ProHoster > Blog > Administrazioa > Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak

Berrikuspen hau (edo, nahiago baduzu, konparazio gida bat) idatzi nuen saltzaile ezberdinetako hainbat gailu alderatzeaz arduratu nintzenean. Gainera, gailu hauek klase ezberdinetakoak ziren. Gailu horien guztien arkitektura eta ezaugarriak ulertu eta konparaziorako "koordenatu-sistema" sortu behar izan nuen. Pozik egongo naiz nire iritziak norbaiti laguntzen badio:

  • Enkriptatzeko gailuen deskribapenak eta zehaztapenak ulertzea
  • "Paperaren" ezaugarriak bizitza errealean benetan garrantzitsuak direnetatik bereiztea
  • Saltzaileen ohiko multzotik haratago joan eta kontuan hartu arazoa konpontzeko egokiak diren produktuak
  • Egin galdera egokiak negoziazioetan
  • Lizitazio baldintzak (RFP) egin
  • Ulertzea zer ezaugarri sakrifikatu beharko diren gailu-eredu jakin bat hautatzen bada

Zer baloratu daiteke

Printzipioz, hurbilketa urruneko Ethernet segmentuen arteko sare-trafikoa enkriptatzeko egokia den edozein gailu autonomotan aplika daiteke (guneen arteko enkriptatzea). Hau da, "kutxak" kasu bereizi batean (ados, txasiserako blade/moduluak ere sartuko ditugu hemen), Ethernet ataka baten edo gehiagoren bidez konektatuta daudenak (kanpuseko) Ethernet sare lokal batera zifratu gabeko trafikoarekin eta bidez. kanalera/sarerako beste ataka bat, zeinaren bidez jada enkriptatutako trafikoa urruneko beste segmentu batzuetara transmititzen den. Enkriptazio-soluzio hori sare pribatu edo operadore batean heda daiteke "garraio" mota ezberdinen bidez (zuntz iluna, maiztasun-zatiketa ekipamendua, Ethernet kommutatua, baita "pseudowires" bideratze-arkitektura ezberdina duen sare baten bidez ezarrita, gehienetan MPLS. ), VPN teknologiarekin edo gabe.

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
Sarearen enkriptatzea Ethernet sare banatu batean

Gailuak beraiek bai izan daitezke espezializatua (enkriptatzeko soilik zuzenduta) edo funtzio anitzekoa (hibridoa, konbergentea), hau da, beste funtzio batzuk ere egitea (adibidez, suebakia edo bideratzailea). Saltzaile ezberdinek beren gailuak klase/kategoria desberdinetan sailkatzen dituzte, baina horrek ez du axola; garrantzitsu bakarra da guneen arteko trafikoa enkriptatu dezaketen ala ez eta zer ezaugarri dituzten.

Badaezpada, gogorarazten dizut “sare-enkriptatzea”, “trafiko-enkriptatzea”, “enkriptatzea” termino informalak direla, askotan erabiltzen diren arren. Seguruenik, ez dituzu Errusiako araudietan aurkituko (GOSTak sartzen dituztenak barne).

Zifratze-mailak eta transmisio-moduak

Ebaluaziorako erabiliko diren ezaugarriak deskribatzen hasi baino lehen, gauza garrantzitsu bat ulertu beharko dugu, hots, "zifratze-maila". Konturatu naiz sarritan aipatzen dela bai saltzaileen dokumentu ofizialetan (deskribapenetan, eskuliburuetan, etab.) bai eztabaida informaletan (negoziazioetan, entrenamenduetan). Hau da, badirudi denek ondo dakitela zertaz ari garen, baina nik pertsonalki nahasmen bat ikusi nuen.

Beraz, zer da "zifratze maila"? Argi dago enkriptatzea gertatzen den OSI/ISO erreferentzia-sarearen eredu-geruzaren kopuruari buruz ari garela. GOST R ISO 7498-2–99 irakurri dugu "Informazioaren teknologia. Sistema irekien interkonexioa. Oinarrizko erreferentzia-eredua. 2. zatia. Informazioaren segurtasunaren arkitektura”. Dokumentu honetatik uler daiteke konfidentzialtasun-zerbitzuaren maila (hornitzeko mekanismoetako bat enkriptatzea dena) protokoloaren maila dela, zerbitzuaren datu-blokea («karga, erabiltzaile-datuak») zifratuta dagoela. Arauan ere idatzita dagoenez, zerbitzua maila berean eman daiteke, "bere kabuz", eta maila baxuago baten laguntzarekin (hala da, adibidez, MACsec-en gehienetan inplementatzen dena) .

Praktikan, sare baten bidez enkriptatutako informazioa transmititzeko bi modu posible dira (IPsec segituan datorkit burura, baina beste protokoloetan ere modu berdinak aurkitzen dira). IN garraioa (batzuetan bertakoa ere deitzen zaio) modua zifratuta dago soilik zerbitzua datu-blokea, eta goiburuak "ireki" geratzen dira, zifratu gabe (batzuetan enkriptazio-algoritmoaren zerbitzu-informazioa duten eremu gehigarriak gehitzen dira eta beste eremu batzuk aldatzen eta birkalkulatzen dira). IN tunel modu berean guztiak protokoloa datu-blokea (hau da, paketea bera) maila bereko edo goragoko zerbitzu-datuen bloke batean enkriptatu eta kapsulatzen da, hau da, goiburu berriez inguratuta dago.

Zifratze-maila bera transmisio-modu batzuekin konbinatuta ez da ona ez txarra, beraz, ezin da esan, adibidez, garraio moduan L3 tunel moduan L2 baino hobea denik. Besterik gabe, gailuak ebaluatzeko ezaugarri asko horien araberakoak dira. Adibidez, malgutasuna eta bateragarritasuna. Garraio moduan L1 (bit-stream relay), L2 (frame-aldaketa) eta L3 (paketeen bideraketa) sare batean lan egiteko, maila berean edo handiagoan enkriptatzen duten soluzioak behar dituzu (bestela, helbidearen informazioa zifratu egingo da eta datuak nahi den helmugara iristen ez dena) eta tunel moduak muga hori gainditzen du (nahiz eta beste ezaugarri garrantzitsu batzuk sakrifikatu).

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
Garraio eta tunel L2 enkriptatzeko moduak

Orain, goazen ezaugarriak aztertzera.

produktibitatea

Sarearen enkriptatzeari dagokionez, errendimendua dimentsio anitzeko kontzeptu konplexua da. Gertatzen da eredu jakin bat, errendimendu-ezaugarri batean hobea den arren, beste batean txikiagoa dela. Hori dela eta, beti da komenigarria enkriptazio-errendimenduaren osagai guztiak eta sarearen eta hura erabiltzen duten aplikazioen errendimenduan duten eragina kontuan hartzea. Hemen kotxe batekin analogia bat marraz dezakegu, horretarako abiadura maximoa ez ezik, "ehunka" azelerazio-denbora ere garrantzitsua da, erregaiaren kontsumoa eta abar. Enpresek saltzaileek eta haien bezero potentzialek arreta handia jartzen diete errendimenduaren ezaugarriei. Oro har, enkriptatzeko gailuak saltzaileen lerroen errendimenduaren arabera sailkatzen dira.

Argi dago errendimendua gailuan egiten diren sareko eta kriptografiko eragiketen konplexutasunaren araberakoa dela (zeregin horiek paralelizatu eta kanalizatu daitezkeen ere bai), baita hardwarearen errendimenduaren eta firmwarearen kalitatearen araberakoa ere. Hori dela eta, modelo zaharragoek hardware produktiboagoa erabiltzen dute; batzuetan prozesadore eta memoria modulu osagarriekin hornitzea posible da. Funtzio kriptografikoak inplementatzeko hainbat ikuspegi daude: helburu orokorreko prozesatzeko unitate zentral batean (CPU), aplikazio-zirkuitu integratu espezifikoa (ASIC) edo eremuan programatzeko logikako zirkuitu integratu batean (FPGA). Planteamendu bakoitzak bere alde onak eta txarrak ditu. Adibidez, PUZa enkriptazio-botila bihur daiteke, batez ere prozesadoreak enkriptazio-algoritmoa onartzen duen argibide espezializaturik ez badu (edo erabiltzen ez badira). Txip espezializatuek malgutasun falta dute; beti ez da posible horiek "berriro" egin errendimendua hobetzeko, funtzio berriak gehitzeko edo ahultasunak kentzeko. Horrez gain, haien erabilera errentagarri bihurtzen da ekoizpen-bolumen handiekin soilik. Horregatik, "urrezko bitartekoa" hain ezaguna bihurtu da - FPGA erabiltzea (FPGA errusieraz). FPGAetan egiten dira kripto-azeleragailuak deiturikoak - eragiketa kriptografikoak laguntzeko hardware-modulu espezializatuak integratuak edo entxufagarriak.

buruz ari garenez sarea enkriptatzea, logikoa da konponbideen errendimendua sareko beste gailu batzuen kantitate berdinetan neurtzea: errendimendua, fotograma-galeren ehunekoa eta latentzia. Balio hauek RFC 1242-n definituta daude. Bide batez, RFC honetan askotan aipatzen den atzerapen-aldakuntzari buruz (jitter) ez da ezer idazten. Nola neurtu kantitate horiek? Ez dut aurkitu inongo estandarretan (ofizialak edo ez-ofizialak, esaterako, RFC) onartutako metodologiarik sarearen enkriptaziorako bereziki. Logikoa litzateke RFC 2544 estandarrean jasotako sareko gailuetarako metodologia erabiltzea. Saltzaile askok jarraitzen dute - askok, baina ez guztiek. Esaterako, probako trafikoa bi norabide bakarrean bidaltzen dute, adibidez gomendagarria estandarra. Dena den.

Sare enkriptatzeko gailuen errendimendua neurtzeak bere ezaugarriak ditu oraindik. Lehenik eta behin, zuzena da gailu pare baterako neurketa guztiak egitea: enkriptazio-algoritmoak simetrikoak diren arren, enkriptatutako eta deszifratzean atzerapenak eta pakete-galerak ez dira zertan berdinak izango. Bigarrenik, zentzuzkoa da delta neurtzea, sarearen zifraketak sarearen azken errendimenduan duen eragina, bi konfigurazio alderatuz: enkriptazio-gailurik gabe eta haiekin. Edo, gailu hibridoekin gertatzen den bezala, sareko enkriptatzeaz gain hainbat funtzio konbinatzen dituztenak, enkriptatzea itzalita eta piztuta. Eragin hori desberdina izan daiteke eta enkriptazio-gailuen konexio-eskemaren, funtzionamendu-moduen eta, azkenik, trafikoaren izaeraren araberakoa izan daiteke. Bereziki, errendimendu-parametro asko paketeen luzeraren araberakoak dira, horregatik, soluzio ezberdinen errendimendua alderatzeko, paketeen luzeraren araberako parametro horien grafikoak erabili ohi dira, edo IMIX erabiltzen da - trafikoaren banaketa paketeen arabera. luzerak, gutxi gorabehera benetakoa islatzen duena. Oinarrizko konfigurazio bera enkriptatu gabe konparatzen badugu, desberdin inplementatutako sareko enkriptazio irtenbideak aldera ditzakegu desberdintasun hauetan sartu gabe: L2 L3-rekin, store-and-forward ) cut-through-arekin, konbergentearekin espezializatua, GOST AES-ekin eta abar.

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
Errendimendu-probak egiteko konexio-diagrama

Jendeak arreta jartzen dion lehen ezaugarria enkriptazio-gailuaren “abiadura” da, hau da banda zabalera (banda zabalera) bere sareko interfazeen, bit-fluxua. Interfazeek onartzen dituzten sare estandarrek zehazten dute. Etherneterako, ohiko zenbakiak 1 Gbps eta 10 Gbps dira. Baina, dakigunez, edozein saretan gehienez teorikoa errendimendua (erritmoa) bere maila bakoitzean beti dago banda-zabalera gutxiago: banda-zabaleraren zati bat "jaten" da fotograma arteko tarteak, zerbitzu-goiburuak eta abar. Gailu bat sare-interfazearen abiadura osoan trafikoa jasotzeko, prozesatzeko (gure kasuan, enkriptatzeko edo deszifratzeko) eta transmititzeko gai bada, hau da, sare-ereduaren maila honetarako gehienezko errendimendu teorikoarekin, orduan esaten da. lanean aritzea lerroaren abiaduran. Horretarako, beharrezkoa da gailuak edozein tamainatako eta maiztasuneko paketeak ez galtzea edo baztertzea. Zifratze-gailuak lineako abiaduran funtzionatzea onartzen ez badu, bere gehienezko errendimendua segundoko gigabit berdinetan zehaztu ohi da (batzuetan paketeen luzera adieraziz - zenbat eta laburragoak izan, orduan eta txikiagoa izan ohi da). Oso garrantzitsua da ulertzea errendimendu maximoa maximoa dela galerarik ez (nahiz eta gailuak abiadura handiagoz "pupa dezake" trafikoa berez, baina aldi berean pakete batzuk galduz). Gainera, kontuan izan hornitzaile batzuek ataka-pare guztien arteko erabateko errendimendua neurtzen dutela, beraz, zenbaki hauek ez dute asko esan nahi enkriptatutako trafiko guztia ataka bakar batetik igarotzen bada.

Non da bereziki garrantzitsua lineako abiaduran jardutea (edo, beste era batera esanda, paketerik galdu gabe)? Banda-zabalera handiko eta latentzia handiko esteketan (satelitea adibidez), non TCP leiho-tamaina handia ezarri behar den transmisio-abiadura handiak mantentzeko eta paketeen galerak sarearen errendimendua nabarmen murrizten duen.

Baina banda-zabalera guztia ez da erabiltzen datu erabilgarriak transferitzeko. Deitutakoarekin kontutan hartu behar dugu gastu orokorrak (gaineko) banda zabalera. Hau da enkriptatze-gailuaren errendimenduaren zatia (pakete bakoitzeko ehuneko edo byte gisa) benetan alferrik galtzen dena (ezin da aplikazioaren datuak transferitzeko erabili). Kostu orokorrak sortzen dira, lehenik, sare-pakete zifratuetan datu-eremuaren tamaina (gehitzea, "betetzea") handitzearen ondorioz (zifratze-algoritmoaren eta bere funtzionamendu-moduaren arabera). Bigarrenik, paketeen goiburuen luzera handitu denez (tunel modua, enkriptazio-protokoloaren zerbitzua txertatzea, simulazio-txertatzea, etab. zifratuaren eta transmisio-moduaren funtzionamendu-moduaren eta protokoloaren arabera) - normalean kostu hauek dira. esanguratsuenak, eta arreta jartzen dute lehenik. Hirugarrenik, datu-unitateen gehienezko tamaina (MTU) gainditzen denean paketeen zatiketa dela eta (sarea gai bada MTUa gainditzen duen pakete bat bitan zatitzeko, bere goiburuak bikoiztuz). Laugarrenik, enkriptatze-gailuen arteko sarean zerbitzu (kontrol) trafiko gehigarria agertzeagatik (giltzak trukatzeko, tunelaren instalaziorako, etab.). Gastu txikia garrantzitsua da kanalaren edukiera mugatua dagoen tokietan. Hori bereziki nabaria da pakete txikien trafikoan, adibidez, ahotsean, non gainkostuek kanalaren abiaduraren erdia baino gehiago "jan dezaketen"!

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
throughput

Azkenik, gehiago dago atzerapena sartu zuen – sareko atzerapenaren aldea (segundo zatitan) (sarean sartzetik irtetera datuak igarotzeko behar den denbora) datuen transmisioaren artean sare enkriptatu gabe eta enkriptatutakoarekin. Orokorrean, sarearen latentzia ("latentzia") zenbat eta txikiagoa izan, orduan eta kritikoagoa izango da enkriptatze-gailuek sartutako latentzia. Atzerapena enkriptatze-eragiketak berak sartzen du (zifratze-algoritmoaren, blokearen luzeraren eta zifraketaren funtzionamendu-moduaren arabera, baita softwarean ezartzearen kalitatearen arabera), eta sare-paketearen prozesamendua gailuan. . Sartutako latentzia paketeen prozesatzeko moduaren (pass-through edo biltegiratzeko eta aurreratzeko) eta plataformaren errendimenduaren araberakoa da (hardwarearen ezarpena FPGA edo ASIC batean, oro har, PUZ batean softwarearen inplementazioa baino azkarragoa da). L2 enkriptatzea ia beti L3 edo L4 enkriptatzea baino latentzia txikiagoa du, L3/L4 enkriptatzeko gailuak sarritan bat egiten dutelako. Esate baterako, FPGAetan inplementatutako Ethernet abiadura handiko enkriptatzaileekin eta L2n enkriptatzen dutenez, enkriptazio-eragiketaren ondoriozko atzerapena oso txikia da - batzuetan enkriptatzea gailu pare batean gaituta dagoenean, horiek sartutako atzerapen osoa ere gutxitzen da! Latentzia baxua garrantzitsua da kanalen atzerapen orokorrarekin alderatzen denean, hedapen-atzerapena barne, gutxi gorabehera 5 μs kilometro bakoitzeko. Hau da, esan dezakegu hiri-eskalako sareetarako (hamarka kilometroko zabalera) mikrosegundoek asko erabaki dezaketela. Adibidez, datu-baseen erreplikazio sinkronorako, maiztasun handiko merkataritzarako, bloke-kate bera.

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
Sartutako atzerapena

Eskalagarritasuna

Banatutako sare handiek milaka nodo eta sare gailu izan ditzakete, sare lokaleko ehunka segmentu. Garrantzitsua da enkriptazio-soluzioek murrizketa gehigarririk ez jartzea banatutako sarearen tamainan eta topologian. Hau ostalari eta sare-helbideen gehienezko kopuruari aplikatzen zaio batez ere. Muga horiek aurki daitezke, adibidez, puntu anitzeko enkriptatutako sarearen topologia (konexio seguru independenteekin edo tunelekin) edo enkriptazio selektiboa (adibidez, protokolo-zenbakiaren edo VLANaren arabera) ezartzean. Kasu honetan sare-helbideak (MAC, IP, VLAN ID) errenkada kopurua mugatua den taula batean gako gisa erabiltzen badira, orduan murrizketa hauek hemen agertzen dira.

Horrez gain, sare handiek sarritan hainbat egitura-geruza izaten dituzte, sarea barne, bakoitzak bere helbide-eskema eta bideratze-politika propioa ezartzen dituena. Ikuspegi hori ezartzeko, marko formatu bereziak (adibidez, Q-in-Q edo MAC-in-MAC) eta ibilbideak zehazteko protokoloak erabiltzen dira. Horrelako sareen eraikuntza ez oztopatzeko, enkriptazio-gailuek modu egokian kudeatu behar dituzte fotograma horiek (hau da, zentzu honetan, eskalagarritasunak bateragarritasuna ekarriko du - behean gehiago).

malgutasuna

Hemen hainbat konfigurazio, konexio-eskema, topologia eta beste gauza batzuen laguntzari buruz ari gara. Esate baterako, Carrier Ethernet teknologietan oinarritutako sare kommutatuetarako, horrek konexio birtual mota ezberdinetarako (E-Line, E-LAN, E-Tree), zerbitzu mota desberdinak (portuaren zein VLANen arabera) eta garraio teknologia desberdinetarako laguntza esan nahi du. (dagoeneko zerrendatuta daude). Hau da, gailuak modu linealean («puntutik puntu») zein puntu anitzeko moduan funtzionatzeko gai izan behar du, VLAN ezberdinetarako tunel bereiziak ezarri eta paketeak ordenaz kanpo bidaltzeko aukera eman behar du kanal seguru baten barruan. Zifratze-modu desberdinak (edukiaren autentifikazioarekin edo gabe) eta paketeen transmisio-modu desberdinak hautatzeko gaitasunak indarraren eta errendimenduaren arteko oreka lortzeko aukera ematen du egungo baldintzen arabera.

Garrantzitsua da, halaber, bai sare pribatuak, zeinen ekipoak erakunde baten jabetzakoak diren (edo hari alokatuta), bai operadoreen sareak, zeinen segmentu desberdinak enpresa ezberdinek kudeatzen dituztenak. Ona da irtenbideak barnean zein hirugarren baten kudeaketa ahalbidetzen badu (kudeatutako zerbitzu eredua erabiliz). Operadore-sareetan, beste funtzio garrantzitsu bat maizter anitzeko euskarria da (bezero desberdinek partekatzea) bezero indibidualen (harpidedunen) isolamendu kriptografikoan, zeinen trafikoa enkriptatze-gailuen multzo beretik igarotzen den. Horrek normalean bezero bakoitzarentzat gako eta ziurtagiri multzo bereiziak erabiltzea eskatzen du.

Gailu bat agertoki zehatz baterako erosten bada, baliteke eginbide hauek guztiak ez izatea oso garrantzitsuak - gailuak orain behar duzuna onartzen duela ziurtatu behar duzu. Baina irtenbide bat "hazteko", etorkizuneko agertokiei laguntzeko eta "estandar korporatibo" gisa aukeratzen bada, malgutasuna ez da soberan izango, batez ere saltzaile ezberdinen gailuen elkarreragingarritasunaren murrizketak kontuan hartuta ( honetaz gehiago behean).

Soiltasuna eta erosotasuna

Zerbitzu-erraztasuna faktore anitzeko kontzeptua ere bada. Gutxi gorabehera, hauxe dela esan dezakegu titulazio jakin bateko espezialistek bere bizi-zikloaren fase desberdinetan konponbide bat laguntzeko behar duten denbora osoa dela. Kosturik ez badago eta instalazioa, konfigurazioa eta funtzionamendua guztiz automatikoak badira, orduan kostuak zero dira eta erosotasuna erabatekoa da. Jakina, hau ez da mundu errealean gertatzen. Arrazoizko hurbilketa eredu bat da "korapiloa hari batean" (bump-in-the-wire) edo konexio gardena, zeinetan enkriptatzeko gailuak gehitzeak eta desgaitzeak sarearen konfigurazioan eskuzko edo automatikoki aldaketarik behar ez duen. Aldi berean, irtenbidea mantentzea errazten da: enkriptazio funtzioa segurtasunez aktibatu eta desaktibatu dezakezu, eta beharrezkoa izanez gero, sareko kable batekin gailua "saihestu" besterik ez duzu (hau da, zuzenean konektatu sareko ekipoen ataka horiek. konektatuta zegoen). Egia da, eragozpen bat dago: erasotzaileak gauza bera egin dezake. "Kanbre batean nodoa" printzipioa ezartzeko, trafikoa ez ezik, kontuan hartu behar da datu-geruzaBaina kontrol eta kudeaketa geruzak – gailuek gardenak izan behar dute. Hori dela eta, trafiko hori zifratze-gailuen artean sarean trafiko mota horien hartzailerik ez dagoenean soilik enkriptatu daiteke, izan ere, baztertu edo enkriptatzen bada, orduan enkriptatzea gaitu edo desgaitzen duzunean, sarearen konfigurazioa alda daiteke. Zifratze-gailua ere gardena izan daiteke geruza fisikoaren seinaleztapenerako. Bereziki, seinale bat galtzen denean, galera hori (hau da, bere igorleak itzali) aurrera eta atzera (“beretzat”) transmititu behar du seinalearen norabidean.

Garrantzitsua da informazioaren segurtasunaren eta informatikako departamentuen arteko aginte banaketaren laguntza, bereziki sareko sailarena. Zifratze-soluzioak erakundearen sarbide-kontrola eta auditoria-eredua onartu behar du. Ohiko eragiketak egiteko sail ezberdinen arteko elkarrekintza-beharra gutxitu egin behar da. Hori dela eta, abantaila bat dago erosotasunari dagokionez enkriptazio funtzioak soilik onartzen dituzten eta sareko eragiketetarako ahalik eta gardenenak diren gailu espezializatuentzat. Besterik gabe, informazioaren segurtasuneko langileek ez lukete arrazoirik izan behar "sareko espezialistekin" harremanetan jartzeko sarearen ezarpenak aldatzeko. Eta horiek, aldi berean, ez lukete enkriptatze-ezarpenak aldatzeko beharrik izan behar sarea mantentzen.

Beste faktore bat kontrolen gaitasunak eta erosotasuna da. Ikusmenezkoak, logikoak izan behar dute, ezarpenen inportazio-esportazioa, automatizazioa, etab. Berehala erreparatu beharko zenioke zein kudeaketa-aukera dauden eskuragarri (normalean bere kudeaketa-ingurunea, web-interfazea eta komando-lerroa) eta haietako bakoitzak zer funtzio-multzo dituen (mugak daude). Funtzio garrantzitsu bat laguntza da bandaz kanpo (bandatik kanpo) kontrola, hau da, kontrol sare dedikatu baten bidez, eta bandan (bandan) kontrola, hau da, trafiko erabilgarria transmititzen den sare komun baten bidez. Kudeaketa tresnek egoera anormal guztiak adierazi behar dituzte, informazioaren segurtasuneko gorabeherak barne. Eragiketa arruntak eta errepikakorrak automatikoki egin behar dira. Hori nagusiki gakoen kudeaketari dagokio. Automatikoki sortu/banatu behar dira. PKI laguntza abantaila handia da.

Compatibility

Hau da, gailuaren bateragarritasuna sareko estandarrekin. Gainera, horrek esan nahi du IEEE bezalako erakunde autoritarioek onartutako estandar industrialak ez ezik, industriako liderren jabedun protokoloak ere, hala nola Ciscok. Bateragarritasuna bermatzeko bi bide nagusi daude: ala bidez gardentasuna, edo bidez laguntza esplizitua protokoloak (zifratze-gailu bat protokolo jakin baterako sare-nodoetako bat bihurtzen denean eta protokolo horren kontrol-trafikoa prozesatzen duenean). Sareekiko bateragarritasuna kontrol-protokoloen ezarpenaren osotasunaren eta zuzentasunaren araberakoa da. Garrantzitsua da aukera desberdinak onartzea PHY mailarako (abiadura, transmisio-euskarria, kodetze-eskema), formatu ezberdinetako Ethernet fotogramak edozein MTUrekin, L3 zerbitzu-protokolo desberdinak (batez ere TCP/IP familia).

Gardentasuna bermatzen da mutazio-mekanismoen bidez (zifratzaileen arteko trafikoan goiburu irekien edukia aldi baterako aldatzea), saltea (pakete indibidualak zifratu gabe geratzen direnean) eta zifraketaren hasierako koska (normalean enkriptatutako paketeen eremuak zifratzen ez direnean).

Nola ebaluatu eta alderatu Ethernet enkriptatzeko gailuak
Nola bermatzen den gardentasuna

Hori dela eta, egiaztatu beti zehatz-mehatz nola ematen den protokolo jakin baterako laguntza. Askotan modu gardenean laguntza erosoagoa eta fidagarriagoa da.

Elkarreragingarritasuna

Hori ere bateragarritasuna da, baina beste zentzu batean, hau da, enkriptazio-gailuen beste modelo batzuekin batera lan egiteko gaitasuna, beste fabrikatzaile batzuenak barne. Zifratze-protokoloen estandarizazioaren egoeraren araberakoa da asko. L1-n ez dago orokorrean onartutako enkriptatze-estandarrik.

Ethernet sareetan L2 enkriptatzeko 802.1ae (MACsec) estandar bat dago, baina ez du erabiltzen muturreraino (muturretik muturrera), eta interportatu, “hop-by-hop” enkriptatzea, eta bere jatorrizko bertsioan desegokia da sare banatuetan erabiltzeko, beraz, muga hori gainditzen duten bere jabedun luzapenak agertu dira (noski, beste fabrikatzaile batzuen ekipoekin elkarreragingarritasunagatik). Egia da, 2018an, sare banatuentzako euskarria gehitu zitzaion 802.1ae estandarrari, baina oraindik ez dago GOST enkriptazio algoritmoen multzoetarako laguntzarik. Hori dela eta, L2 enkriptazio-protokolo ez-estandarrak, oro har, eraginkortasun handiagoa (bereziki, banda-zabalera txikiagoa) eta malgutasuna (zifratze algoritmoak eta moduak aldatzeko gaitasuna) bereizten dira.

Maila altuagoetan (L3 eta L4) estandar aitortuak daude, batez ere IPsec eta TLS, baina hemen ere ez da hain erraza. Kontua da estandar horietako bakoitza protokolo multzo bat dela, bakoitza inplementatzeko beharrezkoak edo aukerakoak diren bertsio eta luzapen desberdinak dituela. Horrez gain, fabrikatzaile batzuek nahiago dute beren enkriptazio-protokoloak L3/L4-n erabiltzea. Hori dela eta, kasu gehienetan ez duzu elkarreragingarritasun osoarekin kontatu behar, baina garrantzitsua da gutxienez eredu ezberdinen eta fabrikatzaile beraren belaunaldi ezberdinen arteko elkarrekintza bermatzea.

Fidagarritasuna

Irtenbide desberdinak alderatzeko, hutsegiteen arteko batez besteko denbora edo erabilgarritasun faktorea erabil dezakezu. Zenbaki hauek eskuragarri ez badira (edo ez badago haiengan konfiantzarik), konparazio kualitatiboa egin daiteke. Kudeaketa erosoa duten gailuek abantaila bat izango dute (konfigurazio-erroreak izateko arrisku txikiagoa), enkriptazio espezializatuak (arrazoi beragatik), baita hutsegite bat detektatzeko eta ezabatzeko denbora gutxieneko soluzioak ere, nodo osoen babeskopia "beroak" egiteko bitartekoak barne. gailuak.

Kostua

Kostuari dagokionez, IT soluzio gehienetan bezala, zentzuzkoa da jabetza-kostu osoa konparatzea. Hori kalkulatzeko, ez duzu gurpila berrasmatu behar, baizik eta edozein metodologia egoki erabili (adibidez, Gartner-ena) eta edozein kalkulagailu (adibidez, erakundean TCO kalkulatzeko erabiltzen dena). Argi dago sareko enkriptazio-soluzio baterako, jabetza-kostu osoa dela zuzena Irtenbidea bera erosteko edo alokatzeko kostuak, ekipamenduak ostatatzeko azpiegiturak eta hedapen, administrazio eta mantentze-kostuak (bernekoak edo hirugarrenen zerbitzuen moduan), baita ere. zeharkakoa konponbidearen geldialdiaren kostuak (azken erabiltzailearen produktibitatea galtzeak eragindakoa). Seguruenik, sotiltasun bakarra dago. Soluzioaren errendimenduan eragina hainbat modutara har daiteke: bai produktibitatearen galerak eragindako zeharkako kostu gisa, bai sareko errendimenduaren galera konpentsatzen duten sareko tresnak erosteko/berritzeko eta mantentzeko kostu zuzen “birtual gisa”. enkriptatzea. Nolanahi ere, zehaztasun nahikoarekin kalkulatzen zailak diren gastuak kalkulutik kanpo uztea hobe da: horrela konfiantza handiagoa izango da azken balioan. Eta, ohikoa denez, edozein kasutan, zentzuzkoa da TCOren bidez gailu desberdinak alderatzea haien erabileraren eszenatoki zehatz baterako - benetakoa edo tipikoa.

Sendotasuna

Eta azken ezaugarria irtenbidearen iraunkortasuna da. Kasu gehienetan, iraunkortasuna kualitatiboki soilik ebaluatu daiteke soluzio desberdinak alderatuz. Gogoratu behar dugu enkriptatzeko gailuak baliabide bat ez ezik, babes-objektu bat ere direla. Hainbat mehatxuren eraginpean egon daitezke. Abangoardian konfidentzialtasuna urratzeko, mezuen erreprodukzioa eta aldaketaren mehatxuak daude. Mehatxu hauek zifratuaren edo bere modu indibidualaren ahultasunen bidez gauzatu daitezke, enkriptazio-protokoloetako ahultasunen bidez (konexio bat ezartzeko eta gakoak sortzeko/banatzeko etapetan barne). Abantaila zifratze-algoritmoa aldatzea edo zifratze-modua aldatzea ahalbidetzen duten soluzioetarako izango da (gutxienez firmware-eguneratze baten bidez), zifratzerik osatuena eskaintzen duten soluzioetarako, erasotzaileari erabiltzaileen datuak ez ezik, helbidea eta beste zerbitzu-informazioa ere ezkutatzea. , baita mezuak enkriptatzeaz gain, erreprodukziotik eta aldaketetatik babesten dituzten irtenbide teknikoak ere. Estandarretan jasota dauden enkriptazio-algoritmo, sinadura elektroniko, gakoen sorkuntza eta abar moderno guztietarako, indarra berdina dela suposa daiteke (bestela kriptografiaren basatian galdu zaitezke). Hauek nahitaez GOST algoritmoak izan behar al dira? Hemen dena erraza da: aplikazioaren eszenatokiak CIPF-rako FSB ziurtagiria eskatzen badu (eta Errusian hori gertatzen da gehienetan; sareko enkriptazio agertoki gehienetarako hori egia da), orduan ziurtagirien artean bakarrik aukeratzen dugu. Hala ez bada, ez du balio ziurtagiririk gabeko gailuak kontuan hartzeak.

Beste mehatxu bat pirateatzeko mehatxua da, gailuetarako baimenik gabeko sarbidea (barne zorroaren kanpoan eta barruan sarbide fisikoaren bidez). Mehatxua bidez gauzatu daiteke
ahultasunak inplementazioan - hardwarean eta kodean. Hori dela eta, sarearen bidezko “eraso-azalera” minimoa duten soluzioek, sarbide fisikotik babestutako itxiturak (sartze-sentsoreekin, zundaketa babesarekin eta itxitura irekitzean gako-informazioaren berrezartze automatikoarekin), baita firmware eguneratzea ahalbidetzen dutenek ere, izango dute. abantaila bat kodean ahultasun bat ezagutzen bada. Bada beste modu bat: konparatzen ari diren gailu guztiek FSB ziurtagiriak badituzte, orduan ziurtagiria eman den CIPF klasea hacking-aren aurkako erresistentzia adierazletzat har daiteke.

Azkenik, beste mehatxu mota bat konfigurazioan eta funtzionamenduan gertatzen diren akatsak dira, giza faktorea bere hutsunean. Honek enkriptazio espezializatuen beste abantaila bat erakusten du konbergetutako soluzioen aldean, askotan "sare-espezialisti" onduei zuzenduta daudenak eta zailtasunak sor ditzakete informazio-segurtasun orokorreko espezialista "ohikoentzat".

Laburbilduz

Printzipioz, hemen gailu desberdinak alderatzeko adierazle integral bat proposatzea posible izango litzateke, antzeko zerbait

$$pantaila$$K_j=∑p_i r_{ij}$$pantaila$$

non p adierazlearen pisua den, eta r adierazle honen arabera gailuaren heina, eta goian zerrendatutako ezaugarrietako edozein adierazle "atomiko"tan bana daiteke. Formula hori baliagarria izan liteke, adibidez, lizitazio proposamenak aurrez adostutako arauen arabera alderatzean. Baina horrelako mahai soil batekin atera zaitezke

Karakterizazioa
Gailua 1
Gailua 2
...
Gailua N

throughput
+
+

+ + +

Gastuak
+
++

+ + +

atzerapenik
+
+

++

Eskalagarritasuna
+ + +
+

+ + +

malgutasuna
+ + +
++

+

Elkarreragingarritasuna
++
+

+

Compatibility
++
++

+ + +

Soiltasuna eta erosotasuna
+
+

++

akatsen tolerantzia
+ + +
+ + +

++

Kostua
++
+ + +

+

Sendotasuna
++
++

+ + +

Pozik erantzungo ditut galderak eta kritika eraikitzaileak.

Iturria: www.habr.com

Gehitu iruzkin berria