التأكد من أن الجهاز يدعم ما تحتاجه الآن. ولكن إذا تم شراء الحل "من أجل النمو" ، لدعم ، من بين أمور أخرى ، السيناريوهات المستقبلية ، وتم اختياره على أنه "معيار الشركة" ، فلن تكون المرونة غير ضرورية - خاصة مع مراعاة القيود المفروضة على قابلية التشغيل البيني للأجهزة من بائعين مختلفين (المزيد حول هذا أدناه).

البساطة والراحة

القابلية للخدمة هي أيضًا مفهوم متعدد العوامل. تقريبًا ، يمكننا القول أن هذا هو إجمالي الوقت الذي يقضيه المتخصصون من مؤهل معين ضروري لدعم الحل في مراحل مختلفة من دورة حياته. إذا لم تكن هناك تكاليف ، وكان التثبيت والتكوين والتشغيل أوتوماتيكيًا بالكامل ، فستكون التكاليف صفرًا ، والراحة مطلقة. بالطبع ، هذا لا يحدث في العالم الحقيقي. التقريب المعقول هو النموذج "عقدة على سلك" (bump-in-the-wire) ، أو اتصال شفاف ، حيث لا تتطلب إضافة وتعطيل أجهزة التشفير أي تغييرات يدوية أو تلقائية على تكوين الشبكة. يعمل هذا على تبسيط صيانة الحل: يمكنك تشغيل / إيقاف تشغيل وظيفة التشفير بأمان ، وإذا لزم الأمر ، ببساطة "تجاوز" الجهاز بكبل الشبكة (أي ، قم بتوصيل منافذ معدات الشبكة التي تم توصيلها بها مباشرةً ). صحيح ، هناك ناقص واحد - يمكن للمهاجم أن يفعل الشيء نفسه. لتنفيذ مبدأ "العقدة على السلك" ، من الضروري مراعاة حركة المرور ليس فقط طبقة البياناتلكن طبقات التحكم والإدارة - يجب أن تكون الأجهزة شفافة بالنسبة لهم. لذلك ، لا يمكن تشفير حركة المرور هذه إلا في حالة عدم وجود مستلمين لهذه الأنواع من حركة المرور في الشبكة بين أجهزة التشفير ، لأنه إذا تم تجاهلها أو تشفيرها ، فقد يتغير تكوين الشبكة عند تشغيل التشفير أو إيقاف تشغيله. يمكن أن يكون جهاز التشفير أيضًا شفافًا للإشارة على الطبقة المادية. على وجه الخصوص ، عند فقدان الإشارة ، يجب أن تنقل هذه الخسارة (أي إيقاف تشغيل أجهزة الإرسال) ذهابًا وإيابًا ("لنفسها") في اتجاه الإشارة.

من المهم أيضًا تقديم الدعم في تقسيم الصلاحيات بين إدارات أمن المعلومات وتكنولوجيا المعلومات ، ولا سيما قسم الشبكة. يجب أن يدعم حل التشفير نموذج المراجعة والتحكم في الوصول للمؤسسة. يجب تقليل الحاجة إلى التفاعل بين الإدارات المختلفة لأداء العمليات الروتينية. لذلك ، من حيث الملاءمة ، تتمتع الأجهزة المتخصصة التي تدعم وظائف التشفير فقط وتتميز بالشفافية قدر الإمكان لعمليات الشبكة بميزة من حيث الراحة. ببساطة ، يجب ألا يكون لدى موظفي IS سبب للاتصال بـ "المسوقين الشبكيين" لتغيير إعدادات الشبكة. وهؤلاء ، بدورهم ، لن يحتاجوا إلى تغيير إعدادات التشفير عند صيانة الشبكة.

عامل آخر هو قدرة وملاءمة الضوابط. يجب أن تكون مرئية ومنطقية وتوفر استيراد وتصدير الإعدادات والأتمتة وما إلى ذلك. تحتاج فورًا إلى الانتباه إلى خيارات الإدارة المتاحة (عادةً ما تكون بيئة الإدارة الخاصة بها وواجهة الويب وسطر الأوامر) ومع مجموعة الوظائف في كل منها (هناك قيود). وظيفة مهمة هي الدعم خارج النطاق (خارج النطاق) ، أي من خلال شبكة تحكم مخصصة ، و في النطاق (داخل النطاق) ، أي من خلال شبكة مشتركة يتم من خلالها نقل حركة المرور المفيدة. يجب أن تشير الضوابط إلى جميع المواقف غير الطبيعية ، بما في ذلك حوادث أمن المعلومات. يجب إجراء العمليات الروتينية المتكررة تلقائيًا. بادئ ذي بدء ، هذا ينطبق على الإدارة الرئيسية. يجب أن يتم إنشاؤها / توزيعها تلقائيًا. دعم PKI هو إضافة كبيرة.

التوافق

أي توافق الجهاز مع معايير الشبكة. وهذا لا يشير فقط إلى المعايير الصناعية المعتمدة من قبل منظمات موثوقة مثل IEEE ، بل يشير أيضًا إلى بروتوكولات الملكية لقادة الصناعة ، مثل Cisco ، على سبيل المثال. هناك طريقتان أساسيتان لضمان التوافق: إما من خلال شفافيةأو من خلال دعم صريح البروتوكولات (عندما يصبح جهاز التشفير أحد عقد الشبكة لبعض البروتوكولات ويقوم بمعالجة حركة مرور التحكم في هذا البروتوكول). يعتمد التوافق مع الشبكات على اكتمال وصحة تنفيذ بروتوكولات التحكم. من المهم دعم خيارات مستوى PHY المختلفة (السرعات ، وسائط الإرسال ، أنظمة التشفير) ، إطارات Ethernet بتنسيقات مختلفة مع أي MTU ، بروتوكولات خدمة L3 مختلفة (بشكل أساسي عائلة TCP / IP).

يتم توفير الشفافية من خلال آليات التحول (تغيير محتويات الرؤوس المفتوحة مؤقتًا في حركة المرور بين المشفرات) والتخطي (عندما تظل الحزم الفردية غير مشفرة) ووضع مسافة بادئة في بداية التشفير (عندما لا يتم تشفير حقول الحزم المشفرة عادةً).

كيفية تقييم ومقارنة أجهزة التشفير لشبكات Ethernet
كيف يتم ضمان الشفافية

لذلك ، حدد دائمًا بالضبط كيفية توفير الدعم لبروتوكول معين. غالبًا ما يكون الدعم في الوضع الشفاف أكثر ملاءمة وموثوقية.

التوافقية

هذا أيضًا توافق ، ولكن بمعنى مختلف ، وهو القدرة على العمل مع نماذج أخرى من أجهزة التشفير ، بما في ذلك الشركات المصنعة الأخرى. يعتمد الكثير على حالة توحيد بروتوكولات التشفير. ببساطة لا توجد معايير تشفير مقبولة بشكل عام في L1.

بالنسبة لتشفير L2 على شبكات Ethernet ، يوجد معيار 802.1ae (MACsec) ، لكنه لا يستخدم نهاية إلى نهاية (من طرف إلى طرف) ، و interport، التشفير "hop-by-hop" ، وفي نسخته الأصلية غير مناسب للاستخدام في الشبكات الموزعة ، لذلك ظهرت امتدادات الملكية التي تغلبت على هذا القيد (بالطبع ، بسبب إمكانية التشغيل البيني مع المعدات من الشركات المصنعة الأخرى). صحيح ، في عام 2018 ، تمت إضافة دعم الشبكات الموزعة إلى معيار 802.1ae ، ولكن لا يوجد حتى الآن دعم لمجموعات خوارزمية تشفير GOST. لذلك ، فإن بروتوكولات تشفير L2 غير القياسية ، كقاعدة عامة ، تكون أكثر كفاءة (على وجه الخصوص ، عرض النطاق الترددي المنخفض) والمرونة (القدرة على تغيير خوارزميات وأنماط التشفير).

في المستويات الأعلى (L3 و L4) توجد معايير معترف بها ، بشكل أساسي IPsec و TLS ، ثم كل شيء ليس بهذه البساطة هنا. الحقيقة هي أن كل من هذه المعايير عبارة عن مجموعة من البروتوكولات ، ولكل منها إصدارات وملحقات مختلفة إلزامية أو اختيارية للتنفيذ. بالإضافة إلى ذلك ، تفضل بعض الشركات المصنعة استخدام بروتوكولات التشفير الخاصة بهم على L3 / L4 أيضًا. لذلك ، في معظم الحالات ، لا ينبغي توقع إمكانية التشغيل البيني الكامل ، ولكن من المهم على الأقل ضمان قابلية التشغيل البيني بين النماذج المختلفة والأجيال المختلفة من نفس الشركة المصنعة.

دقة

لمقارنة الحلول المختلفة ، يمكنك استخدام إما متوسط ​​الوقت بين حالات الفشل أو عامل التوفر. إذا لم تكن هذه الأرقام متوفرة (أو لم تكن هناك ثقة بها) ، فيمكن إجراء مقارنة نوعية. الأجهزة ذات الإدارة المريحة (مخاطر أقل لحدوث أخطاء في التهيئة) ، والمشفرات المتخصصة (لنفس السبب) ، بالإضافة إلى الحلول ذات الحد الأدنى من اكتشاف الأعطال ووقت التخلص منها ، بما في ذلك وسائل التكرار "الساخن" للعقد والأجهزة ككل ، سوف لها ميزة.

تكلفة

عندما يتعلق الأمر بالتكلفة ، كما هو الحال مع معظم حلول تكنولوجيا المعلومات ، فإن الأمر يستحق مقارنة التكلفة الإجمالية للملكية. لحسابها ، لا يمكنك إعادة اختراع العجلة ، ولكن يمكنك استخدام أي منهجية مناسبة (على سبيل المثال ، من Gartner) وأي آلة حاسبة (على سبيل المثال ، تلك المستخدمة بالفعل في المؤسسة لحساب التكلفة الإجمالية للملكية). من الواضح أنه بالنسبة لحل تشفير الشبكة ، فإن التكلفة الإجمالية للملكية هي مجموع مباشرة تكلفة شراء أو تأجير الحل نفسه ، والبنية التحتية لاستضافة المعدات وتكاليف النشر والإدارة والصيانة (سواء في المنزل أو من خلال خدمات الجهات الخارجية) ، وكذلك من غير مباشر تكاليف تعطل الحل (بسبب فقدان إنتاجية المستخدم النهائي). ربما هناك دقة واحدة فقط. يمكن أخذ تأثير أداء الحل في الاعتبار بطرق مختلفة: إما كتكاليف غير مباشرة ناتجة عن انخفاض الإنتاجية ، أو كتكاليف مباشرة "افتراضية" لشراء / ترقية وصيانة مرافق الشبكة التي تعوض عن تدهور أداء الشبكة بسبب استخدام التشفير. في أي حال ، النفقات التي يصعب حسابها بدقة كافية ، من الأفضل "وضع قوس" الحساب: بهذه الطريقة سيكون هناك مزيد من الثقة في القيمة النهائية. وكالعادة ، على أي حال ، من المنطقي مقارنة الأجهزة المختلفة حسب التكلفة الإجمالية للملكية لسيناريو محدد لاستخدامها - حقيقي أو نموذجي.

متانة

وآخر ما يميزه هو استقرار الحل. في معظم الحالات ، لا يمكن تقييم الاستمرارية نوعياً إلا من خلال مقارنة الحلول المختلفة. يجب أن نتذكر أن أجهزة التشفير ليست مجرد وسيلة ، بل هي أيضًا هدف للحماية. قد يتعرضون لتهديدات مختلفة. في المقدمة التهديدات المتعلقة بانتهاكات الخصوصية وإعادة إنتاج الرسائل وتعديلها. يمكن تنفيذ هذه التهديدات من خلال نقاط الضعف في التشفير أو أوضاعها الفردية ، من خلال الثغرات الأمنية في بروتوكولات التشفير (بما في ذلك في مراحل إنشاء اتصال وإنشاء / توزيع المفاتيح). الحلول التي تسمح بتغيير خوارزمية التشفير أو تبديل وضع التشفير (على الأقل من خلال تحديث البرنامج الثابت) ، الحلول التي توفر التشفير الأكثر اكتمالا الذي يخفي عن المهاجم ليس فقط بيانات المستخدم ، ولكن أيضًا العنوان ومعلومات الخدمة الأخرى ، بالإضافة إلى تلك الحلول التي لا تقوم فقط بتشفير الرسائل ، بل تحميها أيضًا من إعادة الإنتاج والتعديل. بالنسبة لجميع خوارزميات التشفير الحديثة ، والتوقيعات الإلكترونية ، وإنشاء المفاتيح ، والأشياء الأخرى المنصوص عليها في المعايير ، يمكن أخذ القوة نفسها (وإلا يمكنك أن تضيع في غابات التشفير). هل يجب أن تكون بالتأكيد خوارزميات GOST؟ كل شيء بسيط هنا: إذا كان سيناريو التطبيق يتطلب شهادة FSB لحماية معلومات التشفير (وهذا هو الحال في روسيا في أغلب الأحيان) بالنسبة لمعظم سيناريوهات تشفير الشبكة ، فهذه هي الحالة) ، فإننا نختار فقط بين السيناريوهات المعتمدة. إذا لم يكن الأمر كذلك ، فلا فائدة من استبعاد الأجهزة دون النظر في الشهادات.

تهديد آخر هو خطر القرصنة ، والوصول غير المصرح به إلى الأجهزة (بما في ذلك من خلال الوصول المادي خارج وداخل القضية). قد يأتي التهديد من خلال
الثغرات الأمنية في التنفيذ - في الأجهزة وفي التعليمات البرمجية. لذلك ، الحلول ذات الحد الأدنى من "السطح للهجوم" عبر الشبكة ، مع حالات محمية من الوصول المادي (مع مستشعرات العبث ، مع حماية ضد التحقيق وإعادة الضبط التلقائي للمعلومات الرئيسية عند فتح العلبة) ، وكذلك تلك التي تسمح بالبرامج الثابتة التحديثات ، سيكون لها ميزة عندما تصبح ثغرة أمنية معروفة في الكود. هناك طريقة أخرى: إذا كانت جميع الأجهزة التي تمت مقارنتها بها شهادات FSB ، فيمكن اعتبار فئة CIPF التي تم إصدار الشهادة لها مؤشرًا على مقاومة القرصنة.

أخيرًا ، هناك نوع آخر من التهديد وهو الأخطاء أثناء التكوين والتشغيل ، العامل البشري في أنقى صوره. هذه ميزة أخرى للمشفرات المتخصصة على الحلول المتقاربة ، والتي غالبًا ما تركز على "المسوقين الشبكيين" المخضرمين ويمكن أن تسبب صعوبات للمتخصصين "العاديين" والمتخصصين في أمن المعلومات على نطاق واسع.

تلخيص

من حيث المبدأ ، يمكن للمرء هنا تقديم بعض المؤشرات المتكاملة لمقارنة الأجهزة المختلفة ، شيء من هذا القبيل

$$ عرض $$ K_j = ∑p_i r_ {ij} $$ عرض $$

حيث p هي وزن المؤشر ، و r هي رتبة الجهاز وفقًا لهذا المؤشر ، ويمكن تقسيم أي من الخصائص المذكورة أعلاه إلى مؤشرات "ذرية". يمكن أن تكون هذه الصيغة مفيدة ، على سبيل المثال ، عند مقارنة العطاءات وفقًا لقواعد متفق عليها مسبقًا. ولكن يمكنك الحصول على طاولة بسيطة مثل

وصف
الجهاز 1
الجهاز 2
...
الجهاز N

قدرة
+
+

+ + +

النفقات العامة
+
++

+ + +

تأخير
+
+

++

التدرجية
+ + +
+

+ + +

مرونة
+ + +
++

+

التوافقية
++
+

+

التوافق
++
++

+ + +

البساطة والراحة
+
+

++

التسامح مع الخطأ
+ + +
+ + +

++

تكلفة
++
+ + +

+

متانة
++
++

+ + +

سأكون سعيدا للإجابة على الأسئلة والانتقادات البناءة.

المصدر: www.habr.com

إضافة تعليق