मैंने यह समीक्षा (या, यदि आप चाहें तो, एक तुलना मार्गदर्शिका) तब लिखी थी जब मुझे विभिन्न विक्रेताओं के कई उपकरणों की तुलना करने का काम सौंपा गया था। इसके अलावा, ये उपकरण विभिन्न वर्गों के थे। मुझे इन सभी उपकरणों की वास्तुकला और विशेषताओं को समझना था और तुलना के लिए एक "समन्वय प्रणाली" बनानी थी। अगर मेरी समीक्षा से किसी को मदद मिलेगी तो मुझे ख़ुशी होगी:
- एन्क्रिप्शन उपकरणों के विवरण और विशिष्टताओं को समझें
- "कागजी" विशेषताओं को उन विशेषताओं से अलग करें जो वास्तविक जीवन में वास्तव में महत्वपूर्ण हैं
- विक्रेताओं के सामान्य समूह से आगे बढ़ें और किसी भी उत्पाद को शामिल करें जो समस्या को हल करने के लिए उपयुक्त हो
- बातचीत के दौरान सही प्रश्न पूछें
- निविदा आवश्यकताएँ तैयार करें (आरएफपी)
- समझें कि यदि एक निश्चित उपकरण मॉडल का चयन किया जाता है तो किन विशेषताओं का त्याग करना होगा
क्या आकलन किया जा सकता है
सिद्धांत रूप में, यह दृष्टिकोण दूरस्थ ईथरनेट सेगमेंट (क्रॉस-साइट एन्क्रिप्शन) के बीच नेटवर्क ट्रैफ़िक को एन्क्रिप्ट करने के लिए उपयुक्त किसी भी स्टैंडअलोन डिवाइस पर लागू होता है। अर्थात्, एक अलग मामले में "बक्से" (ठीक है, हम यहां चेसिस के लिए ब्लेड/मॉड्यूल भी शामिल करेंगे), जो एक या अधिक ईथरनेट पोर्ट के माध्यम से अनएन्क्रिप्टेड ट्रैफ़िक वाले स्थानीय (कैंपस) ईथरनेट नेटवर्क से जुड़े होते हैं, और इसके माध्यम से चैनल/नेटवर्क के लिए अन्य पोर्ट जिसके माध्यम से पहले से ही एन्क्रिप्टेड ट्रैफ़िक अन्य, दूरस्थ खंडों में प्रेषित होता है। इस तरह के एन्क्रिप्शन समाधान को एक निजी या ऑपरेटर नेटवर्क में विभिन्न प्रकार के "ट्रांसपोर्ट" (डार्क फाइबर, फ्रीक्वेंसी डिवीजन उपकरण, स्विच्ड ईथरनेट, साथ ही एक अलग रूटिंग आर्किटेक्चर वाले नेटवर्क के माध्यम से रखे गए "छद्म तार") के माध्यम से तैनात किया जा सकता है, जो अक्सर एमपीएलएस होता है। ), वीपीएन तकनीक के साथ या उसके बिना।
वितरित ईथरनेट नेटवर्क में नेटवर्क एन्क्रिप्शन
उपकरण स्वयं भी हो सकते हैं विशेष (विशेष रूप से एन्क्रिप्शन के लिए अभिप्रेत), या बहुक्रियाशील (हाइब्रिड, संमिलित), यानी, अन्य कार्य भी कर रहा है (उदाहरण के लिए, फ़ायरवॉल या राउटर)। विभिन्न विक्रेता अपने उपकरणों को विभिन्न वर्गों/श्रेणियों में वर्गीकृत करते हैं, लेकिन इससे कोई फर्क नहीं पड़ता - एकमात्र महत्वपूर्ण बात यह है कि क्या वे क्रॉस-साइट ट्रैफ़िक को एन्क्रिप्ट कर सकते हैं, और उनके पास क्या विशेषताएं हैं।
बस मामले में, मैं आपको याद दिला दूं कि "नेटवर्क एन्क्रिप्शन", "ट्रैफ़िक एन्क्रिप्शन", "एन्क्रिप्टर" अनौपचारिक शब्द हैं, हालांकि इनका उपयोग अक्सर किया जाता है। सबसे अधिक संभावना है कि आप उन्हें रूसी नियमों (गोस्ट लागू करने वाले नियमों सहित) में नहीं पाएंगे।
एन्क्रिप्शन स्तर और ट्रांसमिशन मोड
इससे पहले कि हम उन विशेषताओं का वर्णन करना शुरू करें जिनका उपयोग मूल्यांकन के लिए किया जाएगा, हमें पहले एक महत्वपूर्ण बात, अर्थात् "एन्क्रिप्शन स्तर" को समझना होगा। मैंने देखा कि इसका उल्लेख अक्सर आधिकारिक विक्रेता दस्तावेज़ों (विवरण, मैनुअल इत्यादि में) और अनौपचारिक चर्चाओं (बातचीत, प्रशिक्षण में) दोनों में किया जाता है। यानी, ऐसा लगता है कि हर कोई अच्छी तरह से जानता है कि हम किस बारे में बात कर रहे हैं, लेकिन मैंने व्यक्तिगत रूप से कुछ भ्रम देखा है।
तो "एन्क्रिप्शन स्तर" क्या है? यह स्पष्ट है कि हम OSI/ISO संदर्भ नेटवर्क मॉडल परत की संख्या के बारे में बात कर रहे हैं जिस पर एन्क्रिप्शन होता है। हम GOST R ISO 7498-2–99 “सूचना प्रौद्योगिकी” पढ़ते हैं। खुली प्रणालियों का अंतर्संबंध। मूल संदर्भ मॉडल. भाग 2. सूचना सुरक्षा वास्तुकला।” इस दस्तावेज़ से यह समझा जा सकता है कि गोपनीयता सेवा का स्तर (प्रदान करने के लिए एक तंत्र जो एन्क्रिप्शन है) प्रोटोकॉल का स्तर है, जिसका सेवा डेटा ब्लॉक ("पेलोड", उपयोगकर्ता डेटा) एन्क्रिप्ट किया गया है। जैसा कि मानक में भी लिखा गया है, सेवा एक ही स्तर पर, "स्वयं" और निचले स्तर की मदद से प्रदान की जा सकती है (उदाहरण के लिए, इसे अक्सर MACsec में लागू किया जाता है) .
व्यवहार में, एक नेटवर्क पर एन्क्रिप्टेड जानकारी प्रसारित करने के दो तरीके संभव हैं (आईपीएसईसी तुरंत दिमाग में आता है, लेकिन वही मोड अन्य प्रोटोकॉल में भी पाए जाते हैं)। में परिवहन (कभी-कभी इसे मूल भी कहा जाता है) मोड केवल एन्क्रिप्ट किया गया है सेवा डेटा का ब्लॉक, और हेडर "खुले", अनएन्क्रिप्टेड रहते हैं (कभी-कभी एन्क्रिप्शन एल्गोरिथ्म की सेवा जानकारी के साथ अतिरिक्त फ़ील्ड जोड़े जाते हैं, और अन्य फ़ील्ड संशोधित और पुनर्गणना किए जाते हैं)। में सुरंग सभी एक ही मोड शिष्टाचार डेटा ब्लॉक (अर्थात, पैकेट ही) समान या उच्च स्तर के सर्विस डेटा ब्लॉक में एन्क्रिप्ट और एनकैप्सुलेट किया जाता है, अर्थात यह नए हेडर से घिरा होता है।
कुछ ट्रांसमिशन मोड के साथ संयोजन में एन्क्रिप्शन स्तर न तो अच्छा है और न ही बुरा है, इसलिए यह नहीं कहा जा सकता है, उदाहरण के लिए, कि ट्रांसपोर्ट मोड में L3 टनल मोड में L2 से बेहतर है। यह सिर्फ इतना है कि जिन विशेषताओं के आधार पर उपकरणों का मूल्यांकन किया जाता है, वे उन पर निर्भर करती हैं। उदाहरण के लिए, लचीलापन और अनुकूलता. नेटवर्क L1 (बिट स्ट्रीम रिले), L2 (फ़्रेम स्विचिंग) और L3 (पैकेट रूटिंग) में ट्रांसपोर्ट मोड में काम करने के लिए, आपको ऐसे समाधानों की आवश्यकता है जो समान या उच्च स्तर पर एन्क्रिप्ट करें (अन्यथा पते की जानकारी एन्क्रिप्ट की जाएगी और डेटा एन्क्रिप्ट किया जाएगा) अपने इच्छित गंतव्य तक नहीं पहुंच पाता), और सुरंग मोड इस सीमा को पार कर जाता है (हालांकि अन्य महत्वपूर्ण विशेषताओं का त्याग करते हुए)।
परिवहन और सुरंग L2 एन्क्रिप्शन मोड
आइए अब विशेषताओं का विश्लेषण करने के लिए आगे बढ़ें।
निष्पादन
नेटवर्क एन्क्रिप्शन के लिए, प्रदर्शन एक जटिल, बहुआयामी अवधारणा है। ऐसा होता है कि एक निश्चित मॉडल, एक प्रदर्शन विशेषता में श्रेष्ठ होते हुए भी, दूसरे में निम्नतर होता है। इसलिए, एन्क्रिप्शन प्रदर्शन के सभी घटकों और नेटवर्क और इसका उपयोग करने वाले अनुप्रयोगों के प्रदर्शन पर उनके प्रभाव पर विचार करना हमेशा उपयोगी होता है। यहां हम एक कार के साथ एक सादृश्य बना सकते हैं, जिसके लिए न केवल अधिकतम गति महत्वपूर्ण है, बल्कि "सैकड़ों" तक त्वरण समय, ईंधन की खपत, आदि भी महत्वपूर्ण है। विक्रेता कंपनियाँ और उनके संभावित ग्राहक प्रदर्शन विशेषताओं पर बहुत ध्यान देते हैं। एक नियम के रूप में, एन्क्रिप्शन उपकरणों को विक्रेता लाइनों में प्रदर्शन के आधार पर रैंक किया जाता है।
यह स्पष्ट है कि प्रदर्शन डिवाइस पर किए गए नेटवर्किंग और क्रिप्टोग्राफ़िक संचालन की जटिलता (इन कार्यों को कितनी अच्छी तरह समानांतर और पाइपलाइन किया जा सकता है) के साथ-साथ हार्डवेयर के प्रदर्शन और फ़र्मवेयर की गुणवत्ता दोनों पर निर्भर करता है। इसलिए, पुराने मॉडल अधिक उत्पादक हार्डवेयर का उपयोग करते हैं; कभी-कभी इसे अतिरिक्त प्रोसेसर और मेमोरी मॉड्यूल से लैस करना संभव होता है। क्रिप्टोग्राफ़िक कार्यों को लागू करने के लिए कई दृष्टिकोण हैं: एक सामान्य प्रयोजन केंद्रीय प्रसंस्करण इकाई (सीपीयू), एप्लिकेशन-विशिष्ट एकीकृत सर्किट (एएसआईसी), या फ़ील्ड-प्रोग्रामेबल लॉजिक इंटीग्रेटेड सर्किट (एफपीजीए) पर। प्रत्येक दृष्टिकोण के अपने फायदे और नुकसान हैं। उदाहरण के लिए, सीपीयू एक एन्क्रिप्शन बाधा बन सकता है, खासकर यदि प्रोसेसर के पास एन्क्रिप्शन एल्गोरिदम का समर्थन करने के लिए विशेष निर्देश नहीं हैं (या यदि उनका उपयोग नहीं किया जाता है)। विशिष्ट चिप्स में लचीलेपन की कमी होती है; प्रदर्शन में सुधार करने, नए फ़ंक्शन जोड़ने या कमजोरियों को खत्म करने के लिए उन्हें "रीफ़्लैश" करना हमेशा संभव नहीं होता है। इसके अलावा, उनका उपयोग केवल बड़ी उत्पादन मात्रा के साथ ही लाभदायक हो जाता है। यही कारण है कि "सुनहरा मतलब" इतना लोकप्रिय हो गया है - एफपीजीए (रूसी में एफपीजीए) का उपयोग। यह FPGAs पर है कि तथाकथित क्रिप्टो त्वरक बनाए जाते हैं - क्रिप्टोग्राफ़िक संचालन का समर्थन करने के लिए अंतर्निहित या प्लग-इन विशेष हार्डवेयर मॉड्यूल।
चूँकि हम बात कर रहे हैं नेटवर्क एन्क्रिप्शन, यह तर्कसंगत है कि समाधानों के प्रदर्शन को अन्य नेटवर्क उपकरणों के समान मात्रा में मापा जाना चाहिए - थ्रूपुट, फ्रेम हानि का प्रतिशत और विलंबता। ये मान RFC 1242 में परिभाषित हैं। वैसे, इस RFC में अक्सर उल्लिखित विलंब भिन्नता (घबराहट) के बारे में कुछ भी नहीं लिखा गया है। इन मात्राओं को कैसे मापें? मुझे विशेष रूप से नेटवर्क एन्क्रिप्शन के लिए किसी भी मानक (आधिकारिक या अनौपचारिक जैसे आरएफसी) में अनुमोदित कोई पद्धति नहीं मिली है। RFC 2544 मानक में निहित नेटवर्क उपकरणों के लिए कार्यप्रणाली का उपयोग करना तर्कसंगत होगा। कई विक्रेता इसका पालन करते हैं - कई, लेकिन सभी नहीं। उदाहरण के लिए, वे परीक्षण ट्रैफ़िक को दोनों के बजाय केवल एक ही दिशा में भेजते हैं, जैसे अनुशंसित द्वारा मानक। फिर भी।
नेटवर्क एन्क्रिप्शन उपकरणों के प्रदर्शन को मापने की अभी भी अपनी विशेषताएं हैं। सबसे पहले, उपकरणों की एक जोड़ी के लिए सभी माप करना सही है: हालांकि एन्क्रिप्शन एल्गोरिदम सममित हैं, एन्क्रिप्शन और डिक्रिप्शन के दौरान देरी और पैकेट नुकसान जरूरी नहीं कि बराबर होंगे। दूसरे, यह डेल्टा को मापने के लिए समझ में आता है, अंतिम नेटवर्क प्रदर्शन पर नेटवर्क एन्क्रिप्शन का प्रभाव, दो कॉन्फ़िगरेशन की तुलना करना: एन्क्रिप्शन उपकरणों के बिना और उनके साथ। या, जैसा कि हाइब्रिड डिवाइस के मामले में होता है, जो नेटवर्क एन्क्रिप्शन के अलावा कई कार्यों को जोड़ता है, जिसमें एन्क्रिप्शन बंद और चालू होता है। यह प्रभाव अलग-अलग हो सकता है और एन्क्रिप्शन उपकरणों की कनेक्शन योजना, ऑपरेटिंग मोड और अंततः ट्रैफ़िक की प्रकृति पर निर्भर करता है। विशेष रूप से, कई प्रदर्शन पैरामीटर पैकेट की लंबाई पर निर्भर करते हैं, यही कारण है कि, विभिन्न समाधानों के प्रदर्शन की तुलना करने के लिए, पैकेट की लंबाई के आधार पर इन पैरामीटर के ग्राफ़ का अक्सर उपयोग किया जाता है, या आईएमआईएक्स का उपयोग किया जाता है - पैकेट द्वारा ट्रैफ़िक का वितरण लंबाई, जो लगभग वास्तविक को दर्शाती है। यदि हम एन्क्रिप्शन के बिना समान बुनियादी कॉन्फ़िगरेशन की तुलना करते हैं, तो हम इन अंतरों में शामिल हुए बिना अलग-अलग तरीके से कार्यान्वित नेटवर्क एन्क्रिप्शन समाधानों की तुलना कर सकते हैं: L2 के साथ L3, स्टोर-एंड-फॉरवर्ड ) कट-थ्रू के साथ, विशेषीकृत कन्वर्जेंट के साथ, GOST के साथ AES इत्यादि।
प्रदर्शन परीक्षण के लिए कनेक्शन आरेख
पहली विशेषता जिस पर लोग ध्यान देते हैं वह है एन्क्रिप्शन डिवाइस की "गति"। बैंडविड्थ (बैंडविड्थ) इसके नेटवर्क इंटरफेस, बिट प्रवाह दर। यह नेटवर्क मानकों द्वारा निर्धारित किया जाता है जो इंटरफेस द्वारा समर्थित हैं। ईथरनेट के लिए, सामान्य संख्याएँ 1 जीबीपीएस और 10 जीबीपीएस हैं। लेकिन, जैसा कि हम जानते हैं, किसी भी नेटवर्क में अधिकतम सैद्धांतिक throughput (थ्रूपुट) इसके प्रत्येक स्तर पर हमेशा कम बैंडविड्थ होती है: बैंडविड्थ का कुछ हिस्सा इंटरफ्रेम अंतराल, सर्विस हेडर इत्यादि द्वारा "खाया" जाता है। यदि कोई डिवाइस नेटवर्क इंटरफ़ेस की पूर्ण गति पर ट्रैफ़िक प्राप्त करने, संसाधित करने (हमारे मामले में, एन्क्रिप्ट करने या डिक्रिप्ट करने) और संचारित करने में सक्षम है, यानी नेटवर्क मॉडल के इस स्तर के लिए अधिकतम सैद्धांतिक थ्रूपुट के साथ, तो यह कहा जाता है काम करने के लिए लाइन गति से. ऐसा करने के लिए, यह आवश्यक है कि डिवाइस किसी भी आकार और किसी भी आवृत्ति पर पैकेट न खोए या न फेंके। यदि एन्क्रिप्शन डिवाइस लाइन गति पर संचालन का समर्थन नहीं करता है, तो इसका अधिकतम थ्रूपुट आमतौर पर प्रति सेकंड समान गीगाबिट्स में निर्दिष्ट किया जाता है (कभी-कभी पैकेट की लंबाई का संकेत मिलता है - पैकेट जितना छोटा होगा, थ्रूपुट आमतौर पर उतना ही कम होगा)। यह समझना बहुत महत्वपूर्ण है कि अधिकतम थ्रूपुट अधिकतम है कोई नुकसान नहीं (भले ही डिवाइस तेज़ गति से अपने माध्यम से ट्रैफ़िक को "पंप" कर सकता है, लेकिन साथ ही कुछ पैकेट भी खो देता है)। साथ ही, ध्यान रखें कि कुछ विक्रेता बंदरगाहों के सभी जोड़े के बीच कुल थ्रूपुट को मापते हैं, इसलिए यदि सभी एन्क्रिप्टेड ट्रैफ़िक एक ही बंदरगाह से गुजर रहे हैं तो ये संख्याएं ज्यादा मायने नहीं रखती हैं।
लाइन गति पर (या, दूसरे शब्दों में, पैकेट हानि के बिना) काम करना विशेष रूप से कहाँ महत्वपूर्ण है? उच्च-बैंडविड्थ, उच्च-विलंबता लिंक (जैसे उपग्रह) में, जहां उच्च ट्रांसमिशन गति को बनाए रखने के लिए एक बड़े टीसीपी विंडो आकार को सेट किया जाना चाहिए, और जहां पैकेट हानि नाटकीय रूप से नेटवर्क प्रदर्शन को कम कर देती है।
लेकिन उपयोगी डेटा स्थानांतरित करने के लिए सभी बैंडविड्थ का उपयोग नहीं किया जाता है। हमें तथाकथित पर विचार करना होगा उपरि लागत (ओवरहेड) बैंडविड्थ। यह एन्क्रिप्शन डिवाइस के थ्रूपुट (प्रतिशत या प्रति पैकेट बाइट्स के रूप में) का वह हिस्सा है जो वास्तव में बर्बाद हो जाता है (एप्लिकेशन डेटा को स्थानांतरित करने के लिए इसका उपयोग नहीं किया जा सकता है)। ओवरहेड लागत उत्पन्न होती है, सबसे पहले, एन्क्रिप्टेड नेटवर्क पैकेट (एन्क्रिप्शन एल्गोरिदम और इसके ऑपरेटिंग मोड के आधार पर) में डेटा फ़ील्ड के आकार (अतिरिक्त, "भराई") में वृद्धि के कारण। दूसरे, पैकेट हेडर की लंबाई में वृद्धि के कारण (सुरंग मोड, एन्क्रिप्शन प्रोटोकॉल की सेवा प्रविष्टि, सिमुलेशन प्रविष्टि, आदि प्रोटोकॉल और सिफर और ट्रांसमिशन मोड के संचालन के मोड पर निर्भर करता है) - आमतौर पर ये ओवरहेड लागत हैं सबसे महत्वपूर्ण, और वे सबसे पहले ध्यान देते हैं। तीसरा, अधिकतम डेटा इकाई आकार (एमटीयू) से अधिक होने पर पैकेट के विखंडन के कारण (यदि नेटवर्क एमटीयू से अधिक के पैकेट को दो भागों में विभाजित करने में सक्षम है, तो उसके हेडर की नकल करके)। चौथा, एन्क्रिप्शन उपकरणों (कुंजी विनिमय, सुरंग स्थापना, आदि के लिए) के बीच नेटवर्क पर अतिरिक्त सेवा (नियंत्रण) यातायात की उपस्थिति के कारण। जहां चैनल क्षमता सीमित है वहां कम ओवरहेड महत्वपूर्ण है। यह विशेष रूप से छोटे पैकेटों से ट्रैफ़िक में स्पष्ट है, उदाहरण के लिए, आवाज - जहां ओवरहेड लागत चैनल की गति के आधे से अधिक को "खा" सकती है!
क्षमता
अंततः, और भी बहुत कुछ है देरी का परिचय दिया - नेटवर्क एन्क्रिप्शन के बिना और नेटवर्क एन्क्रिप्शन के साथ डेटा ट्रांसमिशन के बीच नेटवर्क विलंब (नेटवर्क में प्रवेश करने से लेकर नेटवर्क छोड़ने तक डेटा को गुजरने में लगने वाला समय) में अंतर (एक सेकंड के अंशों में)। सामान्यतया, नेटवर्क की विलंबता ("विलंबता") जितनी कम होगी, एन्क्रिप्शन उपकरणों द्वारा शुरू की गई विलंबता उतनी ही अधिक महत्वपूर्ण हो जाएगी। देरी एन्क्रिप्शन ऑपरेशन द्वारा ही शुरू की जाती है (एन्क्रिप्शन एल्गोरिथ्म, ब्लॉक की लंबाई और सिफर के संचालन के तरीके के साथ-साथ सॉफ्टवेयर में इसके कार्यान्वयन की गुणवत्ता पर निर्भर करता है), और डिवाइस में नेटवर्क पैकेट की प्रोसेसिंग . शुरू की गई विलंबता पैकेट प्रोसेसिंग मोड (पास-थ्रू या स्टोर-एंड-फॉरवर्ड) और प्लेटफ़ॉर्म के प्रदर्शन (एफपीजीए या एएसआईसी पर हार्डवेयर कार्यान्वयन आम तौर पर सीपीयू पर सॉफ्टवेयर कार्यान्वयन से तेज़ है) दोनों पर निर्भर करती है। L2 एन्क्रिप्शन में लगभग हमेशा L3 या L4 एन्क्रिप्शन की तुलना में कम विलंबता होती है, इस तथ्य के कारण कि L3/L4 एन्क्रिप्शन डिवाइस अक्सर अभिसरण होते हैं। उदाहरण के लिए, एफपीजीए पर लागू हाई-स्पीड ईथरनेट एन्क्रिप्टर और एल2 पर एन्क्रिप्टिंग के साथ, एन्क्रिप्शन ऑपरेशन के कारण देरी गायब हो जाती है - कभी-कभी जब डिवाइस की एक जोड़ी पर एन्क्रिप्शन सक्षम होता है, तो उनके द्वारा शुरू की गई कुल देरी भी कम हो जाती है! कम विलंबता महत्वपूर्ण है जहां यह समग्र चैनल विलंब के बराबर है, जिसमें प्रसार विलंब भी शामिल है, जो लगभग 5 μs प्रति किलोमीटर है। यानी, हम कह सकते हैं कि शहरी स्तर के नेटवर्क (दसियों किलोमीटर के पार) के लिए, माइक्रोसेकंड बहुत कुछ तय कर सकते हैं। उदाहरण के लिए, सिंक्रोनस डेटाबेस प्रतिकृति, उच्च-आवृत्ति ट्रेडिंग के लिए, वही ब्लॉकचेन।
देरी का परिचय दिया
scalability
बड़े वितरित नेटवर्क में हजारों नोड्स और नेटवर्क डिवाइस, सैकड़ों स्थानीय नेटवर्क खंड शामिल हो सकते हैं। यह महत्वपूर्ण है कि एन्क्रिप्शन समाधान वितरित नेटवर्क के आकार और टोपोलॉजी पर अतिरिक्त प्रतिबंध न लगाएं। यह मुख्य रूप से होस्ट और नेटवर्क पतों की अधिकतम संख्या पर लागू होता है। ऐसी सीमाओं का सामना किया जा सकता है, उदाहरण के लिए, मल्टीपॉइंट एन्क्रिप्टेड नेटवर्क टोपोलॉजी (स्वतंत्र सुरक्षित कनेक्शन, या सुरंगों के साथ) या चयनात्मक एन्क्रिप्शन (उदाहरण के लिए, प्रोटोकॉल नंबर या वीएलएएन द्वारा) लागू करते समय। यदि इस मामले में नेटवर्क पते (मैक, आईपी, वीएलएएन आईडी) का उपयोग किसी तालिका में कुंजी के रूप में किया जाता है जिसमें पंक्तियों की संख्या सीमित है, तो ये प्रतिबंध यहां दिखाई देते हैं।
इसके अलावा, बड़े नेटवर्क में अक्सर कोर नेटवर्क सहित कई संरचनात्मक परतें होती हैं, जिनमें से प्रत्येक अपनी स्वयं की एड्रेसिंग योजना और अपनी रूटिंग नीति लागू करती है। इस दृष्टिकोण को लागू करने के लिए, विशेष फ्रेम प्रारूप (जैसे क्यू-इन-क्यू या मैक-इन-मैक) और रूटिंग प्रोटोकॉल का अक्सर उपयोग किया जाता है। ऐसे नेटवर्क के निर्माण में बाधा न डालने के लिए, एन्क्रिप्शन उपकरणों को ऐसे फ़्रेमों को सही ढंग से संभालना चाहिए (अर्थात, इस अर्थ में, स्केलेबिलिटी का मतलब संगतता होगा - नीचे उस पर अधिक जानकारी)।
लचीलापन
यहां हम विभिन्न कॉन्फ़िगरेशन, कनेक्शन योजनाओं, टोपोलॉजी और अन्य चीजों का समर्थन करने के बारे में बात कर रहे हैं। उदाहरण के लिए, कैरियर ईथरनेट प्रौद्योगिकियों पर आधारित स्विच्ड नेटवर्क के लिए, इसका मतलब विभिन्न प्रकार के वर्चुअल कनेक्शन (ई-लाइन, ई-लैन, ई-ट्री), विभिन्न प्रकार की सेवा (पोर्ट और वीएलएएन दोनों द्वारा) और विभिन्न परिवहन प्रौद्योगिकियों के लिए समर्थन है। (वे पहले से ही ऊपर सूचीबद्ध हैं)। अर्थात्, डिवाइस को रैखिक ("पॉइंट-टू-पॉइंट") और मल्टीपॉइंट मोड दोनों में काम करने में सक्षम होना चाहिए, विभिन्न वीएलएएन के लिए अलग-अलग सुरंगें स्थापित करनी चाहिए, और एक सुरक्षित चैनल के भीतर पैकेट की आउट-ऑफ-ऑर्डर डिलीवरी की अनुमति देनी चाहिए। विभिन्न सिफर मोड (सामग्री प्रमाणीकरण के साथ या उसके बिना) और विभिन्न पैकेट ट्रांसमिशन मोड का चयन करने की क्षमता आपको वर्तमान स्थितियों के आधार पर ताकत और प्रदर्शन के बीच संतुलन बनाने की अनुमति देती है।
दोनों निजी नेटवर्कों का समर्थन करना महत्वपूर्ण है, जिनके उपकरण एक संगठन के स्वामित्व में हैं (या इसे किराए पर दिए गए हैं), और ऑपरेटर नेटवर्क, जिनके विभिन्न खंडों को विभिन्न कंपनियों द्वारा प्रबंधित किया जाता है। यह अच्छा है अगर समाधान घरेलू और तीसरे पक्ष (प्रबंधित सेवा मॉडल का उपयोग करके) दोनों द्वारा प्रबंधन की अनुमति देता है। ऑपरेटर नेटवर्क में, एक अन्य महत्वपूर्ण कार्य व्यक्तिगत ग्राहकों (ग्राहकों) के क्रिप्टोग्राफ़िक अलगाव के रूप में बहु-किरायेदारी (विभिन्न ग्राहकों द्वारा साझा करना) के लिए समर्थन है, जिनका ट्रैफ़िक एन्क्रिप्शन उपकरणों के एक ही सेट से गुजरता है। इसके लिए आमतौर पर प्रत्येक ग्राहक के लिए चाबियों और प्रमाणपत्रों के अलग-अलग सेट के उपयोग की आवश्यकता होती है।
यदि कोई उपकरण किसी विशिष्ट परिदृश्य के लिए खरीदा जाता है, तो ये सभी सुविधाएं बहुत महत्वपूर्ण नहीं हो सकती हैं - आपको बस यह सुनिश्चित करने की आवश्यकता है कि डिवाइस उस चीज़ का समर्थन करता है जिसकी आपको अभी आवश्यकता है। लेकिन यदि कोई समाधान "विकास के लिए" खरीदा जाता है, साथ ही भविष्य के परिदृश्यों का समर्थन करने के लिए, और "कॉर्पोरेट मानक" के रूप में चुना जाता है, तो लचीलापन अतिश्योक्तिपूर्ण नहीं होगा - विशेष रूप से विभिन्न विक्रेताओं से उपकरणों की अंतरसंचालनीयता पर प्रतिबंधों को ध्यान में रखते हुए ( इस पर अधिक जानकारी नीचे दी गई है)।
सादगी और सुविधा
सेवा में आसानी भी एक बहुक्रियात्मक अवधारणा है। मोटे तौर पर, हम कह सकते हैं कि यह किसी निश्चित योग्यता वाले विशेषज्ञों द्वारा उसके जीवन चक्र के विभिन्न चरणों में समाधान का समर्थन करने के लिए खर्च किया गया कुल समय है। यदि कोई लागत नहीं है, और स्थापना, कॉन्फ़िगरेशन और संचालन पूरी तरह से स्वचालित है, तो लागत शून्य है और सुविधा पूर्ण है। निःसंदेह, वास्तविक दुनिया में ऐसा नहीं होता है। एक उचित सन्निकटन एक मॉडल है "तार पर गाँठ" (बम्प-इन-द-वायर), या पारदर्शी कनेक्शन, जिसमें एन्क्रिप्शन डिवाइस को जोड़ने और अक्षम करने के लिए नेटवर्क कॉन्फ़िगरेशन में किसी भी मैन्युअल या स्वचालित परिवर्तन की आवश्यकता नहीं होती है। उसी समय, समाधान को बनाए रखना सरल हो जाता है: आप एन्क्रिप्शन फ़ंक्शन को सुरक्षित रूप से चालू और बंद कर सकते हैं, और यदि आवश्यक हो, तो बस नेटवर्क केबल के साथ डिवाइस को "बायपास" करें (अर्थात, नेटवर्क उपकरण के उन पोर्ट को सीधे कनेक्ट करें जिससे यह जुड़ा हुआ था)। सच है, एक खामी है - एक हमलावर भी ऐसा ही कर सकता है। "तार पर नोड" सिद्धांत को लागू करने के लिए, न केवल यातायात को ध्यान में रखना आवश्यक है डेटा परतलेकिन नियंत्रण और प्रबंधन परतें - उपकरण उनके लिए पारदर्शी होने चाहिए। इसलिए, ऐसे ट्रैफ़िक को केवल तभी एन्क्रिप्ट किया जा सकता है जब एन्क्रिप्शन उपकरणों के बीच नेटवर्क में इस प्रकार के ट्रैफ़िक का कोई प्राप्तकर्ता न हो, क्योंकि यदि इसे छोड़ दिया जाता है या एन्क्रिप्ट किया जाता है, तो जब आप एन्क्रिप्शन को सक्षम या अक्षम करते हैं, तो नेटवर्क कॉन्फ़िगरेशन बदल सकता है। एन्क्रिप्शन डिवाइस भौतिक परत सिग्नलिंग के लिए भी पारदर्शी हो सकता है। विशेष रूप से, जब कोई सिग्नल खो जाता है, तो उसे इस नुकसान को सिग्नल की दिशा में आगे और पीछे ("स्वयं के लिए") प्रसारित करना होगा (अर्थात, अपने ट्रांसमीटरों को बंद करना होगा)।
सूचना सुरक्षा और आईटी विभागों, विशेष रूप से नेटवर्क विभाग के बीच प्राधिकरण के विभाजन में समर्थन भी महत्वपूर्ण है। एन्क्रिप्शन समाधान को संगठन के पहुंच नियंत्रण और ऑडिटिंग मॉडल का समर्थन करना चाहिए। नियमित कार्यों को करने के लिए विभिन्न विभागों के बीच बातचीत की आवश्यकता को कम किया जाना चाहिए। इसलिए, विशेष उपकरणों के लिए सुविधा के मामले में एक फायदा है जो विशेष रूप से एन्क्रिप्शन कार्यों का समर्थन करते हैं और नेटवर्क संचालन के लिए यथासंभव पारदर्शी हैं। सीधे शब्दों में कहें तो, सूचना सुरक्षा कर्मचारियों के पास नेटवर्क सेटिंग्स बदलने के लिए "नेटवर्क विशेषज्ञों" से संपर्क करने का कोई कारण नहीं होना चाहिए। और बदले में, उन्हें नेटवर्क बनाए रखते समय एन्क्रिप्शन सेटिंग्स बदलने की आवश्यकता नहीं होनी चाहिए।
एक अन्य कारक नियंत्रण की क्षमताएं और सुविधा है। उन्हें दृश्यमान, तार्किक होना चाहिए, सेटिंग्स का आयात-निर्यात, स्वचालन इत्यादि प्रदान करना चाहिए। आपको तुरंत इस बात पर ध्यान देना चाहिए कि कौन से प्रबंधन विकल्प उपलब्ध हैं (आमतौर पर उनका अपना प्रबंधन वातावरण, वेब इंटरफ़ेस और कमांड लाइन) और उनमें से प्रत्येक के पास कार्यों का कौन सा सेट है (सीमाएं हैं)। एक महत्वपूर्ण कार्य समर्थन है बैंड से बाहर है (आउट-ऑफ-बैंड) नियंत्रण, यानी एक समर्पित नियंत्रण नेटवर्क के माध्यम से, और इन-बैंड (इन-बैंड) नियंत्रण, अर्थात एक सामान्य नेटवर्क के माध्यम से जिसके माध्यम से उपयोगी ट्रैफ़िक प्रसारित होता है। प्रबंधन उपकरणों को सूचना सुरक्षा घटनाओं सहित सभी असामान्य स्थितियों का संकेत देना चाहिए। नियमित, दोहराव वाले ऑपरेशन स्वचालित रूप से निष्पादित होने चाहिए। यह मुख्य रूप से प्रमुख प्रबंधन से संबंधित है। उन्हें स्वचालित रूप से उत्पन्न/वितरित किया जाना चाहिए। पीकेआई समर्थन एक बड़ा लाभ है।
अनुकूलता
अर्थात्, नेटवर्क मानकों के साथ डिवाइस की अनुकूलता। इसके अलावा, इसका मतलब न केवल आईईईई जैसे आधिकारिक संगठनों द्वारा अपनाए गए औद्योगिक मानक हैं, बल्कि सिस्को जैसे उद्योग के नेताओं के मालिकाना प्रोटोकॉल भी हैं। अनुकूलता सुनिश्चित करने के दो मुख्य तरीके हैं: या तो के माध्यम से पारदर्शिता, या के माध्यम से स्पष्ट समर्थन प्रोटोकॉल (जब एक एन्क्रिप्शन डिवाइस एक निश्चित प्रोटोकॉल के लिए नेटवर्क नोड्स में से एक बन जाता है और इस प्रोटोकॉल के नियंत्रण ट्रैफ़िक को संसाधित करता है)। नेटवर्क के साथ संगतता नियंत्रण प्रोटोकॉल के कार्यान्वयन की पूर्णता और शुद्धता पर निर्भर करती है। PHY स्तर (गति, ट्रांसमिशन माध्यम, एन्कोडिंग योजना), किसी भी MTU के साथ विभिन्न प्रारूपों के ईथरनेट फ्रेम, विभिन्न L3 सेवा प्रोटोकॉल (मुख्य रूप से TCP/IP परिवार) के लिए विभिन्न विकल्पों का समर्थन करना महत्वपूर्ण है।
उत्परिवर्तन (एन्क्रिप्टरों के बीच ट्रैफ़िक में खुले हेडर की सामग्री को अस्थायी रूप से बदलना), स्किपिंग (जब व्यक्तिगत पैकेट अनएन्क्रिप्टेड रहते हैं) और एन्क्रिप्शन की शुरुआत के इंडेंटेशन (जब सामान्य रूप से पैकेट के एन्क्रिप्टेड फ़ील्ड एन्क्रिप्टेड नहीं होते हैं) के तंत्र के माध्यम से पारदर्शिता सुनिश्चित की जाती है।
पारदर्शिता कैसे सुनिश्चित की जाती है
इसलिए, हमेशा जांचें कि किसी विशेष प्रोटोकॉल के लिए समर्थन कैसे प्रदान किया जाता है। अक्सर पारदर्शी मोड में समर्थन अधिक सुविधाजनक और विश्वसनीय होता है।
इंटरोऑपरेबिलिटी
यह भी अनुकूलता है, लेकिन एक अलग अर्थ में, अर्थात् अन्य निर्माताओं सहित एन्क्रिप्शन उपकरणों के अन्य मॉडलों के साथ मिलकर काम करने की क्षमता। बहुत कुछ एन्क्रिप्शन प्रोटोकॉल के मानकीकरण की स्थिति पर निर्भर करता है। L1 पर कोई आम तौर पर स्वीकृत एन्क्रिप्शन मानक नहीं हैं।
ईथरनेट नेटवर्क पर L2 एन्क्रिप्शन के लिए 802.1ae (MACsec) मानक है, लेकिन यह इसका उपयोग नहीं करता है शुरू से अंत तक (एंड-टू-एंड), और अंतर्यापित, "हॉप-बाय-हॉप" एन्क्रिप्शन, और इसके मूल संस्करण में वितरित नेटवर्क में उपयोग के लिए अनुपयुक्त है, इसलिए इसके मालिकाना एक्सटेंशन सामने आए हैं जो इस सीमा को पार करते हैं (बेशक, अन्य निर्माताओं के उपकरणों के साथ अंतर के कारण)। सच है, 2018 में, वितरित नेटवर्क के लिए समर्थन 802.1ae मानक में जोड़ा गया था, लेकिन GOST एन्क्रिप्शन एल्गोरिदम सेट के लिए अभी भी कोई समर्थन नहीं है। इसलिए, मालिकाना, गैर-मानक L2 एन्क्रिप्शन प्रोटोकॉल, एक नियम के रूप में, अधिक दक्षता (विशेष रूप से, कम बैंडविड्थ ओवरहेड) और लचीलेपन (एन्क्रिप्शन एल्गोरिदम और मोड को बदलने की क्षमता) द्वारा प्रतिष्ठित होते हैं।
उच्च स्तर (L3 और L4) पर मान्यता प्राप्त मानक हैं, मुख्य रूप से IPsec और TLS, लेकिन यहां भी यह इतना सरल नहीं है। तथ्य यह है कि इनमें से प्रत्येक मानक प्रोटोकॉल का एक सेट है, प्रत्येक के कार्यान्वयन के लिए आवश्यक या वैकल्पिक विभिन्न संस्करण और एक्सटेंशन हैं। इसके अलावा, कुछ निर्माता L3/L4 पर अपने मालिकाना एन्क्रिप्शन प्रोटोकॉल का उपयोग करना पसंद करते हैं। इसलिए, ज्यादातर मामलों में आपको पूर्ण अंतरसंचालनीयता पर भरोसा नहीं करना चाहिए, लेकिन यह महत्वपूर्ण है कि कम से कम एक ही निर्माता के विभिन्न मॉडलों और विभिन्न पीढ़ियों के बीच बातचीत सुनिश्चित हो।
विश्वसनीयता
विभिन्न समाधानों की तुलना करने के लिए, आप विफलताओं या उपलब्धता कारक के बीच या तो औसत समय का उपयोग कर सकते हैं। यदि ये संख्याएँ उपलब्ध नहीं हैं (या इन पर भरोसा नहीं है) तो गुणात्मक तुलना की जा सकती है। सुविधाजनक प्रबंधन वाले उपकरणों में एक फायदा होगा (कॉन्फ़िगरेशन त्रुटियों का कम जोखिम), विशेष एन्क्रिप्टर्स (उसी कारण से), साथ ही विफलता का पता लगाने और उसे खत्म करने के लिए न्यूनतम समय के साथ समाधान, जिसमें पूरे नोड्स के "हॉट" बैकअप के साधन शामिल होंगे और उपकरण।
लागत
जब लागत की बात आती है, तो अधिकांश आईटी समाधानों की तरह, स्वामित्व की कुल लागत की तुलना करना समझ में आता है। इसकी गणना करने के लिए, आपको पहिये को फिर से आविष्कार करने की ज़रूरत नहीं है, बल्कि किसी उपयुक्त पद्धति (उदाहरण के लिए, गार्टनर से) और किसी भी कैलकुलेटर (उदाहरण के लिए, वह जो पहले से ही संगठन में टीसीओ की गणना करने के लिए उपयोग किया जाता है) का उपयोग करें। यह स्पष्ट है कि नेटवर्क एन्क्रिप्शन समाधान के लिए, स्वामित्व की कुल लागत शामिल है प्रत्यक्ष स्वयं समाधान खरीदने या किराए पर लेने की लागत, होस्टिंग उपकरण के लिए बुनियादी ढाँचा और तैनाती, प्रशासन और रखरखाव की लागत (चाहे घर में या तीसरे पक्ष की सेवाओं के रूप में), साथ ही साथ अप्रत्यक्ष समाधान डाउनटाइम से लागत (अंतिम-उपयोगकर्ता उत्पादकता के नुकसान के कारण)। संभवतः केवल एक ही सूक्ष्मता है. समाधान के प्रदर्शन प्रभाव को अलग-अलग तरीकों से माना जा सकता है: या तो खोई हुई उत्पादकता के कारण होने वाली अप्रत्यक्ष लागत के रूप में, या नेटवर्क टूल की खरीद/अपग्रेड और रखरखाव की "आभासी" प्रत्यक्ष लागत के रूप में जो उपयोग के कारण नेटवर्क प्रदर्शन के नुकसान की भरपाई करती है। कूटलेखन। किसी भी मामले में, जिन खर्चों की गणना पर्याप्त सटीकता के साथ करना मुश्किल है, उन्हें गणना से बाहर रखना ही बेहतर है: इस तरह अंतिम मूल्य पर अधिक विश्वास होगा। और, हमेशा की तरह, किसी भी मामले में, टीसीओ द्वारा विभिन्न उपकरणों की उनके उपयोग के एक विशिष्ट परिदृश्य के लिए तुलना करना समझ में आता है - वास्तविक या विशिष्ट।
सहनशीलता
और अंतिम विशेषता समाधान की दृढ़ता है। ज्यादातर मामलों में, विभिन्न समाधानों की तुलना करके ही स्थायित्व का गुणात्मक मूल्यांकन किया जा सकता है। हमें याद रखना चाहिए कि एन्क्रिप्शन डिवाइस न केवल एक साधन हैं, बल्कि सुरक्षा का एक उद्देश्य भी हैं। उन्हें विभिन्न खतरों का सामना करना पड़ सकता है। इनमें गोपनीयता के उल्लंघन, संदेशों के पुनरुत्पादन और संशोधन के खतरे सबसे आगे हैं। इन खतरों को सिफर या उसके व्यक्तिगत मोड की कमजोरियों के माध्यम से, एन्क्रिप्शन प्रोटोकॉल में कमजोरियों के माध्यम से महसूस किया जा सकता है (कनेक्शन स्थापित करने और कुंजी बनाने/वितरित करने के चरणों सहित)। इसका लाभ उन समाधानों के लिए होगा जो एन्क्रिप्शन एल्गोरिथ्म को बदलने या सिफर मोड को स्विच करने की अनुमति देते हैं (कम से कम फर्मवेयर अपडेट के माध्यम से), समाधान जो सबसे पूर्ण एन्क्रिप्शन प्रदान करते हैं, हमलावर से न केवल उपयोगकर्ता डेटा छिपाते हैं, बल्कि पता और अन्य सेवा जानकारी भी छिपाते हैं। , साथ ही तकनीकी समाधान जो न केवल एन्क्रिप्ट करते हैं, बल्कि संदेशों को पुनरुत्पादन और संशोधन से भी बचाते हैं। सभी आधुनिक एन्क्रिप्शन एल्गोरिदम, इलेक्ट्रॉनिक हस्ताक्षर, कुंजी पीढ़ी इत्यादि के लिए, जो मानकों में निहित हैं, ताकत को समान माना जा सकता है (अन्यथा आप आसानी से क्रिप्टोग्राफी के जंगल में खो सकते हैं)। क्या ये आवश्यक रूप से GOST एल्गोरिदम होने चाहिए? यहां सब कुछ सरल है: यदि एप्लिकेशन परिदृश्य को सीआईपीएफ के लिए एफएसबी प्रमाणीकरण की आवश्यकता होती है (और रूस में यह अक्सर होता है; अधिकांश नेटवर्क एन्क्रिप्शन परिदृश्यों के लिए यह सच है), तो हम केवल प्रमाणित लोगों के बीच चयन करते हैं। यदि नहीं, तो बिना प्रमाणपत्र वाले उपकरणों को विचार से बाहर करने का कोई मतलब नहीं है।
एक अन्य खतरा हैकिंग, उपकरणों तक अनधिकृत पहुंच (केस के बाहर और अंदर भौतिक पहुंच सहित) का खतरा है। के जरिये धमकी को अंजाम दिया जा सकता है
कार्यान्वयन में कमजोरियाँ - हार्डवेयर और कोड में। इसलिए, नेटवर्क के माध्यम से न्यूनतम "हमले की सतह" वाले समाधान, भौतिक पहुंच से संरक्षित बाड़ों के साथ (घुसपैठ सेंसर, जांच सुरक्षा और बाड़े को खोलने पर महत्वपूर्ण जानकारी के स्वचालित रीसेट के साथ), साथ ही जो फर्मवेयर अपडेट की अनुमति देते हैं, उनके पास होगा इस स्थिति में एक फायदा यह है कि कोड में भेद्यता ज्ञात हो जाती है। एक और तरीका है: यदि तुलना किए जा रहे सभी उपकरणों में एफएसबी प्रमाणपत्र हैं, तो सीआईपीएफ वर्ग जिसके लिए प्रमाणपत्र जारी किया गया था, को हैकिंग के प्रतिरोध का संकेतक माना जा सकता है।
अंत में, एक अन्य प्रकार का खतरा सेटअप और संचालन के दौरान त्रुटियां हैं, मानव कारक अपने शुद्धतम रूप में। यह अभिसरण समाधानों की तुलना में विशेष एन्क्रिप्टर्स का एक और लाभ दिखाता है, जो अक्सर अनुभवी "नेटवर्क विशेषज्ञों" के लिए लक्षित होते हैं और "सामान्य", सामान्य सूचना सुरक्षा विशेषज्ञों के लिए कठिनाइयों का कारण बन सकते हैं।
बुलाने
सिद्धांत रूप में, यहां विभिन्न उपकरणों की तुलना के लिए किसी प्रकार के अभिन्न संकेतक का प्रस्ताव करना संभव होगा, कुछ इस तरह
$$display$$K_j=∑p_i r_{ij}$$display$$
जहां पी संकेतक का वजन है, और आर इस संकेतक के अनुसार डिवाइस की रैंक है, और ऊपर सूचीबद्ध किसी भी विशेषता को "परमाणु" संकेतकों में विभाजित किया जा सकता है। ऐसा फॉर्मूला उपयोगी हो सकता है, उदाहरण के लिए, पूर्व-सहमत नियमों के अनुसार निविदा प्रस्तावों की तुलना करते समय। लेकिन आप इस तरह की एक साधारण तालिका से काम चला सकते हैं
लक्षण वर्णन
डिवाइस 1
डिवाइस 2
...
डिवाइस एन
क्षमता
+
+
+ + +
ओवरहेड्स
+
++
+ + +
देरी
+
+
++
scalability
+ + +
+
+ + +
लचीलापन
+ + +
++
+
इंटरोऑपरेबिलिटी
++
+
+
अनुकूलता
++
++
+ + +
सादगी और सुविधा
+
+
++
दोष सहिष्णुता
+ + +
+ + +
++
लागत
++
+ + +
+
सहनशीलता
++
++
+ + +
मुझे प्रश्नों और रचनात्मक आलोचना का उत्तर देने में खुशी होगी।
स्रोत: www.habr.com