ProHoster > Блог > Administrado > Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn

Mi skribis ĉi tiun recenzon (aŭ, se vi preferas, komparan gvidilon) kiam mi estis taskigita kompari plurajn aparatojn de malsamaj vendistoj. Krome, ĉi tiuj aparatoj apartenis al malsamaj klasoj. Mi devis kompreni la arkitekturon kaj karakterizaĵojn de ĉiuj ĉi tiuj aparatoj kaj krei "koordinatan sistemon" por komparo. Mi ĝojos, se mia recenzo helpos iun:

  • Komprenu la priskribojn kaj specifojn de ĉifradaparatoj
  • Distingu "paperajn" trajtojn de tiuj kiuj estas vere gravaj en la reala vivo
  • Iru preter la kutima aro de vendistoj kaj konsideru iujn ajn produktojn, kiuj taŭgas por solvi la problemon
  • Demandu la ĝustajn demandojn dum intertraktado
  • Preparu ofertajn postulojn (RFP)
  • Komprenu, kiajn trajtojn oni devos oferi se certa aparato-modelo estas elektita

Kion oni povas taksi

Principe, la aliro aplikeblas al iuj memstaraj aparatoj taŭgaj por ĉifrado de rettrafiko inter foraj Eterretaj segmentoj (trans-eja ĉifrado). Tio estas, "skatoloj" en aparta kazo (bone, ni ankaŭ inkluzivos klingojn/modulojn por la ĉasio ĉi tie), kiuj estas konektitaj per unu aŭ pluraj Ethernet-havenoj al loka (kampusa) Ethernet-reto kun neĉifrita trafiko, kaj tra alia(j) haveno(j) al kanalo/reto tra kiu jam ĉifrita trafiko estas elsendita al aliaj, malproksimaj segmentoj. Tia ĉifra solvo povas esti deplojita en privata aŭ funkciigistoreto per malsamaj specoj de "transporto" (malhela fibro, frekvencdivida ekipaĵo, interŝanĝita Eterreto, same kiel "pseŭdodratoj" metitaj tra reto kun malsama enruta arkitekturo, plej ofte MPLS. ), kun aŭ sen VPN-teknologio.

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Reta ĉifrado en distribuita Ethernet-reto

La aparatoj mem povas esti ambaŭ specialigita (celita ekskluzive por ĉifrado), aŭ multfunkcia (hibrida, konverĝa), tio estas, ankaŭ plenumante aliajn funkciojn (ekzemple fajroŝirmilo aŭ enkursigilo). Malsamaj vendistoj klasifikas siajn aparatojn en malsamajn klasojn/kategoriojn, sed tio ne gravas - la sola grava afero estas ĉu ili povas ĉifri transretejan trafikon, kaj kiajn trajtojn ili havas.

Ĉiaokaze, mi memorigas al vi, ke "reta ĉifrado", "trafika ĉifrado", "ĉifrado" estas neformalaj terminoj, kvankam ili estas ofte uzataj. Vi plej verŝajne ne trovos ilin en rusaj regularoj (inkluzive de tiuj, kiuj enkondukas GOSTojn).

Ĉifradaj niveloj kaj dissendaj modoj

Antaŭ ol ni komencos priskribi la trajtojn mem, kiuj estos uzataj por taksado, ni unue devos kompreni unu gravan aferon, nome la "ĉifrada nivelo". Mi rimarkis, ke ĝi estas ofte menciita kaj en oficialaj vendistaj dokumentoj (en priskriboj, manlibroj, ktp.) kaj en neformalaj diskutoj (ĉe intertraktadoj, trejnadoj). Tio estas, ĉiuj ŝajnas tre bone scii, pri kio ni parolas, sed mi persone atestis ian konfuzon.

Do kio estas "ĉifrada nivelo"? Estas klare, ke ni parolas pri la nombro de la referenca reto modeltavolo OSI/ISO ĉe kiu okazas ĉifrado. Ni legas GOST R ISO 7498-2–99 “Informa teknologio. Interkonekto de malfermaj sistemoj. Baza referenca modelo. Parto 2. Arkitekturo pri informa sekureco." De ĉi tiu dokumento oni povas kompreni, ke la nivelo de konfidenca servo (unu el la mekanismoj por provizi, kiu estas ĉifrado) estas la nivelo de la protokolo, kies serva datuma bloko ("utila ŝarĝo", uzantdatumoj) estas ĉifrita. Kiel ĝi ankaŭ estas skribita en la normo, la servo povas esti provizita ambaŭ sur la sama nivelo, "sur sia propra", kaj kun la helpo de pli malalta nivelo (tiel, ekzemple, ĝi estas plej ofte efektivigita en MACsec) .

Praktike eblas du manieroj transdoni ĉifritajn informojn per reto (IPsec tuj venas al la menso, sed la samaj reĝimoj troviĝas ankaŭ en aliaj protokoloj). EN transporto (foje ankaŭ nomata indiĝena) reĝimo estas ĉifrita nur servo bloko de datumoj, kaj la kaplinioj restas "malfermaj", neĉifritaj (foje aldoniĝas pliaj kampoj kun servaj informoj de la ĉifrada algoritmo, kaj aliaj kampoj estas modifitaj kaj rekalkulitaj). EN tunelo sama maniero ĉiuj protokolo la datumbloko (tio estas, la pako mem) estas ĉifrita kaj enkapsuligita en servodatumbloko de la sama aŭ pli alta nivelo, tio estas, ĝi estas ĉirkaŭita de novaj kaplinioj.

La ĉifradnivelo mem en kombinaĵo kun iu dissenda reĝimo estas nek bona nek malbona, do oni ne povas diri, ekzemple, ke L3 en transportreĝimo estas pli bona ol L2 en tunelreĝimo. Estas nur, ke multaj el la karakterizaĵoj per kiuj aparatoj estas taksitaj dependas de ili. Ekzemple, fleksebleco kaj kongruo. Por labori en reto L1 (bitflua relajso), L2 (framŝanĝo) kaj L3 (paka vojigo) en transportreĝimo, vi bezonas solvojn, kiuj ĉifras je la sama aŭ pli alta nivelo (alie la adresinformoj estos ĉifritaj kaj la datumoj estos ĉifritaj. ne atingas sian celitan cellokon), kaj la tunela reĝimo venkas ĉi tiun limigon (kvankam oferante aliajn gravajn karakterizaĵojn).

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Transportaj kaj tunelaj ĉifraj reĝimoj L2

Nun ni transiru al analizo de la karakterizaĵoj.

Produkteco

Por reto-ĉifrado, efikeco estas kompleksa, plurdimensia koncepto. Okazas, ke certa modelo, kvankam supera en unu elfara trajto, estas malsupera en alia. Sekve, ĉiam utilas konsideri ĉiujn komponantojn de ĉifrada agado kaj ilian efikon al la agado de la reto kaj la aplikoj, kiuj uzas ĝin. Ĉi tie ni povas desegni analogion kun aŭto, por kiu gravas ne nur maksimuma rapido, sed ankaŭ akcela tempo al "centoj", konsumo de brulaĵo ktp. Vendistaj kompanioj kaj iliaj eblaj klientoj multe atentas rendimentajn trajtojn. Kiel regulo, ĉifradaparatoj estas vicigitaj surbaze de agado en vendistaj linioj.

Estas klare, ke agado dependas kaj de la komplekseco de la interkonektaj kaj kriptografiaj operacioj faritaj sur la aparato (inkluzive de kiom bone ĉi tiuj taskoj povas esti paraleligitaj kaj enkondukitaj), same kiel de la agado de la aparataro kaj la kvalito de la firmvaro. Tial pli malnovaj modeloj uzas pli produktivan aparataron; foje eblas ekipi ĝin per pliaj procesoroj kaj memormoduloj. Ekzistas pluraj aliroj al efektivigado de kriptografiaj funkcioj: sur ĝeneraluzebla centra pretiga unuo (CPU), aplikiĝ-specifa integra cirkvito (ASIC), aŭ kamp-programebla logika integra cirkvito (FPGA). Ĉiu aliro havas siajn avantaĝojn kaj malavantaĝojn. Ekzemple, la CPU povas iĝi ĉifradprotlemkolo, precipe se la procesoro ne havas specialiĝintajn instrukciojn por apogi la ĉifradalgoritmon (aŭ se ili ne estas uzitaj). Specialigitaj blatoj malhavas de fleksebleco; ne ĉiam eblas "rebriligi" ilin por plibonigi rendimenton, aldoni novajn funkciojn aŭ forigi vundeblecojn. Krome, ilia uzo fariĝas profita nur kun grandaj produktaj volumoj. Tial la "ora meznombro" fariĝis tiel populara - la uzo de FPGA (FPGA en la rusa). Ĝuste sur FPGA-oj estas faritaj la tiel nomataj kriptaj akceliloj - enkonstruitaj aŭ aldonaj specialigitaj aparataj moduloj por subteni ĉifritajn operaciojn.

Ĉar ni parolas pri reto ĉifrado, estas logike, ke la agado de solvoj devus esti mezurita en la samaj kvantoj kiel por aliaj retaj aparatoj - trafluo, procento de framperdo kaj latencia. Ĉi tiuj valoroj estas difinitaj en RFC 1242. Cetere, nenio estas skribita pri la ofte menciita prokrasta variado (jitter) en ĉi tiu RFC. Kiel mezuri ĉi tiujn kvantojn? Mi ne trovis metodaron aprobitan en iuj normoj (oficialaj aŭ neoficialaj kiel RFC) specife por reto-ĉifrado. Estus logike uzi la metodaron por retaj aparatoj sanktigitaj en la normo RFC 2544. Multaj vendistoj sekvas ĝin - multaj, sed ne ĉiuj. Ekzemple, ili sendas testan trafikon nur en unu direkto anstataŭ ambaŭ, kiel rekomendita normo. Ĉiuokaze.

Mezuri la rendimenton de retaj ĉifradaj aparatoj ankoraŭ havas siajn proprajn trajtojn. Unue, estas ĝuste efektivigi ĉiujn mezuradojn por paro da aparatoj: kvankam la ĉifrado-algoritmoj estas simetriaj, prokrastoj kaj pakaj perdoj dum ĉifrado kaj malĉifrado ne nepre estos egalaj. Due, havas sencon mezuri la delton, la efikon de reto-ĉifrado sur la fina reto-rendimento, komparante du agordojn: sen ĉifradaparatoj kaj kun ili. Aŭ, kiel estas la kazo kun hibridaj aparatoj, kiuj kombinas plurajn funkciojn krom reto-ĉifrado, kun ĉifrado malŝaltita kaj ŝaltita. Ĉi tiu influo povas esti malsama kaj dependi de la koneksa skemo de la ĉifradaj aparatoj, de la operaciaj modoj, kaj finfine, de la naturo de la trafiko. Aparte, multaj agado-parametroj dependas de la longeco de pakoj, tial, por kompari la agadon de malsamaj solvoj, grafikaĵoj de ĉi tiuj parametroj depende de la longo de pakoj estas ofte uzataj, aŭ IMIX estas uzata - la distribuo de trafiko laŭ pako. longoj, kiuj proksimume reflektas la realan. Se ni komparas la saman bazan agordon sen ĉifrado, ni povas kompari retajn ĉifradajn solvojn efektivigitajn malsame sen eniri ĉi tiujn diferencojn: L2 kun L3, stoki-kaj-antaŭen ) kun tranĉo, specialigita kun konverĝa, GOST kun AES ktp.

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Konektdiagramo por agado-testado

La unua karakterizaĵo, kiun homoj atentas, estas la "rapideco" de la ĉifrada aparato, tio estas bendolarĝo (bendolarĝo) de ĝiaj retaj interfacoj, bita flukvanto. Ĝi estas determinita de la retaj normoj subtenataj de la interfacoj. Por Eterreto, la kutimaj nombroj estas 1 Gbps kaj 10 Gbps. Sed, kiel ni scias, en ajna reto la maksimuma teoria trairo (trafluo) ĉe ĉiu el ĝiaj niveloj ĉiam estas malpli da bendolarĝo: parto de la bendolarĝo estas "manĝita" per interkadraj intervaloj, servaj kaplinioj, ktp. Se aparato kapablas ricevi, prilabori (en nia kazo, ĉifri aŭ malĉifri) kaj transdoni trafikon je la plena rapideco de la reto-interfaco, tio estas, kun la maksimuma teoria trafluo por ĉi tiu nivelo de la reto-modelo, tiam oni diras. esti laboranta je liniorapido. Por fari tion, necesas, ke la aparato ne perdu aŭ forĵetu pakojn je ajna grandeco kaj je ajna ofteco. Se la ĉifrada aparato ne subtenas operacion je liniorapido, tiam ĝia maksimuma trafluo estas kutime specifita en la samaj gigabitoj sekundo (foje indikante la longon de la pakaĵetoj - ju pli mallongaj la pakoj, des pli malalta la trairo kutime estas). Estas tre grave kompreni, ke la maksimuma trafluo estas la maksimumo neniu perdo (eĉ se la aparato povas "pumpi" trafikon tra si mem pli alta rapideco, sed samtempe perdante kelkajn pakaĵojn). Ankaŭ, konsciu, ke iuj vendistoj mezuras la totalan trairon inter ĉiuj paroj da havenoj, do ĉi tiuj nombroj ne multe signifas se la tuta ĉifrita trafiko iras tra ununura haveno.

Kie estas speciale grave funkcii kun liniorapido (aŭ, alivorte, sen paka perdo)? En alt-bendolarĝoj, alt-latentecaj ligiloj (kiel ekzemple satelito), kie granda TCP-fenestrograndeco devas esti metita konservi altajn dissendrapidecojn, kaj kie pakaĵetperdo dramece reduktas retan efikecon.

Sed ne la tuta bendolarĝo estas uzata por transdoni utilajn datumojn. Ni devas kalkuli kun la tn superkostoj (overhead) bendolarĝo. Ĉi tiu estas la parto de la trairado de la ĉifraparato (kiel procento aŭ bajtoj per pako) kiu estas fakte malŝparita (ne povas esti uzata por transdoni aplikaĵdatenojn). Supraj kostoj aperas, unue, pro pliiĝo de la grandeco (aldono, "plenigo") de la datumkampo en ĉifritaj retaj pakoj (depende de la ĉifrada algoritmo kaj ĝia operacia reĝimo). Due, pro la pliiĝo en la longo de pakaĵetaj kaplinioj (tunela reĝimo, servo-enmeto de la ĉifrada protokolo, simulada enmeto ktp. depende de la protokolo kaj operacimaniero de la ĉifro kaj dissenda reĝimo) - kutime ĉi tiuj superkostoj estas la plej signifaj, kaj ili unue atentas. Trie, pro fragmentiĝo de pakaĵetoj kiam la maksimuma datenunuograndeco (MTU) estas superita (se la reto povas dividi pakaĵeton kiu superas la MTU en du, duobligante ĝiajn titolojn). Kvare, pro la apero de plia serva (kontrola) trafiko en la reto inter ĉifradaparatoj (por ŝlosilŝanĝo, tunela instalado, ktp.). Malalta supre estas grava kie kanalkapacito estas limigita. Ĉi tio estas precipe evidenta en trafiko de malgrandaj pakaĵoj, ekzemple, voĉo - kie superkostoj povas "manĝi" pli ol duonon de la kanalrapideco!

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Larĝa de bando

Fine, estas pli enkondukita prokrasto – la diferenco (en frakcioj de sekundo) en reto prokrasto (la tempo necesa por datumoj por pasi de eniro de la reto al forlaso de ĝi) inter datumtranssendo sen kaj kun reto-ĉifrado. Ĝenerale parolante, ju pli malalta estas la latenteco ("latenteco") de la reto, des pli kritika fariĝas la latenteco enkondukita de ĉifradaparatoj. La prokrasto estas enkondukita de la ĉifrada operacio mem (depende de la ĉifrada algoritmo, bloko-longo kaj maniero de operacio de la ĉifro, same kiel de la kvalito de ĝia efektivigo en la programaro), kaj la prilaborado de la reto-pako en la aparato. . La latenteco lanĉita dependas de kaj la pakaĵeta pretigreĝimo (trapaso aŭ butiko-kaj-antaŭen) kaj la prezento de la platformo (hardvara efektivigo sur FPGA aŭ ASIC estas ĝenerale pli rapida ol softvarrefektivigo sur CPU). L2-ĉifrado preskaŭ ĉiam havas pli malaltan latentecon ol L3 aŭ L4-ĉifrado, pro la fakto ke L3/L4-ĉifrado-aparatoj ofte konverĝas. Ekzemple, kun altrapidaj Eterretaj ĉifriloj efektivigitaj sur FPGA-oj kaj ĉifrado sur L2, la prokrasto pro la ĉifrada operacio estas malapere malgranda - foje kiam ĉifrado estas ebligita sur paro da aparatoj, la totala prokrasto enkondukita de ili eĉ malpliiĝas! Malalta latenteco estas grava kie ĝi estas komparebla al totalaj kanalprokrastoj, inkluzive de disvastigprokrasto, kiu estas ĉirkaŭ 5 μs je kilometro. Tio estas, ni povas diri, ke por urb-skalaj retoj (dekoj da kilometroj laŭlarĝe), mikrosekundoj povas decidi multon. Ekzemple, por sinkrona datumbaza reproduktado, altfrekvenca komerco, la sama blokĉeno.

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Enkondukita prokrasto

Skalebleco

Grandaj distribuitaj retoj povas inkluzivi multajn milojn da nodoj kaj retaj aparatoj, centojn da lokaj retaj segmentoj. Gravas, ke ĉifradaj solvoj ne trudas pliajn limigojn pri la grandeco kaj topologio de la distribuita reto. Ĉi tio validas ĉefe por la maksimuma nombro da gastigantoj kaj retaj adresoj. Tiaj limigoj povas esti renkontitaj, ekzemple, dum efektivigado de multpunkta ĉifrita retotopologio (kun sendependaj sekuraj ligoj, aŭ tuneloj) aŭ selektema ĉifrado (ekzemple, per protokolnombro aŭ VLAN). Se ĉi-kaze retadresoj (MAC, IP, VLAN ID) estas uzataj kiel ŝlosiloj en tabelo en kiu la nombro da vicoj estas limigita, tiam ĉi tiuj limigoj aperas ĉi tie.

Krome, grandaj retoj ofte havas plurajn strukturajn tavolojn, inkluzive de la kernreto, ĉiu el kiu efektivigas sian propran adresskemon kaj sian propran vojpolitikon. Por efektivigi tiun aliron, specialaj framformatoj (kiel ekzemple Q-in-Q aŭ MAC-en-MAC) kaj itinerdeterminadprotokoloj ofte estas uzitaj. Por ne malhelpi la konstruadon de tiaj retoj, ĉifraj aparatoj devas ĝuste manipuli tiajn kadrojn (tio estas, ĉi-sence, skaleblo signifos kongruecon - pli pri tio ĉi sube).

Fleksebleco

Ĉi tie ni parolas pri subteno de diversaj agordoj, konektoskemoj, topologioj kaj aliaj aferoj. Ekzemple, por interŝanĝitaj retoj bazitaj sur Carrier Ethernet-teknologioj, tio signifas subtenon por malsamaj specoj de virtualaj ligoj (E-Line, E-LAN, E-Tree), malsamaj specoj de servo (kaj per haveno kaj VLAN) kaj malsamaj transportteknologioj (ili jam listigis supre). Tio estas, la aparato devas povi funkcii en kaj liniaj ("punkto-al-punktaj") kaj plurpunktaj reĝimoj, establi apartajn tunelojn por malsamaj VLANoj, kaj permesi eksterordan liveron de pakaĵoj ene de sekura kanalo. La kapablo elekti malsamajn ĉifrreĝimojn (inkluzive kun aŭ sen enhava aŭtentikigo) kaj malsamaj pakaj transmisiaj reĝimoj permesas vin ekvilibrigi inter forto kaj rendimento depende de nunaj kondiĉoj.

Ankaŭ gravas subteni ambaŭ privatajn retojn, kies ekipaĵo estas posedata de unu organizo (aŭ luita al ĝi), kaj operaciajn retojn, kies malsamaj segmentoj estas administritaj de malsamaj kompanioj. Estas bone se la solvo permesas administradon kaj endome kaj de tria partio (uzante administritan servomodelon). En operatoraj retoj, alia grava funkcio estas subteno por plurluado (kundividado de malsamaj klientoj) en formo de kripta izolado de individuaj klientoj (abonantoj) kies trafiko pasas tra la sama aro de ĉifradaparatoj. Ĉi tio kutime postulas la uzon de apartaj aroj de ŝlosiloj kaj atestiloj por ĉiu kliento.

Se aparato estas aĉetita por specifa scenaro, tiam ĉiuj ĉi tiuj funkcioj eble ne estas tre gravaj - vi nur devas certigi, ke la aparato subtenas tion, kion vi bezonas nun. Sed se solvo estas aĉetita "por kresko", por subteni estontajn scenarojn ankaŭ, kaj estas elektita kiel "kompania normo", tiam fleksebleco ne estos superflua - precipe konsiderante la limigojn pri la kunfunkciebleco de aparatoj de malsamaj vendistoj ( pli pri tio ĉi sube).

Simpleco kaj komforto

Facileco de servo ankaŭ estas multfaktora koncepto. Proksimume, ni povas diri, ke ĉi tio estas la tuta tempo pasigita de specialistoj de certa kvalifiko necesa por subteni solvon en malsamaj etapoj de ĝia vivociklo. Se ne estas kostoj, kaj instalado, agordo kaj funkciado estas plene aŭtomataj, tiam la kostoj estas nulaj kaj la oportuno estas absoluta. Kompreneble, ĉi tio ne okazas en la reala mondo. Racia aproksimado estas modelo "nodo sur drato" (bump-en-la-drato), aŭ travidebla konekto, en kiu aldoni kaj malŝalti ĉifradaparatojn ne postulas ajnajn manajn aŭ aŭtomatajn ŝanĝojn al la reto-agordo. Samtempe, konservado de la solvo estas simpligita: vi povas sekure ŝalti kaj malŝalti la ĉifradan funkcion, kaj se necese, simple "preteriri" la aparaton per retokablo (tio estas, rekte konekti tiujn havenojn de la retaj ekipaĵoj al kiuj ĝi estis konektita). Vere, estas unu malavantaĝo - atakanto povas fari la samon. Por efektivigi la principon "nodo sur drato", necesas konsideri ne nur trafikon datumtavoloSed kontrolaj kaj administradaj tavoloj – aparatoj devas esti travideblaj al ili. Tial tia trafiko povas esti ĉifrita nur kiam ne ekzistas ricevantoj de ĉi tiuj specoj de trafiko en la reto inter la ĉifraparatoj, ĉar se ĝi estas forĵetita aŭ ĉifrita, tiam kiam vi ebligas aŭ malŝaltas ĉifradon, la reto-agordo povas ŝanĝiĝi. La ĉifrada aparato ankaŭ povas esti travidebla al fizika tavolsignalado. Aparte, kiam signalo estas perdita, ĝi devas transdoni ĉi tiun perdon (tio estas, malŝalti ĝiajn dissendilojn) tien kaj reen ("por si") en la direkto de la signalo.

Subteno en la divido de aŭtoritato inter la informa sekureco kaj IT-sekcioj, precipe la retsekcio, ankaŭ estas grava. La ĉifrada solvo devas subteni la alirkontrolon kaj revizian modelon de la organizo. La bezono de interago inter malsamaj fakoj por plenumi rutinajn operaciojn devus esti minimumigita. Tial, estas avantaĝo laŭ oportuno por specialigitaj aparatoj, kiuj ekskluzive subtenas ĉifrajn funkciojn kaj estas kiel eble plej travideblaj al retaj operacioj. Simple dirite, oficistoj pri informa sekureco devus havi neniun kialon kontakti "retajn specialistojn" por ŝanĝi retajn agordojn. Kaj tiuj, siavice, ne devus havi la bezonon ŝanĝi ĉifrajn agordojn dum konservado de la reto.

Alia faktoro estas la kapabloj kaj oportuno de la kontroloj. Ili devus esti vidaj, logikaj, provizi import-eksportadon de agordoj, aŭtomatigo ktp. Vi devas tuj atenti kiajn mastrumajn elektojn disponeblas (kutime sia propra administra medio, TTT-interfaco kaj komandlinio) kaj kiajn funkciojn havas ĉiu el ili (estas limigoj). Grava funkcio estas subteno ekster-de-grupo (eksterbendo) kontrolo, tio estas, per dediĉita kontrolreto, kaj en-banda (en-banda) kontrolo, tio estas, per komuna reto, per kiu estas transdonita utila trafiko. Administradaj iloj devas signali ĉiujn nenormalajn situaciojn, inkluzive de informsekurecaj okazaĵoj. Rutinaj, ripetaj operacioj devas esti faritaj aŭtomate. Ĉi tio ĉefe rilatas al ŝlosila administrado. Ili devus esti generitaj/distribuitaj aŭtomate. PKI-subteno estas granda pluso.

kongruo

Tio estas, la kongruo de la aparato kun retaj normoj. Krome, tio signifas ne nur industriajn normojn adoptitajn de aŭtoritataj organizoj kiel ekzemple IEEE, sed ankaŭ proprietajn protokolojn de industriaj gvidantoj, kiel ekzemple Cisco. Estas du ĉefaj manieroj por certigi kongruon: ĉu tra travidebleco, aŭ tra eksplicita subteno protokoloj (kiam ĉifraparato fariĝas unu el la retaj nodoj por certa protokolo kaj prilaboras la kontroltrafikon de ĉi tiu protokolo). Kongrueco kun retoj dependas de la kompleteco kaj ĝusteco de la efektivigo de kontrolprotokoloj. Gravas subteni malsamajn opciojn por la PHY-nivelo (rapido, dissenda medio, kodiga skemo), Eterretaj kadroj de malsamaj formatoj kun iu ajn MTU, malsamaj L3-servoprotokoloj (ĉefe la TCP/IP-familio).

Travidebleco estas certigita per la mekanismoj de mutacio (provizore ŝanĝanta la enhavon de malfermaj kaplinioj en trafiko inter ĉifriloj), transsaltado (kiam individuaj pakaĵetoj restas neĉifritaj) kaj indentaĵo de la komenco de ĉifrado (kiam normale ĉifritaj kampoj de pakaĵetoj ne estas ĉifritaj).

Kiel Taksi kaj Kompari Eterretajn Ĉifradajn Aparatojn
Kiel travidebleco estas certigita

Tial, ĉiam kontrolu precize kiel subteno por aparta protokolo estas provizita. Ofte subteno en travidebla reĝimo estas pli oportuna kaj fidinda.

Kunfunkciebleco

Ĉi tio ankaŭ estas kongruo, sed en malsama signifo, nome la kapablo labori kune kun aliaj modeloj de ĉifradaj aparatoj, inkluzive de tiuj de aliaj fabrikantoj. Multe dependas de la stato de normigado de ĉifradaj protokoloj. Simple ne ekzistas ĝenerale akceptitaj ĉifradaj normoj sur L1.

Ekzistas 2ae (MACsec) normo por L802.1-ĉifrado sur Eterretaj retoj, sed ĝi ne uzas transversa (fin-al-fino), kaj interporto, ĉifrado “hop-by-hop”, kaj en sia originala versio estas maltaŭga por uzo en distribuitaj retoj, do aperis ĝiaj proprietaj etendaĵoj, kiuj superas ĉi tiun limigon (kompreneble, pro kunfunkciebleco kun ekipaĵoj de aliaj fabrikantoj). Vere, en 2018, subteno por distribuitaj retoj estis aldonita al la normo 802.1ae, sed ankoraŭ ne ekzistas subteno por GOST-ĉifradaj algoritmo-aroj. Tial, proprietaj, ne-normaj L2-ĉifradaj protokoloj, kiel regulo, estas distingitaj per pli granda efikeco (precipe, pli malalta bendolarĝo supre) kaj fleksebleco (la kapablo ŝanĝi ĉifrajn algoritmojn kaj reĝimojn).

Je pli altaj niveloj (L3 kaj L4) estas agnoskitaj normoj, ĉefe IPsec kaj TLS, sed ankaŭ ĉi tie ĝi ne estas tiel simpla. La fakto estas, ke ĉiu el ĉi tiuj normoj estas aro da protokoloj, ĉiu kun malsamaj versioj kaj etendaĵoj postulataj aŭ laŭvolaj por efektivigo. Krome, iuj produktantoj preferas uzi siajn proprietajn ĉifradajn protokolojn sur L3/L4. Tial, en la plej multaj kazoj vi ne devus kalkuli je kompleta kunfunkciebleco, sed gravas, ke almenaŭ interago inter malsamaj modeloj kaj malsamaj generacioj de la sama fabrikanto estu certigita.

Fidindeco

Por kompari malsamajn solvojn, vi povas uzi aŭ averan tempon inter malsukcesoj aŭ havebleca faktoro. Se ĉi tiuj nombroj ne estas haveblaj (aŭ ekzistas neniu fido en ili), tiam kvalita komparo povas esti farita. Aparatoj kun oportuna administrado havos avantaĝon (malpli risko de agordaj eraroj), specialigitaj ĉifriloj (pro la sama kialo), same kiel solvojn kun minimuma tempo por detekti kaj forigi misfunkciadon, inkluzive de rimedoj de "varma" sekurkopio de tutaj nodoj kaj aparatoj.

kosto de

Se temas pri kosto, kiel kun la plej multaj IT-solvoj, estas senco kompari la totalkoston de posedo. Por kalkuli ĝin, vi ne devas reinventi la radon, sed uzi ajnan taŭgan metodaron (ekzemple, de Gartner) kaj ajnan kalkulilon (ekzemple, tiun, kiu jam estas uzata en la organizo por kalkuli TCO). Estas klare, ke por reto-ĉifrada solvo, la totalkosto de posedo konsistas el rekta kostoj de aĉeto aŭ luado de la solvo mem, infrastrukturo por gastigado de ekipaĵo kaj kostoj de deplojo, administrado kaj prizorgado (ĉu endome aŭ en formo de triaj servoj), same kiel nerekta kostoj de solvmalfunkcio (kaŭzata de perdo de finuzantproduktiveco). Estas verŝajne nur unu subtileco. La efika efiko de la solvo povas esti konsiderata laŭ malsamaj manieroj: aŭ kiel nerektajn kostojn kaŭzitajn de perdita produktiveco, aŭ kiel "virtualajn" rektajn kostojn de aĉetado/ĝisdatigado kaj konservado de retaj iloj kiuj kompensas la perdon de reto-efikeco pro la uzo de. ĉifrado. Ĉiukaze, elspezoj malfacile kalkuleblaj kun sufiĉa precizeco estas plej bone forlasitaj de la kalkulo: tiamaniere estos pli da fido pri la fina valoro. Kaj, kiel kutime, ĉiukaze havas sencon kompari malsamajn aparatojn per TCO por specifa scenaro de ilia uzo - reala aŭ tipa.

Forteco

Kaj la lasta karakterizaĵo estas la persisto de la solvo. Plejofte, fortikeco povas esti taksita nur kvalite komparante malsamajn solvojn. Ni devas memori, ke ĉifradaj aparatoj estas ne nur rimedo, sed ankaŭ objekto de protekto. Ili povas esti elmontritaj al diversaj minacoj. Ĉefe estas la minacoj de malobservo de konfidenco, reproduktado kaj modifo de mesaĝoj. Ĉi tiuj minacoj povas esti realigitaj per vundeblecoj de la ĉifro aŭ ĝiaj individuaj reĝimoj, per vundeblecoj en ĉifrado-protokoloj (inkluzive en la stadioj de establado de konekto kaj generado/distribuado de ŝlosiloj). La avantaĝo estos por solvoj, kiuj ebligas ŝanĝi la ĉifradan algoritmon aŭ ŝanĝi la ĉifrreĝimon (almenaŭ per firmware-ĝisdatigo), solvoj, kiuj provizas la plej kompletan ĉifradon, kaŝante de la atakanto ne nur uzantajn datumojn, sed ankaŭ adreson kaj aliajn servajn informojn. , kaj ankaŭ teknikajn solvojn, kiuj ne nur ĉifras, sed ankaŭ protektas mesaĝojn kontraŭ reproduktado kaj modifo. Por ĉiuj modernaj ĉifradaj algoritmoj, elektronikaj subskriboj, ŝlosilgenerado ktp., kiuj estas sanktigitaj en normoj, oni povas supozi ke la forto estas la sama (alie oni povas simple perdiĝi en la sovaĝejoj de kriptografio). Ĉu ĉi tiuj nepre estu GOST-algoritmoj? Ĉio ĉi tie estas simpla: se la aplikaĵo postulas FSB-atestadon por CIPF (kaj en Rusio tio plej ofte okazas; por la plej multaj retaj ĉifradaj scenaroj tio estas vera), tiam ni elektas nur inter atestitaj. Se ne, tiam ne utilas ekskludi aparatojn sen atestiloj de konsidero.

Alia minaco estas la minaco de hakado, neaŭtorizita aliro al aparatoj (inkluzive per fizika aliro ekster kaj ene de la kazo). La minaco povas esti efektivigita tra
vundeblecoj en efektivigo - en aparataro kaj kodo. Sekve, solvoj kun minimuma "ataka surfaco" per la reto, kun ĉemetaĵoj protektitaj kontraŭ fizika aliro (kun entrudiĝaj sensiloj, sonda protekto kaj aŭtomata restarigo de ŝlosilaj informoj kiam la ĉemetaĵo estas malfermita), same kiel tiuj, kiuj permesas firmware-ĝisdatigojn, havos avantaĝo en la okazo ke vundebleco en la kodo iĝas konata. Estas alia maniero: se ĉiuj komparitaj aparatoj havas FSB-atestilojn, tiam la CIPF-klaso, por kiu la atestilo estis eldonita, povas esti konsiderata kiel indikilo de rezisto al hakado.

Fine, alia speco de minaco estas eraroj dum aranĝo kaj funkciado, la homa faktoro en sia plej pura formo. Ĉi tio montras alian avantaĝon de specialigitaj ĉifriloj super konverĝaj solvoj, kiuj ofte celas spertajn "retajn specialistojn" kaj povas kaŭzi malfacilaĵojn por "ordinaraj", ĝeneralaj informsekurecaj specialistoj.

Resumante

Principe ĉi tie eblus proponi ian integran indikilon por kompari malsamajn aparatojn, ion similan

$$montro$$K_j=∑p_i r_{ij}$$montro$$

kie p estas la pezo de la indikilo, kaj r estas la rango de la aparato laŭ ĉi tiu indikilo, kaj iu ajn el la karakterizaĵoj listigitaj supre povas esti dividita en "atomajn" indikilojn. Tia formulo povus esti utila, ekzemple, kiam oni komparas licitajn proponojn laŭ antaŭinterkonsentitaj reguloj. Sed vi povas elteni per simpla tablo kiel

Характеристика
Aparato 1
Aparato 2
...
Aparato N

Larĝa de bando
+
+

+++

Superkostoj
+
++

+++

Prokrasto
+
+

++

Skalebleco
+++
+

+++

Fleksebleco
+++
++

+

Kunfunkciebleco
++
+

+

kongruo
++
++

+++

Simpleco kaj komforto
+
+

++

kulpo toleremo
+++
+++

++

kosto de
++
+++

+

Forteco
++
++

+++

Mi volonte respondos demandojn kaj konstruan kritikon.

fonto: www.habr.com

Aldoni komenton