ProHoster > Blog > Amministrazione > Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet

Aghju scrittu sta rivista (o, se preferite, una guida di paraguni) quandu era statu incaricatu di paragunà parechji dispusitivi da diversi venditori. Inoltre, sti dispusitivi appartenenu à diverse classi. Aviu avutu à capisce l'architettura è e caratteristiche di tutti sti dispusitivi è creà un "sistema di coordenada" per paragunà. Seraghju felice se a mo recensione aiuta à qualchissia:

  • Capisce e descrizzioni è e specificazioni di i dispositi di criptografia
  • Distinguite e caratteristiche "paper" da quelli chì sò veramente impurtanti in a vita reale
  • Andate oltre u solitu inseme di venditori è includenu in cunsiderazione qualsiasi prudutti chì sò adattati per risolve u prublema
  • Fate e dumande ghjuste durante e negoziazioni
  • Elaborazione di esigenze di offerta (RFP)
  • Capisce ciò chì e caratteristiche anu da esse sacrificatu se un certu mudellu di u dispusitivu hè sceltu

Chì pò esse valutatu

In principiu, l'approcciu hè applicabile à qualsiasi dispositi standalone adattati per criptà u trafficu di a rete trà i segmenti Ethernet remoti (cifrazione cross-site). Vale à dì, "scatole" in un casu separatu (bene, includeremu ancu lame / moduli per u chassis quì), chì sò cunnessi via unu o più porti Ethernet à una rete Ethernet locale (campus) cù trafficu micca criptatu, è attraversu. un altru portu (s) à u canali / rete attraversu quale u trafficu digià criptatu hè trasmessu à altri segmenti remoti. Una tale soluzione di criptografia pò esse implementata in una reta privata o di l'operatore attraversu diversi tipi di "trasportu" (fibra scura, equipamentu di divisione di frequenza, Ethernet cambiatu, è ancu "pseudowires" disposti per una reta cù una architettura di routing differente, a maiò spessu MPLS. ), cù o senza tecnulugia VPN.

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
Criptazione di a rete in una rete Ethernet distribuita

I dispusitivi stessi ponu esse sia specializatu (destinatu esclusivamente à a criptografia), o multifunzionale (ibridu, cunvergente), vale à dì ancu eseguisce altre funzioni (per esempiu, un firewall o router). Diversi venditori classificanu i so dispusitivi in ​​diverse classi / categurie, ma questu ùn importa micca - l'unicu impurtante hè s'ellu ponu criptà u trafficu cross-site, è chì caratteristiche anu.

In casu, vi ricordu chì "cifratura di a rete", "cifratura di trafficu", "cifratura" sò termini informali, ancu s'ellu sò spessu usati. Probabilmente ùn li truverete micca in i rigulamenti russi (inclusi quelli chì introducenu GOST).

Livelli di criptografia è modi di trasmissione

Prima di principià à descriverà e caratteristiche stesse chì saranu aduprate per a valutazione, prima avemu da capisce una cosa impurtante, à dì u "livellu di criptografia". Aghju nutatu chì hè spessu citatu in i ducumenti ufficiali di u venditore (in descrizioni, manuali, etc.) è in discussioni informali (in negoziazioni, furmazione). Vale à dì chì tutti parenu sapè assai bè di ciò chì parlemu, ma personalmente aghju vistu una certa cunfusione.

Allora chì hè un "livellu di criptografia"? Hè chjaru chì parlemu di u numeru di a strata di mudellu di rete di riferimentu OSI / ISO in quale si trova a criptografia. Avemu lettu GOST R ISO 7498-2-99 "Tecnulugia di l'infurmazione. Interconnessione di sistemi aperti. Modellu di riferimentu di basa. Parte 2. Architettura di sicurità di l'infurmazioni. Da stu documentu pò esse capitu chì u livellu di serviziu di cunfidenziale (unu di i meccanismi per furnisce chì hè criptu) hè u livellu di u protocolu, u bloccu di dati di serviziu ("payload", dati d'utilizatori) di quale hè criptatu. Cumu hè ancu scrittu in u standard, u serviziu pò esse furnitu sia à u stessu livellu, "in u so propiu", è cù l'aiutu di un livellu più bassu (questu hè cumu, per esempiu, hè più spessu implementatu in MACsec) .

In pratica, dui modi di trasmette l'infurmazioni criptate nantu à una reta sò pussibuli (IPsec vene subitu in mente, ma i stessi modi si trovanu ancu in altri protokolli). IN trasportu (a volte ancu chjamatu nativu) u modu hè criptatu solu serviziu bloccu di dati, è l'intestazione restanu "aperti", micca criptati (a volte i campi supplementari cù l'infurmazioni di serviziu di l'algoritmu di criptografia sò aghjuntu, è altri campi sò mudificati è ricalculati). IN tunnel tuttu u listessu modu protocolu u bloccu di dati (vale à dì, u pacchettu stessu) hè criptatu è incapsulatu in un bloccu di dati di serviziu di u listessu livellu o più altu, vale à dì, hè circundatu di novi headers.

U nivellu di criptografia stessu in cumminazione cù qualchì modu di trasmissione ùn hè nè bè nè male, per quessa ùn si pò micca dì, per esempiu, chì L3 in modu di trasportu hè megliu cà L2 in modu di tunnel. Hè solu chì assai di e caratteristiche da quale i dispositi sò evaluati dipendenu da elli. Per esempiu, flessibilità è cumpatibilità. Per travaglià in una rete L1 (bit stream relay), L2 (frame switching) è L3 (packet routing) in modu di trasportu, avete bisognu di suluzioni chì criptanu à u listessu livellu o più altu (altrimenti l'infurmazione di l'indirizzu serà criptata è i dati seranu criptati). ùn ghjunghje micca à a so destinazione prevista), è u modu di tunnel supera sta limitazione (ancu sacrificendu altre caratteristiche impurtanti).

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
Modi di criptografia di trasportu è tunnel L2

Avà andemu à analizà e caratteristiche.

Produttività

Per a criptografia di a rete, u rendiment hè un cuncettu cumplessu è multidimensionale. Succede chì un certu mudellu, mentri superiore in una caratteristica di rendiment, hè inferjuri in un altru. Per quessa, hè sempre utile per cunsiderà tutti i cumpunenti di u rendiment di criptografia è u so impattu nantu à u rendiment di a rete è l'applicazioni chì l'utilizanu. Quì pudemu disegnà una analogia cù una vittura, per quale ùn hè micca solu a velocità massima hè impurtante, ma ancu u tempu d'accelerazione à "centnaia", u cunsumu di carburante, etc. L'imprese di venditori è i so clienti potenziali prestanu una grande attenzione à e caratteristiche di rendiment. In regula, i dispositi di criptografia sò classificati in basa di u rendiment in e linee di venditore.

Hè chjaru chì u rendiment dipende sia da a cumplessità di l'operazioni di rete è criptografiche realizate nantu à u dispositivu (cumpresu quantu questi travaglii ponu esse parallelizzati è pipelined), è ancu di u funziunamentu di u hardware è a qualità di u firmware. Dunque, i mudelli più vechji utilizanu hardware più pruduttivu; qualchì volta hè pussibule equipà cù processori supplementari è moduli di memoria. Ci hè parechje approcci per implementà e funzioni criptografiche: nantu à una unità di processazione centrale (CPU) generale, un circuit integratu specificu per l'applicazione (ASIC), o un circuit integratu logicu programmabile in u campu (FPGA). Ogni approcciu hà i so pros è cuns. Per esempiu, u CPU pò diventà un collu di criptografia, soprattuttu se u processatore ùn hà micca struzzioni specializate per sustene l'algoritmu di criptografia (o s'ellu ùn sò micca usati). I chips specializati ùn mancanu di flessibilità; ùn hè micca sempre pussibule di "reflash" per migliurà u rendiment, aghjunghje novi funzioni, o eliminà vulnerabilità. Inoltre, u so usu diventa prufittu solu cù grandi volumi di produzzione. Hè per quessa chì u "mezu d'oru" hè diventatu cusì populari - l'usu di FPGA (FPGA in Russian). Hè nantu à FPGA chì sò fatti l'acceleratori di criptu chjamati - moduli hardware specializati integrati o plug-in per sustene l'operazioni criptografiche.

Siccomu ne parlemu rete criptografia, hè logicu chì u rendiment di suluzioni deve esse misuratu in a listessa quantità cum'è per altri dispositi di rete - throughput, percentage of frame loss and latenza. Questi valori sò definiti in RFC 1242. Per via, nunda hè scrittu annantu à a variazione di ritardu (jitter) spessu citata in questa RFC. Cumu misurà queste quantità? Ùn aghju micca truvatu una metodulugia appruvata in alcunu standard (ufficiale o micca ufficiale cum'è RFC) specificamente per a criptografia di a rete. Saria logicu di utilizà a metodulugia per i dispositi di a rete cunsacrati in u standard RFC 2544. Molti venditori seguitanu - assai, ma micca tutti. Per esempiu, mandanu u trafficu di prova in una sola direzzione invece di i dui, cum'è cunsigliatu standard. In ogni casu.

A misurazione di u rendiment di i dispositi di criptografia di a rete hà sempre e so caratteristiche. Prima, hè currettu di realizà tutte e misurazioni per un paru di dispusitivi: ancu s'è l'algoritmi di criptografia sò simmetrici, i ritardi è a perdita di pacchetti durante a criptografia è a decifrazione ùn saranu micca necessariamente uguali. Siconda, hè sensu di misurà u delta, l'impattu di a criptografia di a rete nantu à u rendiment finali di a rete, paragunendu dui cunfigurazioni: senza dispositivi di criptografia è cun elli. O, cum'è u casu cù i dispositi hibridi, chì combina parechje funzioni in più di a criptografia di a rete, cù a criptografia disattivata è attivata. Questa influenza pò esse diversa è dipende da u schema di cunnessione di i dispositi di criptografia, nantu à i modi operativi è, infine, da a natura di u trafficu. In particulare, parechji paràmetri di prestazione dipendenu da a durata di i pacchetti, per quessa, per paragunà u rendiment di e diverse suluzioni, i grafici di sti parametri sicondu a durata di i pacchetti sò spessu usati, o IMIX hè utilizatu - a distribuzione di u trafficu per pacchettu. lunghezze, chì apprussimatamente riflette u veru. Se paragunemu a listessa cunfigurazione di basa senza criptografia, pudemu paragunà e soluzioni di criptografia di rete implementate in modu diversu senza entre in queste differenze: L2 cù L3, store-and-forward ) cù cut-through, specializate cù convergente, GOST cù AES è cusì.

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
Schema di cunnessione per a prova di rendiment

A prima caratteristica chì a ghjente presta attenzione hè a "vitezza" di u dispusitivu di criptografia, vale à dì larghezza di banda (larghezza di banda) di e so interfacce di rete, u flussu di bit. Hè determinatu da i standard di rete chì sò supportati da l'interfacce. Per Ethernet, i numeri di solitu sò 1 Gbps è 10 Gbps. Ma, comu sapemu, in ogni reta u massimu teorichi trasmissione (throughput) à ognunu di i so livelli ci hè sempre menu larghezza di banda: una parte di a larghezza di banda hè "mangiata" da intervalli interframe, headers di serviziu, etc. Se un dispositivu hè capaci di riceve, trasfurmà (in u nostru casu, criptu o decifratu) è trasmette u trafficu à a velocità completa di l'interfaccia di a rete, vale à dì, cù u massimu throughput teoricu per questu livellu di u mudellu di rete, allora si dice. per travaglià à a velocità di a linea. Per fà questu, hè necessariu chì u dispusitivu ùn perde micca o scaccià i pacchetti in ogni dimensione è in ogni freccia. Se u dispusitivu di criptografia ùn sustene micca u funziunamentu à a velocità di a linea, u so throughput massimu hè di solitu specificatu in i stessi gigabits per seconda (qualchì volta indicà a durata di i pacchetti - u più brevi i pacchetti, u più bassu u throughput di solitu hè). Hè assai impurtante per capisce chì u massimu throughput hè u massimu senza perdita (Ancu s'è u dispusitivu pò "pump" u trafficu per ellu stessu à una velocità più altu, ma à u stessu tempu perde parechji pacchetti). Inoltre, sia cuscenti chì certi venditori misuranu u throughput tutale trà tutti i pariglii di porti, cusì questi numeri ùn significanu micca assai se tuttu u trafficu criptatu passa per un portu unicu.

Induve hè sopratuttu impurtante per operà à a velocità di linea (o, in altre parolle, senza perdita di pacchettu)? In alta larghezza di banda, ligami d'alta latenza (cum'è u satellitu), induve una grande dimensione di finestra TCP deve esse stabilita per mantene una alta velocità di trasmissione, è induve a perdita di pacchetti riduce drammaticamente u rendiment di a rete.

Ma micca tutta a larghezza di banda hè aduprata per trasfiriri dati utili. Avemu da cuntà cù u cusì chjamatu spese generali (overhead) larghezza di banda. Questa hè a parte di u prugressu di u dispositivu di criptografia (in percentuale o byte per pacchettu) chì hè veramente persu (ùn pò micca esse usatu per trasfiriri dati di l'applicazione). I costi generali nascenu, prima, per un aumentu di a dimensione (aghjuntu, "imbottitura") di u campu di dati in pacchetti di rete criptati (sicondu l'algoritmu di criptografia è u so modu operativu). Siconda, per via di l'aumentu di a lunghezza di l'intestazione di pacchetti (modu di tunnel, inserzione di serviziu di u protocolu di criptografia, inserzione di simulazione, etc., secondu u protocolu è u modu di funziunamentu di u cifru è u modu di trasmissione) - di solitu questi costi di sopra sò i più significativu, è prestanu attenzione prima. In terzu, a causa di a frammentazione di i pacchetti quandu a dimensione massima di l'unità di dati (MTU) hè superata (se a reta hè capace di sparte un pacchettu chì supera u MTU in dui, duplicà i so intestazioni). Quartu, per via di l'apparizione di u trafficu di serviziu supplementu (cuntrollu) in a reta trà i dispositi di criptografia (per u scambiu di chjave, installazione di tunnel, etc.). L'overhead bassu hè impurtante induve a capacità di u canali hè limitata. Questu hè soprattuttu evidenti in u trafficu da i picculi pacchetti, per esempiu, voce - induve i costi di sopra pò "manghja" più di a mità di a velocità di u canali!

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
Banda larga

Infine, ci hè più ritardu introduttu - a diffarenza (in frazioni di secunna) in u ritardu di a rete (u tempu chì ci vole à passà a dati da l'ingressu à a reta à l'abbandunà) trà a trasmissione di dati senza è cù criptografia di rete. In generale, più bassa hè a latenza ("latency") di a rete, più critica diventa a latenza introdutta da i dispositi di criptografia. U ritardu hè introduttu da l'operazione di criptografia stessu (secondu l'algoritmu di criptografia, a durata di u bloccu è u modu di funziunamentu di u cifru, è ancu nantu à a qualità di a so implementazione in u software), è u trattamentu di u pacchettu di rete in u dispusitivu. . A latenza introdutta dipende sia da u modu di trasfurmazioni di pacchetti (pass-through o store-and-forward) è da u rendiment di a piattaforma (l'implementazione di hardware in un FPGA o ASIC hè generalmente più veloce di l'implementazione di software in una CPU). L'encryption L2 quasi sempre hà una latenza più bassa di l'encryption L3 o L4, per via di u fattu chì i dispositi di criptografia L3 / L4 sò spessu cunvergenti. Per esempiu, cù i criptatori Ethernet d'alta velocità implementati in FPGA è criptu in L2, u ritardu dovutu à l'operazione di crittografia hè svaniscendu pocu - qualchì volta quandu a criptografia hè attivata in un paru di dispositivi, u ritardu tutale introduttu da elli diminuisce ancu! A bassa latenza hè impurtante induve hè paragunabile à i ritardu di u canali generale, cumpresu u ritardu di propagazione, chì hè di circa 5 μs per chilometru. Vale à dì, pudemu dì chì per e rete urbane (decine di chilometri), i microsecondi ponu decide assai. Per esempiu, per a replicazione di basa di dati sincrona, u cummerciu d'alta freccia, u listessu blockchain.

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
ritardu introduttu

Scalabilità

Grandi rete distribuite ponu include parechji millaie di nodi è dispusitivi di rete, centinaie di segmenti di rete lucali. Hè impurtante chì e soluzioni di criptografia ùn imponenu restrizioni supplementari à a dimensione è a topologia di a reta distribuita. Questu hè appiicatu principarmenti à u numeru massimu di indirizzi host è rete. Tali limitazioni ponu esse scontri, per esempiu, quandu implementate una topologia di rete criptata multipuntu (cù cunnessioni sicure indipendenti, o tunnel) o criptografia selettiva (per esempiu, per numeru di protocolu o VLAN). Se in questu casu, l'indirizzi di a rete (MAC, IP, VLAN ID) sò usati cum'è chjave in una tavula in quale u numeru di fila hè limitatu, allora queste restrizioni appariscenu quì.

Inoltre, e grande rete sò spessu parechji strati strutturali, cumpresa a reta di u core, chì ognuna implementa u so propiu schema d'indirizzu è a so propria pulitica di routing. Per implementà stu approcciu, sò spessu usati formati di frames speciale (cum'è Q-in-Q o MAC-in-MAC) è protokolli di determinazione di rotte. Per ùn impediscenu a custruzzione di tali rete, i dispositi di criptografia anu da trattà currettamente tali frames (vale à dì, in questu sensu, a scalabilità significarà cumpatibilità - più nantu à quì sottu).

Flessibilità

Quì parlemu di supportà diverse cunfigurazioni, schemi di cunnessione, topologie è altre cose. Per esempiu, per e rete cambiate basate in tecnulugia Carrier Ethernet, questu significa supportu per diversi tipi di cunnessione virtuale (E-Line, E-LAN, E-Tree), diversi tipi di serviziu (sia per portu è VLAN) è diverse tecnulugia di trasportu. (elli sò digià listati sopra). Vale à dì, u dispusitivu deve esse capace di operare in modu lineare ("puntu à puntu") è multipuntu, stabilisce tunnelli separati per diverse VLAN, è permette a consegna fora di ordine di pacchetti in un canale sicuru. A capacità di selezziunà diversi modi di cifru (cumpresu cù o senza autentificazione di cuntenutu) è diversi modi di trasmissione di pacchetti permette di ottene un equilibriu trà forza è prestazione secondu e cundizioni attuali.

Hè impurtante ancu di sustene e rete private, chì l'equipaggiu appartene à una urganizazione (o affittu à questu), è e rete di l'operatore, diversi segmenti di quale sò gestiti da diverse cumpagnie. Hè bonu se a suluzione permette a gestione sia in-house sia da un terzu (aduprendu un mudellu di serviziu amministratu). In e rete di l'operatore, una altra funzione impurtante hè u supportu per a multi-tenancy (spartita da diversi clienti) in a forma di isolamentu criptograficu di i clienti individuali (abbonati) chì u trafficu passa per u listessu settore di dispositivi di criptografia. Questu generalmente richiede l'usu di setti separati di chjave è certificati per ogni cliente.

Sè un dispusitivu hè acquistatu per un scenariu specificu, allura tutti sti funziunalità ùn pò esse assai mpurtanti - vi basta à assicurà chì u dispusitivu sustene ciò chì avete bisognu avà. Ma se una suluzione hè acquistata "per a crescita", per sustene ancu scenari futuri, è hè sceltu cum'è "standard corporativu", a flessibilità ùn serà micca superflua - soprattuttu tenendu in contu e restrizioni à l'interoperabilità di i dispositi di diversi venditori ( più nantu à questu quì sottu).

Semplicità è comodità

A facilità di serviziu hè ancu un cuncettu multifattoriale. Approssimativamente, pudemu dì chì questu hè u tempu tutale passatu da i specialisti di una certa qualificazione necessaria per sustene una suluzione in diverse tappe di u so ciclu di vita. Se ùn ci hè micca costu, è a stallazione, a cunfigurazione è l'operazione sò completamente automatiche, i costi sò zero è a cunvenzione hè assoluta. Di sicuru, questu ùn succede micca in u mondu reale. Una approssimazione raghjunata hè un mudellu "nodu nantu à un filu" (bump-in-the-wire), o cunnessione trasparente, in quale l'aghjunzione è a disattivazione di i dispositi di criptografia ùn necessitanu micca cambiamenti manuali o automatichi à a cunfigurazione di a rete. À u listessu tempu, u mantenimentu di a suluzione hè simplificatu: pudete attivà è disattivate in modu sicuru a funzione di criptografia, è se ne necessariu, simpricimenti "bypass" u dispusitivu cù un cable di rete (vale à dì, cunnette direttamente quelli porti di l'equipaggiu di rete à quale). era cunnessu). True, ci hè un inconveniente - un attaccante pò fà u listessu. Per implementà u principiu "node on a wire", hè necessariu di piglià in contu micca solu u trafficu strata di datima strati di cuntrollu è gestione - i dispositi devenu esse trasparenti per elli. Per quessa, tali trafficu pò esse criptatu solu quandu ùn ci hè micca destinatariu di sti tipi di trafficu in a reta trà i dispositi di criptografia, postu chì s'ellu hè scartatu o criptatu, allora quandu attivate o disattiveghjanu a criptografia, a cunfigurazione di a rete pò cambià. U dispositivu di criptografia pò ancu esse trasparenti à a signalazione di a capa fisica. In particulare, quandu un signalu hè persu, deve trasmette sta perdita (vale à dì, spegne i so trasmettitori) avanti è avanti ("per ellu stessu") in a direzzione di u signale.

U sustegnu in a divisione di l'autorità trà i dipartimenti di sicurezza di l'infurmazioni è di l'informatica, in particulare u dipartimentu di a rete, hè ancu impurtante. A suluzione di criptografia deve sustene u cuntrollu di l'accessu di l'urganizazione è u mudellu di auditing. A necessità di interazzione trà e diverse dipartimenti per fà operazioni di rutina deve esse minimizzata. Dunque, ci hè un vantaghju in termini di cunvenzione per i dispositi specializati chì sustenenu solu funzioni di criptografia è sò trasparenti quant'è pussibule à l'operazioni di rete. Bastamente, l'impiegati di a sicurità di l'infurmazioni ùn anu micca raghjone per cuntattà "specialisti di a rete" per cambià i paràmetri di a rete. E quelli, à u turnu, ùn deve micca bisognu di cambià i paràmetri di criptografia quandu mantene a reta.

Un altru fattore hè a capacità è a cunvenzione di i cuntrolli. Deve esse visuali, lògichi, furnisce l'importazione-esportazione di paràmetri, l'automatizazione, etc. Duvete prestu prestu attenzione à ciò chì l'opzioni di gestione sò dispunibili (di solitu u so propiu ambiente di gestione, l'interfaccia web è a linea di cummanda) è chì inseme di funzioni ognuna di elli hà (ci sò limitazioni). Una funzione impurtante hè u sustegnu fora di banda (fora di banda) cuntrollu, vale à dì à traversu una reta di cuntrollu dedicatu, è in-banda (in-band) cuntrollu, vale à dì per mezu di una reta cumuna attraversu quale u trafficu utile hè trasmessu. I strumenti di gestione anu da signalà tutte e situazioni anormali, cumpresi incidenti di sicurità di l'infurmazioni. L'operazione di rutina, ripetitiva deve esse realizatu automaticamente. Questu hè principalmente legatu à a gestione chjave. Deve esse generati / distribuiti automaticamente. U supportu PKI hè un grande plus.

cumpatibulità

Questu hè, a cumpatibilità di u dispusitivu cù i normi di a rete. Inoltre, questu significa micca solu i normi industriali aduttati da l'urganisazioni autoritarii cum'è IEEE, ma ancu protokolli proprietarii di i capi di l'industria, cum'è Cisco. Ci hè dui modi principali per assicurà a cumpatibilità: sia attraversu trasparenza, o attraversu sustegnu esplicitu protokolli (quandu un dispositivu di criptografia diventa unu di i nodi di rete per un certu protokollu è processa u trafficu di cuntrollu di stu protokollu). A cumpatibilità cù e rete dipende da a cumpleta è a correttezza di l'implementazione di protokolli di cuntrollu. Hè impurtante di supportà diverse opzioni per u livellu PHY (velocità, mediu di trasmissione, schema di codificazione), frames Ethernet di diversi formati cù qualsiasi MTU, diversi protokolli di serviziu L3 (principalmente a famiglia TCP / IP).

A trasparenza hè assicurata per mezu di i miccanismi di mutazione (cambiendu temporaneamente u cuntenutu di l'intestazione aperta in u trafficu trà i criptatori), saltà (quandu i pacchetti individuali restanu micca criptati) è indentazione di l'iniziu di criptografia (quandu i campi di pacchetti normalmente criptati ùn sò micca criptati).

Cumu Evaluà è Paragunà Dispositivi di Criptazione Ethernet
Cumu a trasparenza hè assicurata

Dunque, verificate sempre esattamente cumu hè furnitu u supportu per un protokollu particulari. Spessu u supportu in modalità trasparente hè più còmuda è affidabile.

Interoperabilità

Questu hè ancu a cumpatibilità, ma in un sensu diversu, à dì a capacità di travaglià inseme cù altri mudelli di dispositivi di criptografia, cumpresi quelli di altri fabricatori. Moltu dipende da u statu di standardizazione di i protokolli di criptografia. Ùn ci hè simplicemente micca standard di criptografia generalmente accettati in L1.

Ci hè un standard 2ae (MACsec) per a criptografia L802.1 in rete Ethernet, ma ùn usa micca. trasversali (da fine à fine), è interportu, a criptografia "hop-by-hop", è in a so versione originale ùn hè micca adattatu per l'usu in e rete distribuite, per quessa, i so estensioni proprietarii sò apparsu chì superanu sta limitazione (di sicuru, per via di l'interoperabilità cù l'equipaggiu di altri fabricatori). True, in 2018, u supportu per e rete distribuite hè statu aghjuntu à u standard 802.1ae, ma ùn ci hè ancu un supportu per l'algoritmi di criptografia GOST. Per quessa, i protokolli di criptografia L2 privati, micca standard, in regula, sò distinti da una efficienza più grande (in particulare, una larghezza di banda più bassa) è una flessibilità (a capacità di cambià l'algoritmi è i modi di criptografia).

À livelli più alti (L3 è L4) ci sò normi ricunnisciuti, principarmenti IPsec è TLS, ma ancu quì ùn hè micca cusì simplice. U fattu hè chì ognuna di sti normi hè un inseme di protokolli, ognunu cù diverse versioni è estensioni necessarii o opzionali per l'implementazione. Inoltre, certi pruduttori preferanu usà i so protokolli di criptografia proprietarii in L3 / L4. Dunque, in a maiò parte di i casi, ùn deve micca cuntà à l'interoperabilità cumpleta, ma hè impurtante chì almenu l'interazzione trà e diverse mudelli è e diverse generazioni di u stessu fabricatore hè assicurata.

Affidabilità

Per paragunà diverse suluzioni, pudete aduprà u tempu mediu trà fallimenti o un fattore di dispunibilità. Sì sti numeri ùn sò micca dispunibili (o ùn ci hè micca fiducia in elli), allura un paraguni qualitativu pò esse fattu. I dispusitivi cù una gestione conveniente anu un vantaghju (menu risicu di errori di cunfigurazione), criptatori specializati (per a listessa ragione), è solu suluzioni cù tempu minimu per detectà è eliminà un fallimentu, cumprese i mezi di salvezza "calda" di nodi interi è dispusitivi.

costu di

Quandu si tratta di costu, cum'è cù a maiò parte di e soluzioni IT, hè sensu di paragunà u costu tutale di pruprietà. Per calculà, ùn avete micca bisognu di reinventà a rota, ma aduprate qualsiasi metodulugia adattata (per esempiu, da Gartner) è qualsiasi calculatrice (per esempiu, quella chì hè digià utilizata in l'urganizazione per calculà TCO). Hè chjaru chì per una soluzione di criptografia di rete, u costu tutale di a pruprietà hè custituitu direttu i costi di l'acquistu o l'affittu di a suluzione stessa, l'infrastruttura per l'equipaggiu d'ospitu è ​​i costi di implementazione, amministrazione è mantenimentu (sia in casa sia in forma di servizii di terzu), è ancu indirettu i costi da i tempi di inattività di a suluzione (causata da a perdita di produtividade di l'utilizatori finali). Ci hè probabilmente solu una suttilità. L'impattu di u rendiment di a suluzione pò esse cunsideratu in diverse manere: sia cum'è costi indiretti causati da a produtividade persa, sia cum'è costi diretti "virtuali" di compra / aghjurnamentu è mantenimentu di strumenti di rete chì compensanu a perdita di prestazioni di a rete per via di l'usu di criptografia. In ogni casu, e spese chì sò difficiuli di calculà cù una precisione suffirenzia sò megliu lasciate fora di u calculu: cusì ci sarà più fiducia in u valore finali. E, cum'è di solitu, in ogni casu, hè sensu di paragunà diversi dispositi da TCO per un scenariu specificu di u so usu - reale o tipicu.

Durabilità

È l'ultima caratteristica hè a persistenza di a suluzione. In a maiò parte di i casi, a durabilità pò esse valutata solu qualitativamente paragunendu diverse soluzioni. Avemu da ricurdà chì i dispositi di criptografia ùn sò micca solu un mezzu, ma ancu un ughjettu di prutezzione. Puderanu esse esposti à diverse minacce. In prima linea sò i minacce di violazione di a cunfidenziale, a ripruduzzione è a mudificazione di i missaghji. Queste minacce ponu esse realizate per via di e vulnerabilità di u cifru o di i so modi individuali, per via di e vulnerabilità in i protokolli di criptografia (cumpresu in e tappe di stabilisce una cunnessione è di generazione / distribuzione di chjave). U vantaghju serà per suluzioni chì permettenu cambià l'algoritmu di criptografia o cambià u modu di criptu (almenu per mezu di un aghjurnamentu di firmware), suluzioni chì furnisce a criptografia più cumpleta, oculta da l'attaccante micca solu i dati di l'utilizatori, ma ancu l'indirizzu è altre informazioni di serviziu. , è ancu suluzioni tecniche chì ùn solu cifri, ma ancu prutegge i missaghji da a ripruduzzione è a mudificazione. Per tutti l'algoritmi di criptografia muderni, signatures elettroniche, generazione di chjave, etc., chì sò cunsacrati in i normi, a forza pò esse assuciata chì hè a listessa (altrimenti pudete simpricimenti persu in u salvaticu di a criptografia). Deve esse necessariamente algoritmi GOST? Tuttu hè simplice quì: se u scenariu di l'applicazione richiede a certificazione FSB per CIPF (è in Russia questu hè u più spessu u casu; per a maiò parte di i scenarii di criptografia di rete questu hè veru), allora scegliemu solu trà i certificati. Se no, allora ùn ci hè nunda di escludiri i dispositi senza certificati da cunsiderazione.

Un'altra minaccia hè a minaccia di pirate, accessu micca autorizatu à i dispositi (cumpresu attraversu l'accessu fisicu fora è in u casu). A minaccia pò esse realizatu attraversu
vulnerabilità in implementazione - in hardware è codice. Per quessa, i suluzioni cù una "superficie d'attaccu" minima per via di a reta, cù chjusi prutetti da l'accessu fisicu (cù sensori d'intrusione, prutezzione di sonda è resettore automaticu di l'infurmazioni chjave quandu u recinte hè apertu), è ancu quelli chì permettenu l'aghjurnamenti di firmware anu da esse. un vantaghju in casu chì una vulnerabilità in u codice diventa cunnisciuta. Ci hè un altru modu: se tutti i dispositi paragunati anu certificati FSB, allora a classa CIPF per a quale u certificatu hè statu emessu pò esse cunsideratu un indicatore di resistenza à u pirate.

Infine, un altru tipu di minaccia hè l'errore durante a stallazione è u funziunamentu, u fattore umanu in a so forma più pura. Questu mostra un altru vantaghju di l'encryptors specializati nantu à e suluzioni cunvergenti, chì sò spessu destinati à "spezialisti di rete" stagionati è ponu causà difficultà per i "ordinari", specialisti di sicurezza generale di l'infurmazioni.

Riunione

In principiu, quì saria pussibule di prupone un tipu d'indicatore integrale per paragunà parechji dispusitivi, qualcosa cum'è

$$display$$K_j=∑p_i r_{ij}$$display$$

induve p hè u pesu di l'indicatore, è r hè u rangu di u dispusitivu secondu questu indicatore, è qualsiasi di e caratteristiche elencate sopra pò esse divisu in indicatori "atomichi". Una tale formula puderia esse utile, per esempiu, quandu paragunate e pruposte d'offerta secondu e regule pre-accordu. Ma pudete fà cun una tavola simplice cum'è

Caratteristiche
Dispositivu 1
Dispositivu 2
...
Dispositivu N

Banda larga
+
+

+++

Overheads
+
++

+++

Ritardu
+
+

++

Scalabilità
+++
+

+++

Flessibilità
+++
++

+

Interoperabilità
++
+

+

cumpatibulità
++
++

+++

Semplicità è comodità
+
+

++

tolleranza à i difetti
+++
+++

++

costu di
++
+++

+

Durabilità
++
++

+++

Seraghju felice di risponde à e dumande è a critica constructiva.

Source: www.habr.com

Add a comment