ProHoster > Blogi > antaminen > Ethernet-salauslaitteiden arvioiminen ja vertailu

Ethernet-salauslaitteiden arvioiminen ja vertailu

Kirjoitin tämän arvostelun (tai halutessasi vertailuoppaan), kun sain tehtäväksi vertailla useita eri valmistajien laitteita. Lisäksi nämä laitteet kuuluivat eri luokkiin. Minun piti ymmärtää kaikkien näiden laitteiden arkkitehtuuri ja ominaisuudet ja luoda "koordinaattijärjestelmä" vertailua varten. Olen iloinen, jos arvosteluni auttaa jotakuta:

  • Ymmärrä salauslaitteiden kuvaukset ja tekniset tiedot
  • Erota "paperin" ominaisuudet niistä, jotka ovat todella tärkeitä tosielämässä
  • Mene tavanomaisen toimittajajoukon ulkopuolelle ja ota huomioon kaikki tuotteet, jotka sopivat ongelman ratkaisemiseen
  • Esitä oikeat kysymykset neuvottelujen aikana
  • Valmistele tarjousvaatimukset (RFP)
  • Ymmärrä, mitkä ominaisuudet on uhrattava, jos valitaan tietty laitemalli

Mitä voidaan arvioida

Periaatteessa lähestymistapaa voidaan soveltaa kaikkiin itsenäisiin laitteisiin, jotka soveltuvat verkkoliikenteen salaamiseen Ethernet-etäsegmenttien välillä (cross-site cryption). Toisin sanoen "laatikot" erillisessä kotelossa (okei, sisällytämme tähän myös rungon teriä/moduuleja), jotka on yhdistetty yhden tai useamman Ethernet-portin kautta paikalliseen (kampuksen) Ethernet-verkkoon, jossa on salaamaton liikenne, ja toiset portit kanavaan/verkkoon, joiden kautta jo salattu liikenne välitetään muihin etäsegmentteihin. Tällaista salausratkaisua voidaan ottaa käyttöön yksityisessä tai operaattoriverkossa erilaisten "kuljetusten" kautta (pimeä kuitu, taajuusjakolaitteet, kytketty Ethernet sekä "pseudowires" verkon kautta, jossa on erilainen reititysarkkitehtuuri, useimmiten MPLS ), VPN-tekniikalla tai ilman.

Ethernet-salauslaitteiden arvioiminen ja vertailu
Verkon salaus hajautetussa Ethernet-verkossa

Itse laitteet voivat olla joko erikoistunut (tarkoitettu yksinomaan salaukseen) tai monikäyttöinen (hybridi, lähentyvä), eli suorittaa myös muita toimintoja (esimerkiksi palomuuri tai reititin). Eri toimittajat luokittelevat laitteensa eri luokkiin/kategorioihin, mutta tällä ei ole väliä - ainoa tärkeä asia on, pystyvätkö he salaamaan sivustojen välisen liikenteen ja mitä ominaisuuksia niillä on.

Varmuuden vuoksi muistutan, että "verkon salaus", "liikenteen salaus", "salaaja" ovat epävirallisia termejä, vaikka niitä usein käytetäänkin. Et todennäköisesti löydä niitä Venäjän säännöksistä (mukaan lukien ne, jotka ottavat käyttöön GOST:t).

Salaustasot ja lähetystavat

Ennen kuin alamme kuvaamaan itse arvioinnissa käytettäviä ominaisuuksia, meidän on ensin ymmärrettävä yksi tärkeä asia, nimittäin "salaustaso". Huomasin, että se mainitaan usein sekä virallisissa myyjäasiakirjoissa (kuvauksissa, käsikirjoissa jne.) että epävirallisissa keskusteluissa (neuvotteluissa, koulutuksissa). Toisin sanoen kaikki näyttävät tietävän erittäin hyvin, mistä puhumme, mutta olen henkilökohtaisesti todistamassa hämmennystä.

Joten mikä on "salaustaso"? On selvää, että puhumme sen OSI/ISO-viiteverkkomallikerroksen numerosta, jossa salaus tapahtuu. Luemme GOST R ISO 7498-2–99 ”Tietotekniikka. Avointen järjestelmien yhteenliittäminen. Perusreferenssimalli. Osa 2. Tietoturva-arkkitehtuuri. Tästä asiakirjasta voidaan ymmärtää, että luottamuksellisuuspalvelun taso (yksi tarjoamisen mekanismeista on salaus) on sen protokollan taso, jonka palvelutietolohko ("hyötykuorma", käyttäjätiedot) on salattu. Kuten myös standardissa on kirjoitettu, palvelu voidaan tarjota sekä samalla tasolla, "itsenä" että alemman tason avulla (näin se toteutetaan useimmiten esimerkiksi MACsecissä) .

Käytännössä kaksi tapaa siirtää salattua tietoa verkon yli on mahdollista (IPsec tulee heti mieleen, mutta samat tilat löytyvät myös muista protokollista). SISÄÄN kuljetus (kutsutaan joskus myös alkuperäiseksi) tila on vain salattu palvelua tietolohko, ja otsikot pysyvät "avoimina", salaamattomina (joskus lisätään kenttiä, joissa on salausalgoritmin palvelutiedot, ja muita kenttiä muokataan ja lasketaan uudelleen). SISÄÄN tunneli kaikki sama tila protokollaa datalohko (eli itse paketti) salataan ja kapseloidaan saman tai korkeamman tason palveludatalohkoon, eli sitä ympäröivät uudet otsikot.

Itse salaustaso yhdessä jonkin siirtotavan kanssa ei ole hyvä eikä huono, joten ei voida esimerkiksi sanoa, että L3 kuljetustilassa olisi parempi kuin L2 tunnelitilassa. Monet ominaisuudet, joilla laitteita arvioidaan, riippuvat vain niistä. Esimerkiksi joustavuus ja yhteensopivuus. Toimiaksesi verkossa L1 (bittivirran välitys), L2 (kehyskytkentä) ja L3 (pakettireititys) siirtotilassa, tarvitset ratkaisuja, jotka salaavat samalla tai korkeammalla tasolla (muuten osoitetiedot salataan ja tiedot ei saavuta aiottuun määränpäähän), ja tunnelitila voittaa tämän rajoituksen (tosin uhraamalla muut tärkeät ominaisuudet).

Ethernet-salauslaitteiden arvioiminen ja vertailu
Kuljetus- ja tunneli L2 -salaustilat

Siirrytään nyt ominaisuuksien analysointiin.

Suorituskyky

Verkkosalauksessa suorituskyky on monimutkainen, moniulotteinen käsite. Tapahtuu, että tietty malli, vaikka se on ylivoimainen yhden suorituskyvyn suhteen, on huonompi toisessa. Siksi on aina hyödyllistä ottaa huomioon kaikki salauksen suorituskyvyn komponentit ja niiden vaikutus verkon ja sitä käyttävien sovellusten suorituskykyyn. Täällä voimme vetää analogian autoon, jolle ei ole tärkeää vain enimmäisnopeus, vaan myös kiihtyvyys "satoihin", polttoaineenkulutus ja niin edelleen. Myyjäyritykset ja niiden potentiaaliset asiakkaat kiinnittävät suurta huomiota suorituskykyominaisuuksiin. Pääsääntöisesti salauslaitteet luokitellaan toimittajalinjojen suorituskyvyn perusteella.

On selvää, että suorituskyky riippuu sekä laitteella suoritettavien verkko- ja kryptografisten toimintojen monimutkaisuudesta (mukaan lukien se, kuinka hyvin nämä tehtävät voidaan rinnastaa ja putkittaa), sekä laitteiston suorituskyvystä ja laiteohjelmiston laadusta. Siksi vanhemmat mallit käyttävät tuottavampaa laitteistoa; joskus on mahdollista varustaa se lisäprosessoreilla ja muistimoduuleilla. Salaustoimintojen toteuttamiseen on useita lähestymistapoja: yleiskäyttöisessä keskusyksikössä (CPU), sovelluskohtaisessa integroidussa piirissä (ASIC) tai kenttäohjelmoitavassa integroidussa logiikkapiirissä (FPGA). Jokaisella lähestymistavalla on hyvät ja huonot puolensa. Esimerkiksi CPU:sta voi muodostua salauksen pullonkaula, varsinkin jos prosessorilla ei ole salausalgoritmia tukevia erikoisohjeita (tai jos niitä ei käytetä). Erikoistuneilta siruilta puuttuu joustavuus; niitä ei aina ole mahdollista "päivittää" suorituskyvyn parantamiseksi, uusien toimintojen lisäämiseksi tai haavoittuvuuksien poistamiseksi. Lisäksi niiden käytöstä tulee kannattavaa vain suurilla tuotantomäärillä. Siksi "kultaisesta keskiarvosta" on tullut niin suosittu - FPGA: n (venäjäksi FPGA) käyttö. Juuri FPGA:lla valmistetaan niin sanottuja kryptokiihdyttimiä - sisäänrakennettuja tai plug-in erikoistuneita laitteistomoduuleja kryptografisten toimintojen tukemiseksi.

Koska puhumme verkkoon salausta, on loogista, että ratkaisujen suorituskykyä tulisi mitata samoissa määrissä kuin muiden verkkolaitteiden - suorituskyvyn, kehyshäviön prosenttiosuuden ja latenssin. Nämä arvot on määritelty RFC 1242:ssa. Tässä RFC:ssä ei muuten ole kirjoitettu mitään usein mainitusta viivevaihtelusta (jitteristä). Miten nämä määrät mitataan? En ole löytänyt menetelmää, joka olisi hyväksytty mistään standardeista (virallisista tai epävirallisista, kuten RFC) erityisesti verkon salauksesta. Olisi loogista käyttää RFC 2544 -standardin mukaista menetelmää verkkolaitteiden osalta. Monet valmistajat noudattavat sitä - monet, mutta eivät kaikki. He esimerkiksi lähettävät testiliikennettä vain yhteen suuntaan molempien sijaan, kuten suositellaan standardi. Joka tapauksessa.

Verkon salauslaitteiden suorituskyvyn mittaamisessa on edelleen omat ominaisuutensa. Ensinnäkin on oikein tehdä kaikki mittaukset laiteparille: vaikka salausalgoritmit ovat symmetrisiä, viiveet ja pakettihäviöt salauksen ja salauksen purkamisen aikana eivät välttämättä ole yhtä suuret. Toiseksi on järkevää mitata deltaa, verkon salauksen vaikutusta lopulliseen verkon suorituskykyyn, vertaamalla kahta kokoonpanoa: ilman salauslaitteita ja niiden kanssa. Tai, kuten hybridilaitteissa, jotka yhdistävät useita toimintoja verkkosalauksen lisäksi salauksen ollessa kytkettynä pois ja päälle. Tämä vaikutus voi olla erilainen ja riippuvainen salauslaitteiden yhteyskaaviosta, toimintatavoista ja lopuksi liikenteen luonteesta. Erityisesti monet suorituskykyparametrit riippuvat pakettien pituudesta, minkä vuoksi eri ratkaisujen suorituskyvyn vertaamiseen käytetään usein näiden parametrien kaavioita pakettien pituudesta riippuen tai IMIXiä - liikenteen jakautumista paketeittain. pituudet, mikä vastaa suunnilleen todellista pituutta. Jos vertaamme samaa peruskonfiguraatiota ilman salausta, voimme verrata eri tavalla toteutettuja verkon salausratkaisuja ilman, että joudumme näihin eroihin: L2 ja L3, tallenna ja välitä ) cut-throughilla, erikoistunut konvergenttiin, GOST AES:llä ja niin edelleen.

Ethernet-salauslaitteiden arvioiminen ja vertailu
Kytkentäkaavio suorituskyvyn testausta varten

Ensimmäinen ominaisuus, johon ihmiset kiinnittävät huomiota, on salauslaitteen "nopeus". kaistanleveys (kaistanleveys) sen verkkorajapintojen, bittivirtausnopeuden. Sen määräävät verkkostandardit, joita liitännät tukevat. Ethernetissä tavalliset numerot ovat 1 Gbps ja 10 Gbps. Mutta kuten tiedämme, missä tahansa verkossa suurin teoreettinen läpijuoksu (läpivirtaus) kullakin sen tasolla on aina vähemmän kaistanleveyttä: osan kaistanleveydestä "syövät" kehysten väliset välit, palveluotsikot ja niin edelleen. Jos laite pystyy vastaanottamaan, prosessoimaan (tapauksessamme salaamaan tai purkamaan) ja siirtämään liikennettä verkkorajapinnan täydellä nopeudella eli suurimmalla teoreettisella suorituskyvyllä tälle verkkomallin tasolle, niin sanotaan olla töissä linjan nopeudella. Tätä varten on välttämätöntä, että laite ei menetä tai hävitä paketteja missä tahansa koossa ja millään taajuudella. Jos salauslaite ei tue toimintaa linjanopeudella, sen maksimiläpäisynopeus määritetään yleensä samoissa gigabitteissä sekunnissa (joskus ilmaistaan ​​pakettien pituuden - mitä lyhyemmät paketit, sitä pienempi läpäisykyky yleensä on). On erittäin tärkeää ymmärtää, että suurin suoritusteho on suurin ei tappiota (vaikka laite pystyy "pumppaamaan" liikennettä itsensä läpi suuremmalla nopeudella, mutta samalla menettää joitakin paketteja). Huomaa myös, että jotkut toimittajat mittaavat kaikkien porttiparien välistä kokonaiskapasiteettia, joten nämä luvut eivät merkitse paljon, jos kaikki salattu liikenne kulkee yhden portin kautta.

Missä on erityisen tärkeää toimia linjanopeudella (tai toisin sanoen ilman pakettihäviötä)? Suuren kaistanleveyden ja korkean viiveen linkeissä (kuten satelliitti), joissa suuri TCP-ikkunakoko on asetettava suurten siirtonopeuksien ylläpitämiseksi ja joissa pakettien katoaminen heikentää verkon suorituskykyä dramaattisesti.

Mutta kaikkea kaistanleveyttä ei käytetä hyödyllisen tiedon siirtämiseen. Meidän on otettava huomioon ns yleiskustannukset (overhead) kaistanleveys. Tämä on se osa salauslaitteen suoritustehon (prosentteina tai tavuina pakettia kohden), joka todella menee hukkaan (sitä ei voida käyttää sovellustietojen siirtämiseen). Yleiskustannukset syntyvät ensinnäkin salattujen verkkopakettien tietokentän koon (lisäys, "täyte") kasvamisesta (riippuen salausalgoritmista ja sen toimintatavasta). Toiseksi pakettiotsikoiden pituuden lisääntymisen vuoksi (tunnelitila, salausprotokollan palvelun lisäys, simulaatiolisäys jne. protokollasta ja salauksen ja lähetystilan toimintatavasta riippuen) - yleensä nämä yleiskustannukset ovat tärkeimmät, ja he kiinnittävät huomion ensin. Kolmanneksi pakettien pirstoutumisesta, kun suurin tietoyksikön koko (MTU) ylittyy (jos verkko pystyy jakamaan MTU:n ylittävän paketin kahteen, monistaen sen otsikot). Neljänneksi, johtuen ylimääräisen palvelu- (ohjaus)liikenteen ilmestymisestä verkkoon salauslaitteiden välillä (avainten vaihtoon, tunnelin asentamiseen jne.). Matala yläraja on tärkeä, jos kanavakapasiteetti on rajallinen. Tämä näkyy erityisesti pienten pakettien liikenteessä, esimerkiksi puhe - missä yleiskustannukset voivat "syötä" yli puolet kanavan nopeudesta!

Ethernet-salauslaitteiden arvioiminen ja vertailu
kapasiteetti

Lopuksi on enemmän käyttöön otettu viive – ero (sekunnin murto-osissa) verkkoviiveessä (aika, joka kuluu tiedon siirtymisestä verkkoon saapumisesta verkkoon poistumiseen) tiedonsiirron välillä ilman verkkosalausta ja sen kanssa. Yleisesti ottaen mitä pienempi verkon latenssi ("latenssi") on, sitä kriittisemmäksi salauslaitteiden tuottama latenssi tulee. Viiveen aiheuttaa itse salaustoiminto (riippuen salausalgoritmista, lohkon pituudesta ja salauksen toimintatavasta sekä sen toteutuksen laadusta ohjelmistossa) ja verkkopaketin käsittelystä laitteessa. . Käyttöönotettu latenssi riippuu sekä pakettien käsittelytilasta (läpivienti tai tallennus ja edelleenlähetys) että alustan suorituskyvystä (FPGA- tai ASIC-laitteistototeutus on yleensä nopeampi kuin ohjelmistototeutus CPU:ssa). L2-salauksella on lähes aina pienempi latenssi kuin L3- tai L4-salauksella, koska L3/L4-salauslaitteet ovat usein konvergoituneet. Esimerkiksi FPGA:lle toteutetuilla nopeilla Ethernet-salauslaitteilla ja L2-salauksella salaustoiminnasta johtuva viive on häviävän pieni - joskus kun salaus on käytössä laitteessa, niiden tuottama kokonaisviive jopa pienenee! Matala latenssi on tärkeä silloin, kun se on verrattavissa kanavan kokonaisviiveisiin, mukaan lukien etenemisviive, joka on noin 5 μs kilometriä kohden. Toisin sanoen voimme sanoa, että kaupunkilaajuisissa verkoissa (leveys on kymmeniä kilometrejä) mikrosekunnit voivat ratkaista paljon. Esimerkiksi synkronisessa tietokannan replikaatiossa, korkeataajuisessa kaupankäynnissä, sama lohkoketju.

Ethernet-salauslaitteiden arvioiminen ja vertailu
Otettiin käyttöön viive

Skaalautuvuus

Suuret hajautetut verkot voivat sisältää useita tuhansia solmuja ja verkkolaitteita, satoja paikallisia verkkosegmenttejä. On tärkeää, että salausratkaisut eivät aseta ylimääräisiä rajoituksia hajautetun verkon koolle ja topologialle. Tämä koskee ensisijaisesti isäntä- ja verkko-osoitteiden enimmäismäärää. Tällaisia ​​rajoituksia voidaan kohdata esimerkiksi toteutettaessa monipistesalattua verkkotopologiaa (itsenäisillä suojatuilla yhteyksillä tai tunneleilla) tai valikoivaa salausta (esimerkiksi protokollanumerolla tai VLAN:lla). Jos tässä tapauksessa verkko-osoitteita (MAC, IP, VLAN ID) käytetään avaimina taulukossa, jossa rivien lukumäärä on rajoitettu, nämä rajoitukset näkyvät tässä.

Lisäksi suurilla verkoilla on usein useita rakenteellisia kerroksia, mukaan lukien ydinverkko, joista jokainen toteuttaa oman osoitemallinsa ja oman reitityspolitiikkansa. Tämän lähestymistavan toteuttamiseksi käytetään usein erityisiä kehysmuotoja (kuten Q-in-Q tai MAC-in-MAC) ja reitinmääritysprotokollia. Jotta tällaisten verkkojen rakentaminen ei estäisi, salauslaitteiden on käsiteltävä tällaisia ​​kehyksiä oikein (eli tässä mielessä skaalautuvuus tarkoittaa yhteensopivuutta - siitä lisää alla).

joustavuus

Tässä puhutaan erilaisten konfiguraatioiden, yhteysmallien, topologioiden ja muiden asioiden tukemisesta. Esimerkiksi Carrier Ethernet -teknologioihin perustuvissa kytketyissä verkoissa tämä tarkoittaa tukea erityyppisille virtuaalisille yhteyksille (E-Line, E-LAN, E-Tree), erityyppisille palveluille (sekä portin että VLANin kautta) ja erilaisille siirtotekniikoille. (ne on jo lueteltu yllä). Toisin sanoen laitteen on kyettävä toimimaan sekä lineaarisessa ("point-to-point")- että monipistemoodissa, luomaan erilliset tunnelit eri VLAN-verkoille ja sallittava pakettien epäjärjestyksessä toimittaminen suojatun kanavan sisällä. Mahdollisuus valita erilaisia ​​salaustiloja (mukaan lukien sisällön todennuksella tai ilman) ja erilaisia ​​pakettilähetystiloja mahdollistaa tasapainon lujuuden ja suorituskyvyn välillä vallitsevista olosuhteista riippuen.

Tärkeää on myös tukea sekä yksityisiä verkkoja, joiden laitteet ovat yhden organisaation omistamia (tai sille vuokrattuja), että operaattoriverkkoja, joiden eri segmenttejä hallinnoivat eri yritykset. On hyvä, jos ratkaisu mahdollistaa sekä talon sisäisen että kolmannen osapuolen hallinnan (hallitun palvelumallin avulla). Operaattoriverkoissa toinen tärkeä toiminto on monivuokrauksen (eri asiakkaiden jakamisen) tuki yksittäisten asiakkaiden (tilaajien) kryptografisen eristämisen muodossa, joiden liikenne kulkee saman salauslaitejoukon kautta. Tämä edellyttää tyypillisesti erillisten avain- ja varmenteiden käyttöä jokaiselle asiakkaalle.

Jos laite ostetaan tiettyä skenaariota varten, kaikki nämä ominaisuudet eivät välttämättä ole kovin tärkeitä - sinun on vain varmistettava, että laite tukee sitä, mitä tarvitset nyt. Mutta jos ratkaisu ostetaan ”kasvua varten”, tueksi myös tulevaisuuden skenaarioita ja valitaan ”yritysstandardiksi”, niin joustavuus ei ole turhaa – varsinkin kun otetaan huomioon eri valmistajien laitteiden yhteentoimivuuden rajoitukset ( tästä lisää alla).

Yksinkertaisuus ja mukavuus

Palvelun helppous on myös monitekijäinen käsite. Suunnilleen voidaan sanoa, että tämä on tietyn pätevyyden omaavien asiantuntijoiden kokonaisaika, joka tarvitaan tukemaan ratkaisua sen elinkaaren eri vaiheissa. Jos kustannuksia ei ole ja asennus, konfigurointi ja käyttö ovat täysin automaattisia, kustannukset ovat nolla ja käyttömukavuus on ehdoton. Tämä ei tietenkään tapahdu todellisessa maailmassa. Kohtuullinen likiarvo on malli "solmu langalla" (bump-in-the-wire) tai läpinäkyvä yhteys, jossa salauslaitteiden lisääminen ja poistaminen käytöstä ei vaadi manuaalisia tai automaattisia muutoksia verkkokokoonpanoon. Samalla ratkaisun ylläpito yksinkertaistuu: voit kytkeä salaustoiminnon turvallisesti päälle ja pois ja tarvittaessa yksinkertaisesti "ohittaa" laitteen verkkokaapelilla (eli kytkeä suoraan ne verkkolaitteiden portit, joihin se oli yhdistetty). Totta, on yksi haittapuoli - hyökkääjä voi tehdä saman. "Solmu johdolla" -periaatteen toteuttamiseksi on otettava huomioon paitsi liikenne tietokerrosMutta ohjaus- ja hallintatasot – laitteiden on oltava heille läpinäkyviä. Siksi tällainen liikenne voidaan salata vain, kun salauslaitteiden välisessä verkossa ei ole tämän tyyppisen liikenteen vastaanottajia, koska jos se hylätään tai salataan, verkon kokoonpano voi muuttua, kun otat salauksen käyttöön tai poistat sen käytöstä. Salauslaite voi olla myös läpinäkyvä fyysisen kerroksen signaloinnille. Erityisesti, kun signaali katoaa, sen on lähetettävä tämä häviö (eli kytkettävä lähettimet pois päältä) edestakaisin ("itsekseen") signaalin suuntaan.

Myös tietoturva- ja IT-osastojen, erityisesti verkkoosaston, vallanjaon tuki on tärkeää. Salausratkaisun tulee tukea organisaation kulunvalvonta- ja auditointimallia. Vuorovaikutuksen tarve eri osastojen välillä rutiinitoimintojen suorittamiseksi tulisi minimoida. Siksi erikoislaitteet, jotka tukevat yksinomaan salaustoimintoja ja ovat mahdollisimman läpinäkyviä verkkotoiminnalle, tarjoavat mukavuuden kannalta etua. Yksinkertaisesti sanottuna tietoturvatyöntekijöillä ei pitäisi olla mitään syytä ottaa yhteyttä "verkkoasiantuntijoihin" muuttaakseen verkkoasetuksia. Ja niillä puolestaan ​​​​ei pitäisi olla tarvetta muuttaa salausasetuksia verkkoa ylläpidettäessä.

Toinen tekijä on säätimien ominaisuudet ja mukavuus. Niiden tulee olla visuaalisia, loogisia, tarjota asetusten tuonti ja vienti, automaatio ja niin edelleen. Kannattaa heti kiinnittää huomiota siihen, mitä hallintavaihtoehtoja on saatavilla (yleensä oma hallintaympäristö, web-käyttöliittymä ja komentorivi) ja mitä toimintoja niillä on (rajoituksia). Tärkeä toiminto on tuki kaistan ulkopuolella (kaistan ulkopuolinen) ohjaus, eli erillisen ohjausverkon kautta, ja bändin sisällä (kaistan sisäinen) ohjaus eli yhteisen verkon kautta, jonka kautta hyödyllinen liikenne välitetään. Hallintatyökalujen tulee ilmoittaa kaikista poikkeavista tilanteista, mukaan lukien tietoturvahäiriöt. Rutiininomaiset, toistuvat toiminnot tulee suorittaa automaattisesti. Tämä liittyy ensisijaisesti avainten hallintaan. Ne tulee luoda/jakaa automaattisesti. PKI-tuki on iso plussa.

Yhteensopivuus

Eli laitteen yhteensopivuus verkkostandardien kanssa. Lisäksi tämä ei tarkoita vain teollisuuden standardeja, jotka ovat hyväksyneet arvovaltaiset organisaatiot, kuten IEEE, vaan myös alan johtajien, kuten Ciscon, omia protokollia. Yhteensopivuuden varmistamiseksi on kaksi päätapaa: joko läpi avoimuus, tai kautta selkeää tukea protokollat ​​(kun salauslaitteesta tulee yksi tietyn protokollan verkkosolmuista ja se käsittelee tämän protokollan ohjausliikennettä). Yhteensopivuus verkkojen kanssa riippuu ohjausprotokollien toteutuksen täydellisyydestä ja oikeellisuudesta. On tärkeää tukea erilaisia ​​vaihtoehtoja PHY-tasolle (nopeus, siirtoväline, koodausmalli), eri muotoisia Ethernet-kehyksiä millä tahansa MTU:lla, erilaisia ​​L3-palveluprotokollia (ensisijaisesti TCP/IP-perhe).

Läpinäkyvyys varmistetaan mutaatiomekanismeilla (avoimien otsikoiden sisällön tilapäinen muuttaminen salaajien välisessä liikenteessä), ohitus (kun yksittäiset paketit jäävät salaamattomiksi) ja salauksen alun sisennys (kun normaalisti salattuja pakettien kenttiä ei ole salattu).

Ethernet-salauslaitteiden arvioiminen ja vertailu
Miten läpinäkyvyys varmistetaan

Siksi tarkista aina tarkasti, kuinka tuki tietylle protokollalle on annettu. Usein tuki läpinäkyvässä tilassa on kätevämpää ja luotettavampaa.

Yhteentoimivuus

Tämä on myös yhteensopivuutta, mutta eri mielessä, nimittäin kykyä toimia yhdessä muiden salauslaitteiden mallien kanssa, mukaan lukien muiden valmistajien salauslaitteet. Paljon riippuu salausprotokollien standardoinnin tilasta. L1:ssä ei yksinkertaisesti ole yleisesti hyväksyttyjä salausstandardeja.

L2-salaukselle Ethernet-verkoissa on 802.1ae (MACsec) -standardi, mutta se ei käytä päittäin (päästä päähän) ja interport, "hop-by-hop" -salaus, ja alkuperäisessä versiossaan ei sovellu käytettäväksi hajautetuissa verkoissa, joten sen omat laajennukset ovat ilmestyneet, jotka ylittävät tämän rajoituksen (tietenkin johtuen yhteentoimivuudesta muiden valmistajien laitteiden kanssa). Totta, vuonna 2018 tuki hajautetuille verkoille lisättiin 802.1ae-standardiin, mutta GOST-salausalgoritmisarjoille ei vieläkään ole tukea. Siksi patentoidut, ei-standardi L2-salausprotokollat ​​eroavat yleensä suuremmasta tehokkuudesta (erityisesti pienemmästä kaistanleveydestä) ja joustavuudesta (kyky muuttaa salausalgoritmeja ja -tiloja).

Korkeammilla tasoilla (L3 ja L4) on tunnustettuja standardeja, ensisijaisesti IPsec ja TLS, mutta täälläkään se ei ole niin yksinkertaista. Tosiasia on, että jokainen näistä standardeista on joukko protokollia, joista jokaisella on eri versiot ja laajennukset, jotka vaaditaan tai ovat valinnaisia ​​täytäntöönpanoa varten. Lisäksi jotkut valmistajat käyttävät mieluummin omia salausprotokolliaan L3/L4:ssä. Täydelliseen yhteentoimivuuteen ei siis useimmissa tapauksissa kannata luottaa, vaan on tärkeää, että ainakin vuorovaikutus eri mallien ja saman valmistajan eri sukupolvien välillä varmistetaan.

Luotettavuus

Eri ratkaisujen vertailuun voit käyttää joko keskimääräistä aikaa vikojen välillä tai käytettävyystekijää. Jos näitä lukuja ei ole saatavilla (tai niihin ei luoteta), voidaan tehdä laadullinen vertailu. Laitteilla, joissa on kätevä hallinta, on etu (pienempi konfigurointivirheiden riski), erikoistuneet salaajat (samasta syystä) sekä ratkaisut, joissa vian havaitsemiseen ja poistamiseen kuluu vain vähän aikaa, mukaan lukien keinot "kuuma" varmuuskopiointi kokonaisista solmuista ja laitteet.

Maksaa

Kustannusten osalta, kuten useimpien IT-ratkaisujen kohdalla, on järkevää verrata omistamisen kokonaiskustannuksia. Sen laskemiseksi sinun ei tarvitse keksiä pyörää uudelleen, vaan käyttää mitä tahansa sopivaa menetelmää (esimerkiksi Gartnerilta) ja mitä tahansa laskinta (esimerkiksi sitä, jota organisaatiossa käytetään jo TCO:n laskemiseen). On selvää, että verkon salausratkaisun kokonaisomistuskustannukset muodostuvat suoraan itse ratkaisun osto- tai vuokrauskustannukset, laitteiden isännöintiinfrastruktuuri ja käyttöönotto-, hallinto- ja ylläpitokustannukset (joko talon sisällä tai kolmannen osapuolen palveluina), sekä epäsuora ratkaisun seisokkeista aiheutuvat kustannukset (johtuen loppukäyttäjien tuottavuuden heikkenemisestä). Luultavasti siinä on vain yksi hienovaraisuus. Ratkaisun suorituskykyvaikutusta voidaan tarkastella eri tavoin: joko tuottavuuden menettämisestä johtuvina välillisinä kustannuksina tai "virtuaalisina" suorina verkkotyökalujen hankinnan/päivityksen ja ylläpidon kustannuksina, jotka kompensoivat verkon suorituskyvyn menetystä, joka johtuu salaus. Joka tapauksessa kulut, jotka on vaikea laskea riittävän tarkasti, on parasta jättää laskelmasta pois: näin on enemmän luottamusta lopulliseen arvoon. Ja kuten tavallista, on joka tapauksessa järkevää verrata eri laitteita TCO:n mukaan niiden tietyn käyttöskenaarion mukaan - todellisen tai tyypillisen.

kestävyys

Ja viimeinen ominaisuus on ratkaisun pysyvyys. Useimmissa tapauksissa kestävyyttä voidaan arvioida vain laadullisesti vertailemalla eri ratkaisuja. Meidän on muistettava, että salauslaitteet eivät ole vain väline, vaan myös suojan kohde. He voivat olla alttiina erilaisille uhille. Etusijalla ovat uhkaukset luottamuksellisuuden loukkaamisesta, viestien kopioimisesta ja muokkaamisesta. Nämä uhat voivat toteutua salauksen tai sen yksittäisten tilojen haavoittuvuuksien kautta, salausprotokollien haavoittuvuuksien kautta (mukaan lukien yhteyden muodostamisen ja avainten luomisen/jakelun vaiheet). Etuna ovat ratkaisut, jotka mahdollistavat salausalgoritmin muuttamisen tai salaustilan vaihtamisen (ainakin laiteohjelmistopäivityksen kautta), ratkaisut, jotka tarjoavat täydellisimmän salauksen, piilottaen hyökkääjältä paitsi käyttäjätietoja, myös osoite- ja muita palvelutietoja. , sekä tekniset ratkaisut, jotka eivät vain salaa, vaan myös suojaavat viestejä kopioimiselta ja muuttamiselta. Kaikkien nykyaikaisten salausalgoritmien, sähköisten allekirjoitusten, avainten luonnin jne., jotka on kirjattu standardeihin, vahvuuden voidaan olettaa olevan sama (muuten voit yksinkertaisesti eksyä kryptografian erämaahan). Pitäisikö näiden välttämättä olla GOST-algoritmeja? Täällä kaikki on yksinkertaista: jos sovellusskenaariossa vaaditaan FSB-sertifikaatti CIPF:lle (ja Venäjällä näin on useimmiten; useimmissa verkon salausskenaarioissa tämä on totta), valitsemme vain sertifioitujen välillä. Jos ei, ei ole mitään järkeä jättää huomioimatta laitteita ilman varmenteita.

Toinen uhka on hakkeroinnin uhka, luvaton pääsy laitteisiin (mukaan lukien fyysinen pääsy kotelon ulkopuolelle ja sisällä). Uhkauksen voi toteuttaa
toteutuksen haavoittuvuuksia - laitteistossa ja koodissa. Siksi ratkaisuissa, joissa on minimaalinen "hyökkäyspinta" verkon kautta, kotelot, jotka on suojattu fyysiseltä pääsyltä (tunkeutumisanturit, luotaussuoja ja avaintietojen automaattinen nollaus, kun kotelo avataan), sekä ratkaisut, jotka mahdollistavat laiteohjelmiston päivitykset etu, jos koodin haavoittuvuus tulee tiedoksi. On myös toinen tapa: jos kaikilla verrattavilla laitteilla on FSB-sertifikaatti, CIPF-luokkaa, jolle sertifikaatti myönnettiin, voidaan pitää hakkerointikestävyyden indikaattorina.

Lopuksi toinen uhkatyyppi on asennuksen ja käytön aikana tapahtuvat virheet, inhimillinen tekijä puhtaimmassa muodossaan. Tämä osoittaa erikoistuneiden salaajien toisen edun verrattuna konvergoituihin ratkaisuihin, jotka on usein suunnattu kokeneille "verkkoasiantuntijoille" ja jotka voivat aiheuttaa vaikeuksia "tavallisille", yleisille tietoturva-asiantuntijoille.

Yhteenvetona

Periaatteessa tässä olisi mahdollista ehdottaa jonkinlaista integraalista indikaattoria eri laitteiden vertailuun, esim

$$näyttö$$K_j=∑p_i r_{ij}$$näyttö$$

missä p on indikaattorin paino ja r on laitteen sijoitus tämän indikaattorin mukaan, ja mikä tahansa edellä luetelluista ominaisuuksista voidaan jakaa "atomi"-indikaattoreihin. Tällainen kaava voisi olla hyödyllinen esimerkiksi verrattaessa tarjousehdotuksia ennalta sovittujen sääntöjen mukaisesti. Mutta voit pärjätä yksinkertaisella pöydällä, kuten

Karakterisointi
Laite 1
Laite 2
...
Laite N

kapasiteetti
+
+

+ + +

Yleiskulut
+
++

+ + +

viive
+
+

++

Skaalautuvuus
+ + +
+

+ + +

joustavuus
+ + +
++

+

Yhteentoimivuus
++
+

+

Yhteensopivuus
++
++

+ + +

Yksinkertaisuus ja mukavuus
+
+

++

vikasietoisuus
+ + +
+ + +

++

Maksaa
++
+ + +

+

kestävyys
++
++

+ + +

Vastaan ​​mielelläni kysymyksiin ja rakentavaan kritiikkiin.

Lähde: will.com

Lisää kommentti