ProHoster > Blog > uprava > Kako procijeniti i usporediti Ethernet uređaje za šifriranje

Kako procijeniti i usporediti Ethernet uređaje za šifriranje

Napisao sam ovu recenziju (ili, ako želite, vodič za usporedbu) kada sam dobio zadatak usporediti nekoliko uređaja različitih proizvođača. Osim toga, ti su uređaji pripadali različitim klasama. Morao sam razumjeti arhitekturu i karakteristike svih tih uređaja i stvoriti "koordinatni sustav" za usporedbu. Bit će mi drago ako moja recenzija nekome pomogne:

  • Razumjeti opise i specifikacije uređaja za šifriranje
  • Razlikujte "papirnate" karakteristike od onih koje su stvarno važne u stvarnom životu
  • Idite dalje od uobičajenog skupa dobavljača i uključite u razmatranje sve proizvode koji su prikladni za rješavanje problema
  • Postavljajte prava pitanja tijekom pregovora
  • Sastavljanje zahtjeva za natječaj (RFP)
  • Shvatite koje će se karakteristike morati žrtvovati ako se odabere određeni model uređaja

Što se može procijeniti

U načelu, pristup je primjenjiv na sve samostalne uređaje prikladne za šifriranje mrežnog prometa između udaljenih Ethernet segmenata (cross-site enkripcija). Odnosno, "kutije" u zasebnom kućištu (u redu, ovdje ćemo također uključiti bladeove/module za šasiju), koje su povezane preko jednog ili više Ethernet portova na lokalnu (kampusnu) Ethernet mrežu s nekriptiranim prometom, i kroz drugi priključak(-ove) za kanal/mrežu kroz koji se već šifrirani promet prenosi u druge, udaljene segmente. Takvo rješenje za enkripciju može se implementirati u privatnoj ili operaterskoj mreži kroz različite vrste "prijenosa" (tamno vlakno, oprema za frekvencijsku podjelu, komutirani Ethernet, kao i "pseudožice" postavljene kroz mrežu s različitom arhitekturom usmjeravanja, najčešće MPLS ), sa ili bez VPN tehnologije.

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
Enkripcija mreže u distribuiranoj Ethernet mreži

Sami uređaji mogu biti bilo koji specijalizirani (isključivo za šifriranje), ili višenamjenski (hibridni, konvergentan), odnosno obavlja i druge funkcije (na primjer, vatrozid ili usmjerivač). Različiti proizvođači svrstavaju svoje uređaje u različite klase/kategorije, ali to nije bitno - jedino je važno mogu li šifrirati cross-site promet i koje karakteristike imaju.

Za svaki slučaj, podsjećam vas da su "mrežna enkripcija", "enkripcija prometa", "kriptor" neformalni pojmovi, iako se često koriste. Najvjerojatnije ih nećete pronaći u ruskim propisima (uključujući one koji uvode GOST-ove).

Razine šifriranja i načini prijenosa

Prije nego počnemo opisivati ​​same karakteristike koje će se koristiti za evaluaciju, prvo ćemo morati razumjeti jednu važnu stvar, naime "razinu enkripcije". Primijetio sam da se često spominje u službenim dokumentima dobavljača (u opisima, priručnicima itd.) iu neformalnim razgovorima (na pregovorima, treninzima). Odnosno, čini se da svi jako dobro znaju o čemu govorimo, ali osobno sam svjedočio nekoj zabuni.

Dakle, što je "razina enkripcije"? Jasno je da govorimo o broju sloja OSI/ISO referentnog mrežnog modela na kojem se događa enkripcija. Čitamo GOST R ISO 7498-2–99 „Informacijska tehnologija. Međusobno povezivanje otvorenih sustava. Osnovni referentni model. Dio 2. Arhitektura informacijske sigurnosti.” Iz ovog dokumenta može se razumjeti da je razina usluge povjerljivosti (jedan od mehanizama za pružanje koje je enkripcija) razina protokola, čiji je podatkovni blok usluge („payload“, korisnički podaci) šifriran. Kao što je također napisano u standardu, usluga se može pružati i na istoj razini, "sama" i uz pomoć niže razine (tako je npr. najčešće implementirano u MACsec-u) .

U praksi su moguća dva načina prijenosa kriptiranih informacija preko mreže (odmah pada na pamet IPsec, ali isti načini se nalaze iu drugim protokolima). U prijevoz (ponekad se naziva i izvorni) način je samo šifriran servis blok podataka, a zaglavlja ostaju „otvorena“, nekriptirana (ponekad se dodaju dodatna polja sa servisnim informacijama algoritma za šifriranje, a ostala polja se modificiraju i preračunavaju). U tunel isti mod svi protokol podatkovni blok (odnosno sam paket) je kriptiran i enkapsuliran u servisni podatkovni blok iste ili više razine, odnosno okružen je novim zaglavljima.

Sama razina enkripcije u kombinaciji s nekim modom prijenosa nije ni dobra ni loša, pa se ne može reći da je npr. L3 u transportnom modu bolji od L2 u tunelskom modu. Samo što mnoge karakteristike po kojima se uređaji ocjenjuju ovise o njima. Na primjer, fleksibilnost i kompatibilnost. Za rad u mreži L1 (relej toka bitova), L2 (prebacivanje okvira) i L3 (usmjeravanje paketa) u načinu prijenosa, potrebna su vam rješenja koja šifriraju na istoj ili višoj razini (inače će informacije o adresi biti šifrirane, a podaci ne stigne do željenog odredišta), a tunelski način rada nadilazi ovo ograničenje (iako žrtvuje druge važne karakteristike).

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
Transportni i tunelski L2 načini šifriranja

Sada prijeđimo na analizu karakteristika.

Performanse

Za mrežnu enkripciju, izvedba je složen, višedimenzionalan koncept. Događa se da je određeni model, iako superioran u jednoj karakteristici izvedbe, inferioran u drugoj. Stoga je uvijek korisno razmotriti sve komponente izvedbe enkripcije i njihov utjecaj na izvedbu mreže i aplikacija koje je koriste. Ovdje možemo povući analogiju s automobilom, za koji nije važna samo maksimalna brzina, već i vrijeme ubrzanja do "stotke", potrošnja goriva i tako dalje. Tvrtke dobavljači i njihovi potencijalni kupci veliku pozornost posvećuju karakteristikama performansi. U pravilu se uređaji za šifriranje rangiraju na temelju performansi u linijama dobavljača.

Jasno je da izvedba ovisi i o složenosti mrežnih i kriptografskih operacija koje se izvode na uređaju (uključujući koliko dobro se ti zadaci mogu paralelizirati i usmjeravati), kao i o izvedbi hardvera i kvaliteti firmvera. Stoga stariji modeli koriste produktivniji hardver, ponekad ga je moguće opremiti dodatnim procesorima i memorijskim modulima. Postoji nekoliko pristupa implementaciji kriptografskih funkcija: na središnjoj procesorskoj jedinici opće namjene (CPU), integriranom krugu specifičnom za aplikaciju (ASIC) ili integriranom logičkom krugu koji se može programirati u polju (FPGA). Svaki pristup ima svoje prednosti i nedostatke. Na primjer, CPU može postati usko grlo enkripcije, osobito ako procesor nema specijalizirane upute za podršku algoritma enkripcije (ili ako se one ne koriste). Specijaliziranim čipovima nedostaje fleksibilnost; nije ih uvijek moguće ponovno "flashirati" kako bi se poboljšale performanse, dodale nove funkcije ili uklonile ranjivosti. Osim toga, njihova uporaba postaje isplativa samo uz velike količine proizvodnje. Zbog toga je "zlatna sredina" postala toliko popularna - korištenje FPGA (FPGA na ruskom). Na FPGA se izrađuju tzv. kripto akceleratori - ugrađeni ili utični specijalizirani hardverski moduli za podršku kriptografskim operacijama.

Budući da govorimo o mreža enkripcije, logično je da se performanse rješenja mjere u istim veličinama kao i za druge mrežne uređaje - propusnost, postotak gubitka okvira i latencija. Ove vrijednosti su definirane u RFC 1242. Usput, ništa nije napisano o često spominjanoj varijaciji kašnjenja (jitter) u ovom RFC-u. Kako izmjeriti te količine? Nisam pronašao odobrenu metodologiju ni u jednom standardu (službenom ili neslužbenom kao što je RFC) posebno za mrežnu enkripciju. Bilo bi logično koristiti metodologiju za mrežne uređaje sadržanu u standardu RFC 2544. Mnogi dobavljači ga slijede - mnogi, ali ne svi. Na primjer, šalju testni promet samo u jednom smjeru umjesto u oba, npr preporučeno standard. U svakom slučaju.

Mjerenje performansi uređaja za mrežno šifriranje i dalje ima svoje karakteristike. Prvo, ispravno je izvršiti sva mjerenja za par uređaja: iako su algoritmi enkripcije simetrični, kašnjenja i gubici paketa tijekom šifriranja i dešifriranja neće nužno biti jednaki. Drugo, ima smisla mjeriti delta, utjecaj mrežne enkripcije na konačnu mrežnu izvedbu, uspoređujući dvije konfiguracije: bez enkripcijskih uređaja i s njima. Ili, kao što je slučaj s hibridnim uređajima, koji uz mrežnu enkripciju kombiniraju nekoliko funkcija, s uključenom i isključenom enkripcijom. Taj utjecaj može biti različit i ovisi o shemi povezivanja uređaja za šifriranje, o načinima rada i konačno o prirodi prometa. Konkretno, mnogi parametri performansi ovise o duljini paketa, zbog čega se za usporedbu performansi različitih rješenja često koriste grafovi ovih parametara ovisno o duljini paketa ili se koristi IMIX - distribucija prometa po paketu duljine, što približno odražava stvarnu. Ako usporedimo istu osnovnu konfiguraciju bez enkripcije, možemo usporediti rješenja mrežne enkripcije implementirana drugačije, a da ne ulazimo u ove razlike: L2 s L3, store-and-forward ) s prorezom, specijalizirano s konvergentnim, GOST s AES-om i tako dalje.

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
Dijagram spajanja za testiranje performansi

Prva karakteristika na koju ljudi obraćaju pozornost je “brzina” uređaja za šifriranje, tj širina pojasa (propusnost) njegovih mrežnih sučelja, brzina protoka bita. Određen je mrežnim standardima koje podržavaju sučelja. Za Ethernet, uobičajeni brojevi su 1 Gbps i 10 Gbps. Ali, kao što znamo, u svakoj mreži maksimum teoretski propusnost (propusnost) na svakoj od njegovih razina uvijek postoji manja propusnost: dio propusnosti "pojedu" međuokvirni intervali, servisna zaglavlja i tako dalje. Ako je uređaj sposoban primati, obrađivati ​​(u našem slučaju šifrirati ili dekriptirati) i slati promet punom brzinom mrežnog sučelja, odnosno maksimalnom teoretskom propusnošću za ovu razinu mrežnog modela, tada se kaže raditi brzinom linije. Da biste to učinili, potrebno je da uređaj ne gubi niti odbacuje pakete bilo koje veličine i bilo koje učestalosti. Ako uređaj za šifriranje ne podržava rad pri brzini linije, tada je njegova maksimalna propusnost obično navedena u istim gigabitima po sekundi (ponekad označavajući duljinu paketa - što su paketi kraći, to je propusnost obično niža). Vrlo je važno razumjeti da je maksimalna propusnost maksimalna bez gubitka (čak i ako uređaj može "pumpati" promet kroz sebe većom brzinom, ali pritom izgubiti neke pakete). Također, imajte na umu da neki dobavljači mjere ukupnu propusnost između svih parova portova, tako da ti brojevi ne znače mnogo ako sav šifrirani promet prolazi kroz jedan port.

Gdje je posebno važno raditi brzinom linije (ili, drugim riječima, bez gubitka paketa)? U vezama velike propusnosti i velike latencije (kao što je satelit), gdje se mora postaviti velika veličina TCP prozora da bi se održale velike brzine prijenosa i gdje gubitak paketa dramatično smanjuje performanse mreže.

Ali ne koristi se sva propusnost za prijenos korisnih podataka. Moramo računati s tzv režijski troškovi (overhead) širina pojasa. Ovo je dio propusnosti uređaja za šifriranje (kao postotak ili bajtovi po paketu) koji je zapravo izgubljen (ne može se koristiti za prijenos podataka aplikacije). Režijski troškovi nastaju, prije svega, zbog povećanja veličine (dodavanja, “punjenja”) podatkovnog polja u šifriranim mrežnim paketima (ovisno o algoritmu šifriranja i njegovom načinu rada). Drugo, zbog povećanja duljine zaglavlja paketa (tunelski način rada, umetanje usluge protokola šifriranja, umetanje simulacije itd. ovisno o protokolu i načinu rada šifre i načinu prijenosa) - obično su ti režijski troškovi najvažniji, a oni prvi obraćaju pozornost. Treće, zbog fragmentacije paketa kada se prekorači maksimalna veličina podatkovne jedinice (MTU) (ako mreža može podijeliti paket koji premašuje MTU na dva, duplicirajući njegova zaglavlja). Četvrto, zbog pojave dodatnog servisnog (kontrolnog) prometa na mreži između uređaja za šifriranje (za razmjenu ključeva, instalaciju tunela itd.). Niska potrošnja je važna tamo gdje je kapacitet kanala ograničen. To je posebno vidljivo u prometu iz malih paketa, na primjer, glasa – gdje režijski troškovi mogu “pojesti” više od polovice brzine kanala!

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
kapacitet

Konačno, ima još uvedeno kašnjenje – razlika (u djelićima sekunde) u kašnjenju mreže (vrijeme potrebno da podaci prođu od ulaska u mrežu do napuštanja mreže) između prijenosa podataka bez i s mrežnom enkripcijom. Općenito govoreći, što je niža latencija ("latencija") mreže, to je kritičnija latencija koju uvode uređaji za šifriranje. Kašnjenje unosi sama operacija enkripcije (ovisno o algoritmu enkripcije, duljini bloka i načinu rada šifre, kao io kvaliteti njezine implementacije u softver), te obrada mrežnog paketa u uređaju. . Uvedena latencija ovisi o načinu obrade paketa (prolazni ili pohrani i naprijed) i izvedbi platforme (hardverska implementacija na FPGA ili ASIC općenito je brža od softverske implementacije na CPU). L2 enkripcija gotovo uvijek ima nižu latenciju od L3 ili L4 enkripcije, zbog činjenice da su uređaji za šifriranje L3/L4 često konvergirani. Na primjer, s brzim Ethernet enkriptorima implementiranim na FPGA i šifriranjem na L2, kašnjenje zbog operacije enkripcije je nestašno malo - ponekad kada je enkripcija omogućena na paru uređaja, ukupno kašnjenje koje oni unose čak se smanjuje! Niska latencija je važna kada je usporediva s ukupnim kašnjenjima kanala, uključujući kašnjenje propagacije, koje je približno 5 μs po kilometru. Odnosno, možemo reći da za mreže urbanih razmjera (desetke kilometara u promjeru) mikrosekunde mogu puno odlučiti. Na primjer, za sinkronu replikaciju baze podataka, visokofrekventno trgovanje, isti blockchain.

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
Uvedena odgoda

Skalabilnost

Velike distribuirane mreže mogu uključivati ​​mnogo tisuća čvorova i mrežnih uređaja, stotine lokalnih mrežnih segmenata. Važno je da rješenja za šifriranje ne nameću dodatna ograničenja na veličinu i topologiju distribuirane mreže. Ovo se primarno odnosi na maksimalan broj host i mrežnih adresa. Na takva se ograničenja može naići, na primjer, pri implementaciji topologije šifrirane mreže s više točaka (s neovisnim sigurnim vezama ili tunelima) ili selektivne enkripcije (na primjer, prema broju protokola ili VLAN-u). Ako se u ovom slučaju mrežne adrese (MAC, IP, VLAN ID) koriste kao ključevi u tablici u kojoj je broj redaka ograničen, tada se ta ograničenja pojavljuju ovdje.

Osim toga, velike mreže često imaju nekoliko strukturnih slojeva, uključujući jezgrenu mrežu, od kojih svaka implementira vlastitu shemu adresiranja i vlastitu politiku usmjeravanja. Za implementaciju ovog pristupa često se koriste posebni formati okvira (kao što su Q-in-Q ili MAC-in-MAC) i protokoli usmjeravanja. Kako ne bi spriječili izgradnju takvih mreža, uređaji za šifriranje moraju ispravno rukovati takvim okvirima (odnosno, u tom smislu, skalabilnost će značiti kompatibilnost - više o tome u nastavku).

savitljivost

Ovdje govorimo o podršci raznim konfiguracijama, shemama povezivanja, topologijama i drugim stvarima. Na primjer, za komutirane mreže temeljene na Carrier Ethernet tehnologijama, to znači podršku za različite vrste virtualnih veza (E-Line, E-LAN, E-Tree), različite vrste usluga (po portu i VLAN-u) i različite tehnologije prijenosa (već su gore navedeni). Odnosno, uređaj mora moći raditi iu linearnom ("od točke do točke") iu višetočkom načinu rada, uspostaviti zasebne tunele za različite VLAN-ove i omogućiti isporuku paketa izvan reda unutar sigurnog kanala. Mogućnost odabira različitih načina šifriranja (uključujući sa ili bez provjere autentičnosti sadržaja) i različitih načina prijenosa paketa omogućuje vam postizanje ravnoteže između snage i performansi ovisno o trenutnim uvjetima.

Također je važno podržati kako privatne mreže, čija je oprema u vlasništvu jedne organizacije (ili joj je iznajmljena), tako i mreže operatera, čijim različitim segmentima upravljaju različite tvrtke. Dobro je ako rješenje omogućuje upravljanje unutar tvrtke i od strane treće strane (koristeći model upravljane usluge). U mrežama operatera još jedna važna funkcija je podrška za multi-tenancy (dijeljenje između različitih korisnika) u obliku kriptografske izolacije pojedinačnih korisnika (pretplatnika) čiji promet prolazi kroz isti skup uređaja za šifriranje. To obično zahtijeva korištenje zasebnih skupova ključeva i certifikata za svakog korisnika.

Ako je uređaj kupljen za određeni scenarij, tada sve te značajke možda nisu jako važne - samo trebate biti sigurni da uređaj podržava ono što vam sada treba. Ali ako je rješenje kupljeno "za rast", za podršku i budućim scenarijima, te je odabrano kao "korporacijski standard", tada fleksibilnost neće biti suvišna - posebno uzimajući u obzir ograničenja interoperabilnosti uređaja različitih dobavljača ( više o tome u nastavku).

Jednostavnost i praktičnost

Lakoća usluge također je višestruki koncept. Otprilike, možemo reći da je to ukupno vrijeme provedeno od strane stručnjaka određene kvalifikacije potrebno za podršku rješenja u različitim fazama njegovog životnog ciklusa. Ako nema troškova, a instalacija, konfiguracija i rad su potpuno automatski, tada su troškovi jednaki nuli, a pogodnost je apsolutna. Naravno, to se ne događa u stvarnom svijetu. Razumna aproksimacija je model "čvor na žici" (bump-in-the-wire), ili transparentna veza, u kojoj dodavanje i onemogućavanje uređaja za šifriranje ne zahtijeva nikakve ručne ili automatske promjene konfiguracije mreže. Istodobno, održavanje rješenja je pojednostavljeno: možete sigurno uključiti i isključiti funkciju enkripcije, a ako je potrebno, jednostavno "zaobići" uređaj mrežnim kabelom (odnosno, izravno spojiti one priključke mrežne opreme na koje bilo je povezano). Istina, postoji jedan nedostatak - napadač može učiniti isto. Za implementaciju principa "čvor na žici" potrebno je uzeti u obzir ne samo promet podatkovni slojAli slojeve kontrole i upravljanja – uređaji im moraju biti transparentni. Stoga se takav promet može šifrirati samo kada nema primatelja ove vrste prometa u mreži između uređaja za šifriranje, jer ako se odbaci ili šifrira, tada kada omogućite ili onemogućite enkripciju, konfiguracija mreže se može promijeniti. Uređaj za šifriranje također može biti transparentan za signalizaciju fizičkog sloja. Konkretno, kada se signal izgubi, mora prenijeti taj gubitak (to jest, isključiti svoje odašiljače) naprijed-natrag ("za sebe") u smjeru signala.

Važna je i podrška u podjeli ovlasti između odjela informacijske sigurnosti i IT-a, posebice mrežnog odjela. Rješenje za šifriranje mora podržavati model kontrole pristupa i revizije organizacije. Potreba za interakcijom između različitih odjela za obavljanje rutinskih operacija treba biti svedena na minimum. Stoga postoji prednost u smislu pogodnosti za specijalizirane uređaje koji podržavaju isključivo funkcije šifriranja i što su transparentniji za mrežne operacije. Jednostavno rečeno, zaposlenici informacijske sigurnosti ne bi trebali imati razloga kontaktirati "mrežne stručnjake" za promjenu mrežnih postavki. A oni, pak, ne bi trebali imati potrebu mijenjati postavke enkripcije prilikom održavanja mreže.

Drugi čimbenik su mogućnosti i praktičnost kontrola. Oni bi trebali biti vizualni, logični, omogućiti uvoz-izvoz postavki, automatizaciju i tako dalje. Trebali biste odmah obratiti pozornost na dostupne opcije upravljanja (obično vlastito okruženje za upravljanje, web sučelje i naredbeni redak) i koji skup funkcija svaka od njih ima (postoje ograničenja). Važna funkcija je podrška izvan benda (izvanpojasno) upravljanje, odnosno putem namjenske upravljačke mreže, i unutar pojasa (in-band) kontrolu, odnosno kroz zajedničku mrežu kroz koju se prenosi koristan promet. Alati za upravljanje moraju signalizirati sve nenormalne situacije, uključujući incidente informacijske sigurnosti. Rutinske operacije koje se ponavljaju trebale bi se izvoditi automatski. To se prvenstveno odnosi na upravljanje ključevima. Trebaju se automatski generirati/distribuirati. PKI podrška je veliki plus.

Kompatibilnost

Odnosno, kompatibilnost uređaja s mrežnim standardima. Štoviše, to ne znači samo industrijske standarde koje su usvojile autoritativne organizacije kao što je IEEE, već i vlasničke protokole vodećih u industriji, kao što je Cisco. Postoje dva glavna načina za osiguranje kompatibilnosti: putem prozirnost, ili kroz eksplicitnu podršku protokoli (kada uređaj za šifriranje postane jedan od mrežnih čvorova za određeni protokol i obrađuje kontrolni promet tog protokola). Kompatibilnost s mrežama ovisi o cjelovitosti i ispravnosti implementacije kontrolnih protokola. Važno je podržati različite opcije za PHY razinu (brzina, prijenosni medij, shema kodiranja), Ethernet okvire različitih formata s bilo kojim MTU-om, različite L3 servisne protokole (prvenstveno TCP/IP obitelj).

Transparentnost je osigurana mehanizmima mutacije (privremeno mijenjanje sadržaja otvorenih zaglavlja u prometu između kriptora), preskakanja (kada pojedinačni paketi ostaju nekriptirani) i uvlačenja početka enkripcije (kada normalno šifrirana polja paketa nisu šifrirana).

Kako procijeniti i usporediti Ethernet uređaje za šifriranje
Kako se osigurava transparentnost

Stoga uvijek provjerite kako je točno osigurana podrška za određeni protokol. Često je podrška u transparentnom načinu rada praktičnija i pouzdanija.

Interoperabilnost

To je također kompatibilnost, ali u drugačijem smislu, odnosno mogućnost zajedničkog rada s drugim modelima uređaja za šifriranje, uključujući one drugih proizvođača. Mnogo toga ovisi o stanju standardizacije protokola šifriranja. Jednostavno ne postoje općeprihvaćeni standardi šifriranja na L1.

Postoji standard 2ae (MACsec) za L802.1 enkripciju na Ethernet mrežama, ali ne koristi s kraja na kraj (od kraja do kraja), i interport, “hop-by-hop” enkripcije, te je u izvornoj verziji neprikladan za korištenje u distribuiranim mrežama, pa su se pojavila njegova vlasnička proširenja koja nadilaze to ograničenje (naravno, zbog interoperabilnosti s opremom drugih proizvođača). Istina, 2018. godine standardu 802.1ae dodana je podrška za distribuirane mreže, ali još uvijek nema podrške za skupove algoritama šifriranja GOST. Stoga se vlasnički, nestandardni protokoli šifriranja L2 u pravilu razlikuju po većoj učinkovitosti (osobito smanjenoj propusnosti) i fleksibilnosti (mogućnost promjene algoritama i načina šifriranja).

Na višim razinama (L3 i L4) postoje priznati standardi, prvenstveno IPsec i TLS, ali ni ovdje nije tako jednostavno. Činjenica je da je svaki od ovih standarda skup protokola, svaki s različitim verzijama i proširenjima potrebnim ili izbornim za implementaciju. Osim toga, neki proizvođači radije koriste svoje vlasničke protokole šifriranja na L3/L4. Stoga u većini slučajeva ne treba računati na potpunu interoperabilnost, ali je bitno da je osigurana barem interakcija između različitih modela i različitih generacija istog proizvođača.

Pouzdanost

Za usporedbu različitih rješenja možete koristiti ili srednje vrijeme između kvarova ili faktor dostupnosti. Ako ti brojevi nisu dostupni (ili nema povjerenja u njih), može se napraviti kvalitativna usporedba. Uređaji s praktičnim upravljanjem imat će prednost (manji rizik od konfiguracijskih pogrešaka), specijalizirani kriptori (iz istog razloga), kao i rješenja s minimalnim vremenom za otkrivanje i otklanjanje kvara, uključujući sredstva "vruće" sigurnosne kopije cijelih čvorova i uređaja.

trošak

Što se tiče troškova, kao i kod većine IT rješenja, ima smisla usporediti ukupne troškove vlasništva. Da biste ga izračunali, ne morate ponovno izmišljati kotač, već upotrijebite bilo koju prikladnu metodologiju (na primjer, od Gartnera) i bilo koji kalkulator (na primjer, onaj koji se već koristi u organizaciji za izračun TCO-a). Jasno je da se za rješenje mrežne enkripcije ukupni trošak vlasništva sastoji od direktno troškove kupnje ili najma samog rješenja, infrastrukture za hosting opremu i troškove implementacije, administracije i održavanja (bilo unutar tvrtke ili u obliku usluga treće strane), kao i od neizravni troškovi zbog zastoja rješenja (uzrokovani gubitkom produktivnosti krajnjeg korisnika). Vjerojatno postoji samo jedna suptilnost. Učinak rješenja na izvedbu može se smatrati na različite načine: ili kao neizravni troškovi uzrokovani gubitkom produktivnosti ili kao "virtualni" izravni troškovi kupnje/nadogradnje i održavanja mrežnih alata koji nadoknađuju gubitak mrežnih performansi zbog upotrebe šifriranje. U svakom slučaju, izdatke koje je teško izračunati s dovoljnom točnošću najbolje je izostaviti iz izračuna: tako će biti više povjerenja u konačnu vrijednost. I, kao i obično, u svakom slučaju ima smisla usporediti različite uređaje prema TCO-u za određeni scenarij njihove uporabe - stvarni ili tipični.

trajnost

I posljednja karakteristika je postojanost otopine. U većini slučajeva, trajnost se može kvalitativno ocijeniti samo usporedbom različitih rješenja. Moramo zapamtiti da uređaji za šifriranje nisu samo sredstvo, već i objekt zaštite. Mogu biti izloženi raznim prijetnjama. U prvom planu su prijetnje narušavanjem povjerljivosti, umnožavanjem i mijenjanjem poruka. Ove prijetnje mogu se realizirati kroz ranjivosti šifre ili njezinih pojedinačnih načina, kroz ranjivosti u protokolima šifriranja (uključujući u fazama uspostavljanja veze i generiranja/distribucije ključeva). Prednost će imati rješenja koja omogućuju promjenu algoritma enkripcije ili prebacivanje načina šifriranja (barem putem ažuriranja firmvera), rješenja koja pružaju najpotpuniju enkripciju, skrivajući od napadača ne samo korisničke podatke, već i adresu i druge servisne informacije , kao i tehnička rješenja koja ne samo šifriraju, već i štite poruke od reprodukcije i modifikacije. Za sve moderne algoritme šifriranja, elektroničke potpise, generiranje ključeva itd., koji su sadržani u standardima, može se pretpostaviti da je snaga ista (inače se jednostavno možete izgubiti u divljini kriptografije). Trebaju li to nužno biti GOST algoritmi? Ovdje je sve jednostavno: ako scenarij aplikacije zahtijeva FSB certifikat za CIPF (a u Rusiji je to najčešće slučaj; za većinu scenarija mrežne enkripcije to vrijedi), tada biramo samo između certificiranih. Ako nije, onda nema smisla isključivati ​​uređaje bez certifikata iz razmatranja.

Druga prijetnja je prijetnja hakiranja, neovlaštenog pristupa uređajima (uključujući fizički pristup izvan i unutar kućišta). Prijetnja se može provesti kroz
ranjivosti u implementaciji – u hardveru i kodu. Stoga će rješenja s minimalnom “napadnom površinom” putem mreže, s kućištima zaštićenim od fizičkog pristupa (sa senzorima za upad, zaštitom od sondiranja i automatskim resetiranjem ključnih informacija pri otvaranju kućišta), kao i ona koja omogućuju ažuriranje firmvera imati prednost u slučaju da se sazna za ranjivost u kodu. Postoji još jedan način: ako svi uređaji koji se uspoređuju imaju FSB certifikate, tada se CIPF klasa za koju je certifikat izdan može smatrati pokazateljem otpornosti na hakiranje.

Konačno, još jedna vrsta prijetnje su pogreške tijekom postavljanja i rada, ljudski faktor u svom najčišćem obliku. Ovo pokazuje još jednu prednost specijaliziranih kriptora u odnosu na konvergentna rješenja, koja su često namijenjena iskusnim "mrežnim stručnjacima" i mogu uzrokovati poteškoće "običnim", općim stručnjacima za informacijsku sigurnost.

Ukratko

U principu, ovdje bi bilo moguće predložiti neku vrstu integralnog pokazatelja za usporedbu različitih uređaja, nešto poput

$$prikaz$$K_j=∑p_i r_{ij}$$prikaz$$

gdje je p težina indikatora, a r rang uređaja prema ovom pokazatelju, a bilo koja od gore navedenih karakteristika može se podijeliti na "atomske" indikatore. Takva bi formula mogla biti korisna, primjerice, kada se uspoređuju prijedlozi natječaja prema unaprijed dogovorenim pravilima. Ali možete proći s jednostavnim stolom kao što je

Karakterizacija
Uređaj 1
Uređaj 2
...
Uređaj N

kapacitet
+
+

+++

Režije
+
++

+++

kašnjenje
+
+

++

Skalabilnost
+++
+

+++

savitljivost
+++
++

+

Interoperabilnost
++
+

+

Kompatibilnost
++
++

+++

Jednostavnost i praktičnost
+
+

++

tolerancija kvarova
+++
+++

++

trošak
++
+++

+

trajnost
++
++

+++

Rado ću odgovoriti na pitanja i konstruktivne kritike.

Izvor: www.habr.com

Dodajte komentar