Unsaon Pagtimbang-timbang ug Pagtandi sa Ethernet Encryption Devices

Gisulat ko kini nga pagrepaso (o, kung gusto nimo, usa ka giya sa pagtandi) kung gitahasan ako sa pagtandi sa daghang mga aparato gikan sa lainlaing mga tigbaligya. Dugang pa, kini nga mga aparato nahisakop sa lainlaing mga klase. Kinahanglan nakong masabtan ang arkitektura ug mga kinaiya sa tanan niini nga mga himan ug maghimo og "coordinate system" alang sa pagtandi. Malipay ko kung ang akong pagrepaso makatabang sa usa ka tawo:

• Sabta ang mga paghubit ug mga detalye sa mga aparato sa pag-encrypt
• Pag-ila sa "papel" nga mga kinaiya gikan sa mga importante kaayo sa tinuod nga kinabuhi
• Labaw pa sa naandan nga hugpong sa mga tigbaligya ug ilakip sa konsiderasyon ang bisan unsang mga produkto nga angay sa pagsulbad sa problema
• Pangutan-a ang husto nga mga pangutana sa panahon sa negosasyon
• Paghimo og mga kinahanglanon sa tender (RFP)
• Sabta unsa nga mga kinaiya ang kinahanglan nga isakripisyo kung ang usa ka modelo sa aparato gipili

Unsa ang ma-assess

Sa prinsipyo, ang pamaagi magamit sa bisan unsang standalone nga mga aparato nga angay alang sa pag-encrypt sa trapiko sa network tali sa hilit nga mga bahin sa Ethernet (cross-site encryption). Sa ato pa, "mga kahon" sa usa ka bulag nga kaso (okay, ilakip usab namo ang mga blades/modules para sa chassis dinhi), nga konektado pinaagi sa usa o daghan pang Ethernet port ngadto sa usa ka lokal (campus) Ethernet network nga adunay unencrypted nga trapiko, ug pinaagi sa laing (mga) pantalan sa channel/network diin ang na-encrypt na nga trapiko gipasa ngadto sa uban, hilit nga mga bahin. Ang ingon nga solusyon sa pag-encrypt mahimong i-deploy sa usa ka pribado o operator nga network pinaagi sa lainlaing mga lahi sa "transportasyon" (dark fiber, frequency division equipment, switched Ethernet, ingon man ang "pseudowires" nga gibutang sa usa ka network nga adunay lahi nga arkitektura sa ruta, kasagaran MPLS ), nga adunay o wala ang teknolohiya sa VPN.

Pag-encrypt sa network sa usa ka giapod-apod nga network sa Ethernet

Ang mga himan sa ilang kaugalingon mahimo nga bisan espesyalista (gituyo nga eksklusibo alang sa pag-encrypt), o multifunctional (hybrid, convergent), kana mao, naghimo usab sa ubang mga gimbuhaton (pananglitan, usa ka firewall o router). Ang lainlaing mga tigbaligya nagklasipikar sa ilang mga aparato sa lainlaing mga klase/kategorya, apan dili kini igsapayan - ang hinungdanon nga butang mao kung mahimo ba nila ma-encrypt ang trapiko sa cross-site, ug kung unsang mga kinaiya ang naa kanila.

Sa kaso lang, gipahinumdoman ko ikaw nga ang "network encryption", "traffic encryption", "encryptor" mga dili pormal nga termino, bisan kung kini kanunay nga gigamit. Lagmit dili nimo kini makit-an sa mga regulasyon sa Russia (lakip ang mga nagpaila sa mga GOST).

Mga lebel sa pag-encrypt ug mga mode sa transmission

Sa dili pa kita magsugod sa paghulagway sa mga kinaiya sa ilang kaugalingon nga gamiton alang sa pagtimbang-timbang, kinahanglan una natong masabtan ang usa ka importante nga butang, nga mao ang "ang-ang sa pag-encrypt". Namatikdan nako nga kini kanunay nga gihisgutan sa mga opisyal nga dokumento sa vendor (sa mga paghulagway, mga manwal, ug uban pa) ug sa dili pormal nga mga diskusyon (sa mga negosasyon, mga pagbansay). Sa ato pa, ang tanan ingon og nahibal-an pag-ayo kung unsa ang among gihisgutan, apan ako mismo nakasaksi sa pipila ka kalibog.

Busa unsa ang "ang-ang sa pag-encrypt"? Klaro nga naghisgot kami bahin sa gidaghanon sa OSI/ISO reference network model layer diin mahitabo ang encryption. Atong mabasa ang GOST R ISO 7498-2–99 “Teknolohiya sa impormasyon. Interkoneksyon sa bukas nga mga sistema. Batakang modelo sa pakisayran. Bahin 2. Arkitektura sa seguridad sa impormasyon.” Gikan niini nga dokumento masabtan nga ang lebel sa confidentiality nga serbisyo (usa sa mga mekanismo sa paghatag nga mao ang encryption) mao ang lebel sa protocol, ang service data block ("payload", user data) nga gi-encrypt. Ingon nga kini nahisulat usab sa sumbanan, ang serbisyo mahimong mahatag sa parehas nga lebel, "sa kaugalingon," ug sa tabang sa usa ka ubos nga lebel (mao kini kung giunsa, pananglitan, kini kanunay nga gipatuman sa MACsec) .

Sa praktis, posible ang duha ka paagi sa pagpasa sa naka-encrypt nga impormasyon sa usa ka network (ang IPsec diha-diha dayon naa sa hunahuna, apan ang parehas nga mga paagi makita usab sa ubang mga protocol). SA transportasyon (usahay gitawag usab nga lumad) nga mode gi-encrypt lamang serbisyo block sa datos, ug ang mga header nagpabilin nga "bukas", dili ma-encrypt (usahay dugang nga mga natad nga adunay impormasyon sa serbisyo sa algorithm sa pag-encrypt gidugang, ug ang ubang mga natad giusab ug gikalkula pag-usab). SA tunel same mode tanan protocol ang data block (nga mao, ang packet mismo) gi-encrypt ug gi-encapsulated sa usa ka service data block nga parehas o mas taas nga lebel, nga mao, kini gilibutan sa bag-ong mga header.

Ang lebel sa pag-encrypt mismo sa kombinasyon sa pipila nga transmission mode dili maayo o dili maayo, mao nga dili ikaingon, pananglitan, nga ang L3 sa transport mode mas maayo kaysa L2 sa tunnel mode. Kini ra nga daghan sa mga kinaiya diin ang mga aparato gisusi nagdepende kanila. Pananglitan, pagka-flexible ug pagkaangay. Aron magtrabaho sa usa ka network nga L1 (bit stream relay), L2 (frame switching) ug L3 (packet routing) sa transport mode, kinahanglan nimo ang mga solusyon nga mag-encrypt sa parehas o mas taas nga lebel (kung dili ang impormasyon sa address ma-encrypt ug ang data ma-encrypt. dili makaabot sa gituyo nga destinasyon), ug ang tunnel mode nakabuntog niini nga limitasyon (bisan pagsakripisyo sa ubang importante nga mga kinaiya).

Transport ug tunnel L2 encryption mode

Karon magpadayon kita sa pag-analisar sa mga kinaiya.

Pag-uswag

Alang sa pag-encrypt sa network, ang pasundayag usa ka komplikado, multidimensional nga konsepto. Kini mahitabo nga ang usa ka modelo, samtang labaw sa usa ka performance nga kinaiya, mao ang ubos sa lain. Busa, kanunay nga mapuslanon ang pagkonsiderar sa tanan nga mga sangkap sa paghimo sa pag-encrypt ug ang epekto niini sa pasundayag sa network ug sa mga aplikasyon nga naggamit niini. Dinhi mahimo ka magdrowing og usa ka analohiya sa usa ka sakyanan, diin dili lamang ang labing taas nga tulin ang importante, kondili usab ang pagpadali sa oras sa "gatusan", konsumo sa gasolina, ug uban pa. Ang mga kompanya sa vendor ug ang ilang mga potensyal nga kustomer naghatag ug dakong pagtagad sa mga kinaiya sa pasundayag. Ingon sa usa ka lagda, ang mga aparato sa pag-encrypt giranggo base sa pasundayag sa mga linya sa vendor.

Tin-aw nga ang pasundayag nagdepende sa pagkakomplikado sa networking ug cryptographic nga mga operasyon nga gihimo sa device (lakip na kung unsa ka maayo kini nga mga buluhaton mahimong parallelized ug pipelined), ingon man sa performance sa hardware ug sa kalidad sa firmware. Busa, ang mas karaan nga mga modelo naggamit sa mas produktibo nga hardware; usahay posible nga masangkapan kini sa dugang nga mga processor ug memory modules. Adunay ubay-ubay nga mga pamaagi sa pagpatuman sa cryptographic functions: sa usa ka general-purpose central processing unit (CPU), application-specific integrated circuit (ASIC), o field-programmable logic integrated circuit (FPGA). Ang matag pamaagi adunay mga bentaha ug disbentaha. Pananglitan, ang CPU mahimong usa ka bottleneck sa pag-encrypt, labi na kung ang processor walay espesyal nga mga panudlo aron suportahan ang algorithm sa pag-encrypt (o kung wala kini gigamit). Ang mga espesyal nga chips kulang sa pagka-flexible; dili kanunay posible nga "i-reflash" kini aron mapauswag ang pasundayag, makadugang bag-ong mga gimbuhaton, o mawagtang ang mga kahuyangan. Dugang pa, ang ilang paggamit mahimong mapuslanon lamang sa daghang mga volume sa produksiyon. Mao nga ang "bulawan nga kahulogan" nahimong popular kaayo - ang paggamit sa FPGA (FPGA sa Russian). Anaa sa mga FPGA nga gihimo ang gitawag nga mga crypto accelerators - built-in o plug-in nga espesyal nga mga module sa hardware alang sa pagsuporta sa mga operasyon sa cryptographic.

Since nagstorya mi network encryption, makatarunganon nga ang paghimo sa mga solusyon kinahanglan nga sukdon sa parehas nga gidaghanon sama sa ubang mga aparato sa network - throughput, porsyento sa pagkawala sa frame ug latency. Kini nga mga kantidad gihubit sa RFC 1242. Sa ingon, wala’y nahisulat bahin sa kanunay nga gihisgutan nga pagbag-o sa paglangan (jitter) sa kini nga RFC. Unsaon pagsukod niini nga mga gidaghanon? Wala koy nakit-an nga pamaagi nga gi-aprobahan sa bisan unsang mga sumbanan (opisyal o dili opisyal sama sa RFC) ilabi na alang sa pag-encrypt sa network. Makataronganon nga gamiton ang metodolohiya alang sa mga himan sa network nga gilakip sa sumbanan sa RFC 2544. Daghang mga tigbaligya ang nagsunod niini - daghan, apan dili tanan. Pananglitan, nagpadala sila og pagsulay sa trapiko sa usa lamang ka direksyon imbes sa duha, sama girekomendar sumbanan. Bisan pa man.

Ang pagsukod sa performance sa network encryption device aduna pa'y kaugalingong mga kinaiya. Una, husto ang paghimo sa tanan nga mga pagsukod alang sa usa ka pares sa mga aparato: bisan kung ang mga algorithm sa pag-encrypt simetriko, ang mga paglangan ug pagkawala sa pakete sa panahon sa pag-encrypt ug pag-decryption dili kinahanglan nga managsama. Ikaduha, makatarunganon nga sukdon ang delta, ang epekto sa pag-encrypt sa network sa katapusan nga pasundayag sa network, pagtandi sa duha nga mga pag-configure: nga wala’y mga aparato sa pag-encrypt ug kauban nila. O, sama sa kaso sa mga hybrid nga aparato, nga naghiusa sa daghang mga gimbuhaton dugang sa pag-encrypt sa network, nga ang pag-encrypt gipalong ug gipadayon. Kini nga impluwensya mahimong lahi ug nagdepende sa laraw sa koneksyon sa mga aparato sa pag-encrypt, sa mga mode sa pag-operate, ug sa katapusan, sa kinaiyahan sa trapiko. Sa partikular, daghang mga parameter sa pasundayag ang nagdepende sa gitas-on sa mga pakete, mao nga, aron itandi ang paghimo sa lainlaing mga solusyon, ang mga graph sa kini nga mga parameter depende sa gitas-on sa mga pakete kanunay nga gigamit, o gigamit ang IMIX - ang pag-apod-apod sa trapiko pinaagi sa pakete gitas-on, nga gibana-bana nga nagpakita sa tinuod. Kung atong itandi ang parehas nga sukaranan nga pag-configure nga wala’y pag-encrypt, mahimo naton itandi ang mga solusyon sa pag-encrypt sa network nga gipatuman sa lahi nga paagi nga wala makuha kini nga mga kalainan: L2 nga adunay L3, store-and-forward ) nga adunay cut-through, espesyalista sa convergent, GOST sa AES ug uban pa.

Diagram sa koneksyon alang sa pagsulay sa pasundayag

Ang una nga kinaiya nga gihatagan og pagtagad sa mga tawo mao ang "speed" sa encryption device, kana bandwidth (bandwidth) sa mga interface sa network niini, bit flow rate. Gitino kini sa mga sumbanan sa network nga gisuportahan sa mga interface. Alang sa Ethernet, ang kasagaran nga mga numero mao ang 1 Gbps ug 10 Gbps. Apan, ingon sa atong nahibaloan, sa bisan unsa nga network ang maximum theoretical pag-agi (throughput) sa matag lebel niini kanunay adunay gamay nga bandwidth: ang bahin sa bandwidth "gikaon" sa mga interframe interval, mga header sa serbisyo, ug uban pa. Kung ang usa ka aparato makahimo sa pagdawat, pagproseso (sa among kaso, pag-encrypt o pag-decrypting) ug pagpadala sa trapiko sa tibuuk nga tulin sa interface sa network, nga mao, nga adunay labing kadaghan nga teoretikal nga pag-agi alang sa kini nga lebel sa modelo sa network, nan giingon nga nga magtrabaho sa tulin sa linya. Aron mahimo kini, kinahanglan nga ang aparato dili mawad-an o isalikway ang mga pakete sa bisan unsang gidak-on ug sa bisan unsang frequency. Kung ang aparato sa pag-encrypt wala mosuporta sa operasyon sa katulin sa linya, nan ang labing kadaghan nga throughput niini sagad nga gipiho sa parehas nga gigabits matag segundo (usahay nagpakita sa gitas-on sa mga pakete - mas mubo ang mga pakete, mas ubos ang throughput sa kasagaran). Importante kaayo nga masabtan nga ang maximum throughput mao ang maximum walay kapildihan (bisan kung ang aparato mahimo nga "magbomba" sa trapiko pinaagi sa iyang kaugalingon sa usa ka mas taas nga tulin, apan sa samang higayon mawala ang pipila ka mga pakete). Usab, hibal-i nga ang pipila ka mga tigbaligya nagsukod sa kinatibuk-ang throughput tali sa tanan nga mga parisan sa mga pantalan, busa kini nga mga numero dili kaayo hinungdanon kung ang tanan nga naka-encrypt nga trapiko moagi sa usa ka pantalan.

Asa kini ilabi na nga importante sa pag-operate sa linya speed (o, sa lain nga mga pulong, nga walay packet pagkawala)? Sa high-bandwidth, high-latency links (sama sa satellite), diin ang usa ka dako nga TCP window size kinahanglang itakda aron mamentinar ang taas nga transmission speed, ug diin ang packet loss makapakunhod pag-ayo sa network performance.

Apan dili tanan nga bandwidth gigamit sa pagbalhin sa mapuslanon nga datos. Kita adunay sa pag-ihap uban sa gitawag nga gasto sa overhead (overhead) nga bandwidth. Kini ang bahin sa throughput sa encryption device (isip porsyento o bytes kada pakete) nga aktuwal nga nausik (dili magamit sa pagbalhin sa datos sa aplikasyon). Ang mga gasto sa overhead mitungha, una, tungod sa pagtaas sa gidak-on (dugang, "pagpuno") sa natad sa datos sa mga naka-encrypt nga packet sa network (depende sa algorithm sa pag-encrypt ug mode sa operasyon niini). Ikaduha, tungod sa pagtaas sa gitas-on sa mga packet header (tunnel mode, service insertion sa encryption protocol, simulation insertion, ug uban pa depende sa protocol ug mode of operation sa cipher ug transmission mode) - kasagaran kini nga mga gasto sa overhead mao ang labing mahinungdanon, ug sila nag-una sa pagtagad. Ikatulo, tungod sa pagkabahinbahin sa mga pakete sa dihang ang maximum data unit size (MTU) milapas (kon ang network makahimo sa pagbahin sa usa ka pakete nga molapas sa MTU ngadto sa duha, pagdoble sa mga header niini). Ikaupat, tungod sa dagway sa dugang nga serbisyo (kontrol) nga trapiko sa network tali sa mga aparato sa pag-encrypt (alang sa yawe nga pagbinayloay, pag-instalar sa tunnel, ug uban pa). Ang ubos nga overhead importante kung ang kapasidad sa channel limitado. Kini ilabi na nga makita sa trapiko gikan sa gagmay nga mga pakete, pananglitan, tingog - diin ang mga gasto sa overhead mahimong "makakaon" labaw sa katunga sa katulin sa channel!

Bandwidth

Sa kataposan, aduna pa gipaila nga paglangan – ang kalainan (sa mga tipik sa usa ka segundo) sa paglangan sa network (ang panahon nga gikinahanglan sa pag-agi sa datos gikan sa pagsulod sa network ngadto sa pagbiya niini) tali sa pagpasa sa data nga wala ug sa network encryption. Sa kinatibuk-an nga pagsulti, mas ubos ang latency ("latency") sa network, mas kritikal ang latency nga gipaila sa mga encryption device. Ang paglangan gipaila sa operasyon sa pag-encrypt mismo (depende sa algorithm sa pag-encrypt, gitas-on sa block ug mode sa operasyon sa cipher, ingon man sa kalidad sa pagpatuman niini sa software), ug ang pagproseso sa pakete sa network sa aparato. . Ang latency nga gipaila nagdepende sa packet processing mode (pass-through o store-and-forward) ug ang performance sa plataporma (hardware nga pagpatuman sa usa ka FPGA o ASIC sa kasagaran mas paspas kay sa software nga pagpatuman sa usa ka CPU). Ang L2 encryption hapit kanunay adunay mas ubos nga latency kaysa sa L3 o L4 nga encryption, tungod sa kamatuoran nga ang L3/L4 encryption nga mga himan kanunay nga naghiusa. Pananglitan, sa mga high-speed nga Ethernet encryptors nga gipatuman sa FPGAs ug pag-encrypt sa L2, ang paglangan tungod sa encryption nga operasyon gamay ra - usahay kung ang pag-encrypt gipagana sa usa ka pares sa mga aparato, ang kinatibuk-ang paglangan nga gipaila nila bisan ang pagkunhod! Ang ubos nga latency importante kung asa kini ikatandi sa kinatibuk-ang paglangan sa channel, lakip na ang propagation delay, nga gibana-bana nga 5 μs kada kilometro. Sa ato pa, makaingon kita nga alang sa mga network nga urban-scale (napulo ka kilometro ang gilapdon), ang mga microsecond mahimong makahukom og daghan. Pananglitan, alang sa synchronous database replication, high-frequency trading, sa mao gihapon nga blockchain.

Gipaila nga paglangan

Scalability

Ang dagkong gipang-apod-apod nga mga network mahimong maglakip sa daghang liboan nga mga node ug network device, gatusan ka mga bahin sa lokal nga network. Importante nga ang mga solusyon sa pag-encrypt dili magpahamtang og dugang nga mga pagdili sa gidak-on ug topology sa gipang-apod-apod nga network. Kini magamit ilabina sa kinatas-ang gidaghanon sa mga adres sa host ug network. Ang ingon nga mga limitasyon mahimong masugatan, pananglitan, kung mag-implementar sa usa ka multipoint nga naka-encrypt nga topology sa network (nga adunay independente nga luwas nga koneksyon, o mga tunnel) o pinili nga pag-encrypt (pananglitan, pinaagi sa numero sa protocol o VLAN). Kung sa niini nga kaso ang mga adres sa network (MAC, IP, VLAN ID) gigamit isip mga yawe sa usa ka lamesa diin limitado ang gidaghanon sa mga laray, nan kini nga mga pagdili makita dinhi.

Dugang pa, ang mga dagkong network kanunay adunay daghang mga structural layer, lakip ang core network, nga ang matag usa nagpatuman sa kaugalingon nga pamaagi sa pagsulbad ug kaugalingon nga polisiya sa ruta. Aron ipatuman kini nga pamaagi, ang mga espesyal nga format sa frame (sama sa Q-in-Q o MAC-in-MAC) ug mga protocol sa pagdeterminar sa ruta sagad gigamit. Aron dili makabalda sa pagtukod sa ingon nga mga network, ang mga aparato sa pag-encrypt kinahanglan nga husto nga pagdumala sa ingon nga mga bayanan (nga mao, sa kini nga diwa, ang scalability nagpasabut nga pagkaangay - labi pa sa ubos).

Flexibility

Dinhi naghisgot kami bahin sa pagsuporta sa lainlaing mga pag-configure, mga laraw sa koneksyon, topologies ug uban pang mga butang. Pananglitan, alang sa gibalhin nga mga network nga gibase sa mga teknolohiya sa Carrier Ethernet, kini nagpasabut nga suporta alang sa lainlaing mga lahi sa virtual nga koneksyon (E-Line, E-LAN, E-Tree), lainlaing mga lahi sa serbisyo (pareho sa pantalan ug VLAN) ug lainlaing mga teknolohiya sa transportasyon (nalista na sila sa ibabaw). Sa ato pa, ang device kinahanglang maka-operate sa duha ka linear (“point-to-point”) ug multipoint modes, mag-establisar og separadong tunnels para sa lain-laing VLANs, ug motugot sa out-of-order delivery sa mga packet sulod sa secure channel. Ang abilidad sa pagpili sa lain-laing mga cipher modes (lakip na sa o walay sulod authentication) ug lain-laing packet transmission modes nagtugot kaninyo sa paghimo sa usa ka balanse tali sa kusog ug performance depende sa kasamtangan nga mga kahimtang.

Importante usab ang pagsuporta sa duha ka pribadong network, ang mga ekipo nga gipanag-iya sa usa ka organisasyon (o giabangan niini), ug mga network sa operator, lain-laing mga bahin nga gidumala sa lainlaing mga kompanya. Maayo kung ang solusyon nagtugot sa pagdumala sa sulod ug sa ikatulo nga partido (gamit ang usa ka modelo sa pagdumala sa serbisyo). Sa mga network sa operator, laing importante nga gimbuhaton mao ang suporta alang sa multi-tenancy (pagpaambit sa lain-laing mga kustomer) sa porma sa cryptographic nga pag-inusara sa indibidwal nga mga kustomer (mga subscriber) kansang trapiko moagi sa samang hugpong sa mga encryption device. Kini kasagarang nagkinahanglan sa paggamit sa lain-laing set sa mga yawe ug mga sertipiko alang sa matag kustomer.

Kung gipalit ang usa ka aparato alang sa usa ka piho nga senaryo, nan ang tanan nga kini nga mga bahin mahimo’g dili kaayo hinungdanon - kinahanglan nimo nga sigurohon nga gisuportahan sa aparato ang imong kinahanglan karon. Apan kung ang usa ka solusyon gipalit "para sa pagtubo", aron suportahan usab ang umaabot nga mga senaryo, ug gipili ingon usa ka "standard sa korporasyon", nan ang pagka-flexible dili mahimong sobra - labi na nga gikonsiderar ang mga pagdili sa interoperability sa mga aparato gikan sa lainlaing mga tigbaligya ( dugang niini sa ubos).

Kasayon ​​ug kasayon

Ang kadali sa serbisyo usa usab ka konsepto nga multifactorial. Gibanabana, makaingon kita nga kini ang kinatibuk-ang oras nga gigugol sa mga espesyalista sa usa ka piho nga kwalipikasyon nga gikinahanglan aron suportahan ang usa ka solusyon sa lainlaing mga yugto sa siklo sa kinabuhi niini. Kung walay gasto, ug ang pag-instalar, pag-configure, ug operasyon hingpit nga awtomatiko, nan ang mga gasto zero ug ang kasayon ​​​​hingpit. Siyempre, dili kini mahitabo sa tinuod nga kalibutan. Ang usa ka makatarunganon nga pagbanabana usa ka modelo "higot sa usa ka wire" (bump-in-the-wire), o transparent nga koneksyon, diin ang pagdugang ug pag-disable sa mga encryption device wala magkinahanglan og bisan unsang manwal o awtomatik nga mga kausaban sa network configuration. Sa parehas nga oras, ang pagpadayon sa solusyon gipasimple: mahimo nimong luwas nga i-on ug i-off ang function sa pag-encrypt, ug kung kinahanglan, "laktawan" lang ang aparato gamit ang usa ka kable sa network (nga mao, direkta nga ikonekta ang mga pantalan sa kagamitan sa network diin konektado kini). Tinuod, adunay usa ka disbentaha - mahimo usab kini sa usa ka tig-atake. Aron ipatuman ang prinsipyo nga "node sa usa ka wire", kinahanglan nga tagdon dili lamang ang trapiko layer sa datosapan control ug management layers - Ang mga aparato kinahanglan nga transparent sa kanila. Busa, ang ingon nga trapiko mahimong ma-encrypt lamang kung wala’y mga nakadawat sa kini nga mga matang sa trapiko sa network taliwala sa mga aparato sa pag-encrypt, tungod kay kung kini gilabay o gi-encrypt, kung mahimo nimo o gi-disable ang pag-encrypt, mahimo’g mabag-o ang pag-configure sa network. Ang encryption device mahimo usab nga transparent sa pisikal nga layer signaling. Sa partikular, kung nawala ang usa ka signal, kinahanglan nga ipadala kini nga pagkawala (nga mao, i-off ang mga transmiter) pabalik-balik ("para sa iyang kaugalingon") sa direksyon sa signal.

Ang suporta sa pagbahin sa awtoridad tali sa seguridad sa kasayuran ug mga departamento sa IT, labi na ang departamento sa network, hinungdanon usab. Kinahanglang suportahan sa solusyon sa pag-encrypt ang modelo sa pagkontrol ug pag-audit sa organisasyon. Ang panginahanglan alang sa interaksyon tali sa lainlaing mga departamento aron mahimo ang naandan nga mga operasyon kinahanglan nga maminusan. Busa, adunay usa ka bentaha sa mga termino sa kasayon ​​​​alang sa mga espesyal nga aparato nga eksklusibo nga nagsuporta sa mga function sa pag-encrypt ug ingon ka transparent kutob sa mahimo sa mga operasyon sa network. Sa yanong pagkasulti, ang mga empleyado sa seguridad sa impormasyon kinahanglan nga walay rason sa pagkontak sa "mga espesyalista sa network" aron mausab ang mga setting sa network. Ug kadtong, sa baylo, dili kinahanglan nga magbag-o sa mga setting sa pag-encrypt kung gipadayon ang network.

Ang laing hinungdan mao ang mga kapabilidad ug kasayon ​​sa mga kontrol. Kinahanglan nga kini makita, lohikal, maghatag import-export sa mga setting, automation, ug uban pa. Kinahanglan nimo nga hatagan dayon ug pagtagad kung unsang mga kapilian sa pagdumala ang magamit (kasagaran ang ilang kaugalingon nga palibot sa pagdumala, interface sa web ug linya sa mando) ug kung unsang hugpong sa mga gimbuhaton ang naa sa matag usa kanila (adunay mga limitasyon). Usa ka importante nga function mao ang suporta out-of-band (out-of-band) nga kontrol, nga mao, pinaagi sa usa ka dedikado nga kontrol nga network, ug sa-banda (in-band) nga pagkontrol, nga mao, pinaagi sa usa ka komon nga network diin ang mapuslanon nga trapiko gipasa. Ang mga galamiton sa pagdumala kinahanglang magsenyas sa tanang abnormal nga mga sitwasyon, lakip ang mga insidente sa seguridad sa impormasyon. Ang naandan, nagbalikbalik nga mga operasyon kinahanglan nga awtomatiko nga himuon. Kini nag-una nga may kalabutan sa yawe nga pagdumala. Kinahanglan sila nga mamugna / ipanghatag awtomatiko. Ang suporta sa PKI usa ka dako nga dugang.

pagkaangay

Kana mao, ang pagkaangay sa aparato sa mga sumbanan sa network. Dugang pa, kini nagpasabut nga dili lamang mga sumbanan sa industriya nga gisagop sa mga awtoritatibo nga organisasyon sama sa IEEE, apan usab mga proprietary protocol sa mga lider sa industriya, sama sa Cisco. Adunay duha ka nag-unang mga paagi aron masiguro ang pagkaangay: bisan pinaagi sa transparency, o pinaagi sa klaro nga suporta mga protocol (kung ang usa ka aparato sa pag-encrypt mahimong usa sa mga node sa network alang sa usa ka piho nga protocol ug giproseso ang kontrol sa trapiko sa kini nga protocol). Ang pagkaangay sa mga network nagdepende sa pagkakompleto ug pagkahusto sa pagpatuman sa mga protocol sa pagkontrol. Importante nga suportahan ang lain-laing mga opsyon para sa lebel sa PHY (speed, transmission medium, encoding scheme), Ethernet frames sa lain-laing format sa bisan unsa nga MTU, lain-laing L3 service protocols (panguna ang TCP/IP nga pamilya).

Gisiguro ang transparency pinaagi sa mga mekanismo sa mutation (temporaryo nga pagbag-o sa mga sulud sa bukas nga mga header sa trapiko tali sa mga encryptors), paglaktaw (kung ang indibidwal nga mga pakete nagpabilin nga wala ma-encrypt) ug indentasyon sa pagsugod sa pag-encrypt (kung ang kasagarang na-encrypt nga mga natad sa mga pakete wala ma-encrypt).

Giunsa pagsiguro ang transparency

Busa, susiha kanunay kung giunsa gihatag ang suporta alang sa usa ka partikular nga protocol. Kasagaran ang suporta sa transparent mode mas kombenyente ug kasaligan.

Interoperability

Kini usab pagkaangay, apan sa lahi nga diwa, nga mao ang abilidad sa pagtrabaho kauban ang ubang mga modelo sa mga aparato sa pag-encrypt, lakip ang gikan sa ubang mga tiggama. Daghan ang nagdepende sa kahimtang sa standardisasyon sa mga protocol sa pag-encrypt. Walay kasagarang gidawat nga encryption standards sa L1.

Adunay 2ae (MACsec) nga sumbanan alang sa L802.1 nga pag-encrypt sa mga network sa Ethernet, apan wala kini gigamit. pagputol sa krus (katapusan-sa-katapusan), ug interport, "hop-by-hop" encryption, ug sa orihinal nga bersyon niini dili angay alang sa paggamit sa gipang-apod-apod nga mga network, mao nga ang proprietary extension niini nagpakita nga nakabuntog niini nga limitasyon (siyempre, tungod sa interoperability sa mga ekipo gikan sa ubang mga tiggama). Tinuod, sa 2018, ang suporta alang sa gipang-apod-apod nga mga network gidugang sa 802.1ae standard, apan wala pa'y suporta alang sa GOST encryption algorithm sets. Busa, ang proprietary, non-standard L2 encryption protocols, ingon nga usa ka lagda, gipalahi sa mas dako nga efficiency (sa partikular, ubos nga bandwidth overhead) ug flexibility (ang abilidad sa pag-usab sa encryption algorithms ug mga mode).

Sa mas taas nga lebel (L3 ug L4) adunay giila nga mga sumbanan, panguna nga IPsec ug TLS, apan dinhi usab kini dili kaayo yano. Ang tinuod mao nga ang matag usa niini nga mga sumbanan usa ka hugpong sa mga protocol, ang matag usa adunay lainlaing mga bersyon ug mga extension nga gikinahanglan o opsyonal alang sa pagpatuman. Dugang pa, ang ubang mga tiggama mas gusto nga gamiton ang ilang proprietary encryption protocol sa L3/L4. Busa, sa kadaghanan nga mga kaso kinahanglan nga dili ka magsalig sa kompleto nga interoperability, apan hinungdanon nga labing menos ang interaksyon tali sa lainlaing mga modelo ug lainlaing mga henerasyon sa parehas nga tiggama masiguro.

Kasaligan

Aron itandi ang lainlaing mga solusyon, mahimo nimong gamiton ang bisan unsang oras sa taliwala sa mga kapakyasan o hinungdan sa pagkaanaa. Kung kini nga mga numero wala magamit (o wala’y pagsalig sa kanila), mahimo’g mahimo ang usa ka kwalitatibo nga pagtandi. Ang mga aparato nga adunay dali nga pagdumala adunay usa ka bentaha (dili kaayo peligro sa mga sayup sa pag-configure), mga espesyalista nga mga encryptor (sa parehas nga hinungdan), ingon man mga solusyon nga adunay gamay nga oras sa pag-ila ug pagwagtang sa usa ka kapakyasan, lakip ang mga paagi sa "init" nga pag-backup sa tibuuk nga mga node ug mga himan.

gasto sa

Kung bahin sa gasto, sama sa kadaghanan sa mga solusyon sa IT, makatarunganon nga itandi ang kinatibuk-ang gasto sa pagpanag-iya. Aron makalkulo kini, dili nimo kinahanglan nga bag-ohon ang ligid, apan gamita ang bisan unsang angay nga pamaagi (pananglitan, gikan sa Gartner) ug bisan unsang calculator (pananglitan, ang usa nga gigamit na sa organisasyon aron makalkulo ang TCO). Kini mao ang tin-aw nga alang sa usa ka network encryption solusyon, ang kinatibuk-ang gasto sa pagpanag-iya naglangkob sa direkta gasto sa pagpalit o pag-abang sa solusyon mismo, imprastraktura alang sa pag-host sa mga kagamitan ug gasto sa pag-deploy, pagdumala ug pagmentinar (bisan sa balay o sa porma sa mga serbisyo sa ikatulo nga partido), ingon man dili direkta gasto gikan sa downtime sa solusyon (tungod sa pagkawala sa produktibidad sa end-user). Tingali adunay usa lamang ka kabatid. Ang epekto sa pasundayag sa solusyon mahimong makonsiderar sa lainlaing mga paagi: bisan ingon dili direkta nga mga gasto tungod sa nawala nga produktibo, o ingon "virtual" direkta nga gasto sa pagpalit / pag-upgrade ug pagmentinar sa mga himan sa network nga nagbayad sa pagkawala sa pasundayag sa network tungod sa paggamit sa pag-encrypt. Sa bisan unsa nga kaso, ang mga gasto nga lisud kuwentahon nga adunay igo nga katukma labing maayo nga wala sa kalkulasyon: niining paagiha adunay dugang nga pagsalig sa katapusan nga kantidad. Ug, sama sa naandan, sa bisan unsang kaso, makatarunganon nga itandi ang lainlaing mga aparato sa TCO alang sa usa ka piho nga senaryo sa ilang paggamit - tinuod o kasagaran.

Kalig-on

Ug ang katapusan nga kinaiya mao ang pagpadayon sa solusyon. Sa kadaghanan nga mga kaso, ang kalig-on mahimo lamang masusi sa kwalitatibo pinaagi sa pagtandi sa lainlaing mga solusyon. Kinahanglan natong hinumdoman nga ang mga himan sa pag-encrypt dili lamang usa ka paagi, kondili usa usab ka butang sa panalipod. Mahimong maladlad sila sa lainlaing mga hulga. Sa atubangan mao ang mga hulga sa paglapas sa confidentiality, reproduction ug pagbag-o sa mga mensahe. Kini nga mga hulga mahimong matuman pinaagi sa mga kahuyangan sa cipher o sa mga indibidwal nga mga paagi niini, pinaagi sa mga kahuyang sa mga protocol sa pag-encrypt (lakip ang mga yugto sa pag-establisar og koneksyon ug pagmugna/pag-apod-apod sa mga yawe). Ang bentaha alang sa mga solusyon nga nagtugot sa pagbag-o sa algorithm sa pag-encrypt o pagbalhin sa cipher mode (labing menos pinaagi sa usa ka update sa firmware), mga solusyon nga naghatag labing kompleto nga pag-encrypt, nagtago gikan sa tig-atake dili lamang sa data sa gumagamit, apan usab sa address ug uban pang impormasyon sa serbisyo. , ingon man mga teknikal nga solusyon nga dili lamang pag-encrypt, apan pagpanalipod usab sa mga mensahe gikan sa pagkopya ug pagbag-o. Alang sa tanang modernong encryption algorithms, electronic signatures, key generation, ug uban pa, nga gi-enshrined sa standards, ang kalig-on mahimong isipon nga parehas (kon dili mahimo ka nga mawala sa wilds of cryptography). Kinahanglan ba kini nga mga algorithm sa GOST? Ang tanan yano ra dinhi: kung ang senaryo sa aplikasyon nanginahanglan sertipikasyon sa FSB alang sa CIPF (ug sa Russia kini ang kasagaran nga kaso; alang sa kadaghanan nga mga senaryo sa pag-encrypt sa network kini tinuod), nan nagpili lang kami tali sa mga sertipikado. Kung dili, nan wala’y hinungdan nga dili iapil ang mga aparato nga wala’y mga sertipiko gikan sa konsiderasyon.

Ang laing hulga mao ang hulga sa pag-hack, dili awtorisado nga pag-access sa mga himan (lakip ang pinaagi sa pisikal nga pag-access sa gawas ug sa sulod sa kaso). Ang hulga mahimong ipatuman pinaagi sa
mga kahuyangan sa pagpatuman - sa hardware ug code. Busa, ang mga solusyon nga adunay gamay nga "attack surface" pinaagi sa network, nga adunay mga enclosure nga gipanalipdan gikan sa pisikal nga pag-access (nga adunay mga intrusion sensor, proteksyon sa pagsusi ug awtomatik nga pag-reset sa yawe nga impormasyon sa dihang giablihan ang enclosure), ingon man kadtong nagtugot sa mga update sa firmware adunay usa ka bentaha sa higayon nga mahibal-an ang usa ka kahuyang sa code. Adunay lain nga paagi: kung ang tanan nga mga aparato nga gitandi adunay mga sertipiko sa FSB, nan ang klase sa CIPF diin gi-isyu ang sertipiko mahimong makonsiderar nga timailhan sa pagsukol sa pag-hack.

Sa kataposan, ang laing matang sa hulga mao ang mga kasaypanan atol sa pag-setup ug operasyon, ang hinungdan sa tawo sa pinakalunsay nga porma niini. Nagpakita kini og laing bentaha sa mga espesyal nga encryptors kay sa mga converged nga mga solusyon, nga kasagaran gitumong sa mga batid nga "mga espesyalista sa network" ug mahimong hinungdan sa mga kalisdanan alang sa "ordinaryo", kinatibuk-ang mga espesyalista sa seguridad sa impormasyon.

Sa pagtin-aw

Sa prinsipyo, dinhi posible nga isugyot ang usa ka matang sa integral nga timailhan alang sa pagtandi sa lainlaing mga himan, sama sa

$$display$$K_j=∑p_i r_{ij}$$display$$

diin ang p mao ang gibug-aton sa timailhan, ug ang r mao ang ranggo sa aparato sumala sa kini nga timailhan, ug ang bisan unsang mga kinaiya nga gilista sa ibabaw mahimong bahinon sa "atomic" nga mga indikasyon. Ang ingon nga pormula mahimo’g mapuslanon, pananglitan, kung itandi ang mga sugyot nga malumo sumala sa gikasabutan nga mga lagda. Apan mahimo ka nga mabuhi sa usa ka yano nga lamesa sama sa

Характеристика
Device 1
Device 2
...
Device N

Bandwidth
+
+

+++

Mga overhead
+
++

+++

Paglangay
+
+

++

Scalability
+++
+

+++

Flexibility
+++
++

+

Interoperability
++
+

+

pagkaangay
++
++

+++

Kasayon ​​ug kasayon
+
+

++

pagtugot sa sayop
+++
+++

++

gasto sa
++
+++

+

Kalig-on
++
++

+++

Malipay ko nga motubag sa mga pangutana ug makatabang nga pagsaway.

Source: www.habr.com