ProHoster > blog > administrasi > Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet

Saya menulis ulasan ini (atau, jika Anda lebih suka, panduan perbandingan) ketika saya ditugaskan untuk membandingkan beberapa perangkat dari vendor yang berbeda. Selain itu, perangkat ini termasuk dalam kelas yang berbeda. Saya harus memahami arsitektur dan karakteristik semua perangkat ini dan membuat “sistem koordinat” untuk perbandingan. Saya akan senang jika ulasan saya membantu seseorang:

  • Memahami deskripsi dan spesifikasi perangkat enkripsi
  • Bedakan ciri-ciri “kertas” dengan ciri-ciri yang benar-benar penting dalam kehidupan nyata
  • Melampaui kumpulan vendor biasa dan mempertimbangkan produk apa pun yang cocok untuk memecahkan masalah
  • Ajukan pertanyaan yang tepat selama negosiasi
  • Menyiapkan persyaratan tender (RFP)
  • Pahami karakteristik apa yang harus dikorbankan jika model perangkat tertentu dipilih

Apa yang bisa dinilai

Pada prinsipnya, pendekatan ini dapat diterapkan pada perangkat mandiri apa pun yang cocok untuk mengenkripsi lalu lintas jaringan antara segmen Ethernet jarak jauh (enkripsi lintas situs). Artinya, “kotak” dalam wadah terpisah (oke, kami juga akan menyertakan bilah/modul untuk sasis di sini), yang terhubung melalui satu atau lebih port Ethernet ke jaringan Ethernet lokal (kampus) dengan lalu lintas tidak terenkripsi, dan melalui port lain ke saluran/jaringan yang melaluinya lalu lintas yang sudah dienkripsi ditransmisikan ke segmen lain yang jauh. Solusi enkripsi semacam itu dapat diterapkan di jaringan pribadi atau operator melalui berbagai jenis "transportasi" (serat gelap, peralatan pembagian frekuensi, switch Ethernet, serta "kabel semu" yang dipasang melalui jaringan dengan arsitektur perutean berbeda, paling sering MPLS ), dengan atau tanpa teknologi VPN.

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Enkripsi jaringan dalam jaringan Ethernet terdistribusi

Perangkatnya sendiri bisa berupa apa saja khusus (ditujukan khusus untuk enkripsi), atau multifungsi (hibrida, konvergen), yaitu juga menjalankan fungsi lain (misalnya, firewall atau router). Vendor yang berbeda mengklasifikasikan perangkat mereka ke dalam kelas/kategori yang berbeda, namun hal ini tidak menjadi masalah - satu-satunya hal yang penting adalah apakah mereka dapat mengenkripsi lalu lintas lintas situs, dan karakteristik apa yang dimilikinya.

Untuk berjaga-jaga, saya ingatkan Anda bahwa "enkripsi jaringan", "enkripsi lalu lintas", "enkripsi" adalah istilah informal, meskipun sering digunakan. Kemungkinan besar Anda tidak akan menemukannya dalam peraturan Rusia (termasuk peraturan yang memperkenalkan GOST).

Tingkat enkripsi dan mode transmisi

Sebelum kita mulai menjelaskan karakteristiknya sendiri yang akan digunakan untuk evaluasi, pertama-tama kita harus memahami satu hal penting, yaitu “tingkat enkripsi”. Saya perhatikan bahwa hal ini sering disebutkan baik dalam dokumen resmi vendor (dalam deskripsi, manual, dll.) dan dalam diskusi informal (saat negosiasi, pelatihan). Artinya, semua orang sepertinya tahu betul apa yang sedang kita bicarakan, tapi saya pribadi menyaksikan beberapa kebingungan.

Jadi apa yang dimaksud dengan “tingkat enkripsi”? Jelas bahwa kita berbicara tentang jumlah lapisan model jaringan referensi OSI/ISO tempat enkripsi terjadi. Kita membaca GOST R ISO 7498-2–99 “Teknologi informasi. Interkoneksi sistem terbuka. Model referensi dasar. Bagian 2. Arsitektur keamanan informasi.” Dari dokumen ini dapat dipahami bahwa tingkat kerahasiaan layanan (salah satu mekanisme penyediaannya adalah enkripsi) adalah tingkat protokol, blok data layanan (“payload”, data pengguna) yang dienkripsi. Seperti yang juga tertulis dalam standar, layanan dapat disediakan baik pada tingkat yang sama, “sendirian”, dan dengan bantuan tingkat yang lebih rendah (inilah, misalnya, yang paling sering diterapkan di MACsec) .

Dalam praktiknya, dua mode transmisi informasi terenkripsi melalui jaringan dimungkinkan (IPsec langsung terlintas dalam pikiran, tetapi mode yang sama juga ditemukan di protokol lain). DI DALAM mengangkut (terkadang juga disebut asli) mode hanya dienkripsi melayani blok data, dan header tetap "terbuka", tidak terenkripsi (terkadang bidang tambahan dengan informasi layanan algoritma enkripsi ditambahkan, dan bidang lainnya diubah dan dihitung ulang). DI DALAM terowongan mode yang sama semua protokol blok data (yaitu, paket itu sendiri) dienkripsi dan dienkapsulasi dalam blok data layanan dengan tingkat yang sama atau lebih tinggi, yaitu dikelilingi oleh header baru.

Tingkat enkripsi itu sendiri dalam kombinasi dengan beberapa mode transmisi tidak baik atau buruk, sehingga tidak dapat dikatakan, misalnya, L3 dalam mode transport lebih baik daripada L2 dalam mode terowongan. Hanya saja banyak karakteristik yang digunakan untuk mengevaluasi perangkat bergantung padanya. Misalnya fleksibilitas dan kompatibilitas. Untuk bekerja di jaringan L1 (bit stream relay), L2 (frame switching) dan L3 (packet routing) dalam mode transport, Anda memerlukan solusi yang mengenkripsi pada tingkat yang sama atau lebih tinggi (jika tidak, informasi alamat akan dienkripsi dan data akan dienkripsi. tidak mencapai tujuan yang diinginkan), dan mode terowongan mengatasi keterbatasan ini (meskipun mengorbankan karakteristik penting lainnya).

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Mode enkripsi transportasi dan terowongan L2

Sekarang mari kita beralih ke menganalisis karakteristiknya.

Performa

Untuk enkripsi jaringan, kinerja adalah konsep multidimensi yang kompleks. Kebetulan suatu model tertentu, meskipun unggul dalam satu karakteristik kinerja, namun lebih rendah dalam karakteristik kinerja lainnya. Oleh karena itu, selalu berguna untuk mempertimbangkan semua komponen kinerja enkripsi dan dampaknya terhadap kinerja jaringan dan aplikasi yang menggunakannya. Di sini kita dapat menganalogikannya dengan sebuah mobil, yang tidak hanya penting kecepatan maksimumnya, tetapi juga waktu akselerasi hingga “ratusan”, konsumsi bahan bakar, dan sebagainya. Perusahaan vendor dan pelanggan potensialnya menaruh perhatian besar pada karakteristik kinerja. Sebagai aturan, perangkat enkripsi diberi peringkat berdasarkan kinerja di lini vendor.

Jelas bahwa kinerja bergantung pada kompleksitas jaringan dan operasi kriptografi yang dilakukan pada perangkat (termasuk seberapa baik tugas-tugas ini dapat diparalelkan dan disalurkan), serta pada kinerja perangkat keras dan kualitas firmware. Oleh karena itu, model lama menggunakan perangkat keras yang lebih produktif, terkadang dimungkinkan untuk melengkapinya dengan prosesor dan modul memori tambahan. Ada beberapa pendekatan untuk mengimplementasikan fungsi kriptografi: pada unit pemrosesan pusat (CPU) tujuan umum, sirkuit terintegrasi khusus aplikasi (ASIC), atau sirkuit terintegrasi logika yang dapat diprogram di lapangan (FPGA). Setiap pendekatan memiliki pro dan kontra. Misalnya, CPU dapat menjadi hambatan enkripsi, terutama jika prosesor tidak memiliki instruksi khusus untuk mendukung algoritma enkripsi (atau jika tidak digunakan). Chip khusus kurang fleksibel; tidak selalu mungkin untuk “mem-reflash” chip tersebut untuk meningkatkan kinerja, menambahkan fungsi baru, atau menghilangkan kerentanan. Selain itu, penggunaannya menjadi menguntungkan hanya dengan volume produksi yang besar. Itulah sebabnya "cara emas" menjadi begitu populer - penggunaan FPGA (FPGA dalam bahasa Rusia). Di FPGA itulah apa yang disebut akselerator kripto dibuat - modul perangkat keras khusus bawaan atau plug-in untuk mendukung operasi kriptografi.

Karena kita sedang membicarakan jaringan enkripsi, adalah logis bahwa kinerja solusi harus diukur dalam jumlah yang sama seperti perangkat jaringan lainnya - throughput, persentase kehilangan frame dan latensi. Nilai-nilai ini ditentukan dalam RFC 1242. Omong-omong, tidak ada yang tertulis tentang variasi penundaan (jitter) yang sering disebutkan dalam RFC ini. Bagaimana cara mengukur besaran tersebut? Saya belum menemukan metodologi yang disetujui dalam standar apa pun (resmi atau tidak resmi seperti RFC) khusus untuk enkripsi jaringan. Masuk akal untuk menggunakan metodologi untuk perangkat jaringan yang diabadikan dalam standar RFC 2544. Banyak vendor mengikutinya - banyak, tetapi tidak semua. Misalnya, mereka mengirimkan lalu lintas pengujian hanya dalam satu arah, bukan keduanya, misalnya direkomendasikan standar. Bagaimanapun.

Mengukur kinerja perangkat enkripsi jaringan masih memiliki karakteristik tersendiri. Pertama, melakukan semua pengukuran untuk sepasang perangkat adalah benar: meskipun algoritma enkripsi simetris, penundaan dan kehilangan paket selama enkripsi dan dekripsi belum tentu sama. Kedua, masuk akal untuk mengukur delta, dampak enkripsi jaringan pada kinerja akhir jaringan, dengan membandingkan dua konfigurasi: tanpa perangkat enkripsi dan dengan perangkat tersebut. Atau, seperti halnya perangkat hibrid, yang menggabungkan beberapa fungsi selain enkripsi jaringan, dengan enkripsi dimatikan dan dihidupkan. Pengaruh ini bisa berbeda dan bergantung pada skema koneksi perangkat enkripsi, mode operasi, dan terakhir, pada sifat lalu lintas. Secara khusus, banyak parameter kinerja bergantung pada panjang paket, itulah sebabnya, untuk membandingkan kinerja solusi yang berbeda, sering digunakan grafik parameter ini tergantung pada panjang paket, atau IMIX digunakan - distribusi lalu lintas berdasarkan paket panjang, yang kira-kira mencerminkan yang sebenarnya. Jika kita membandingkan konfigurasi dasar yang sama tanpa enkripsi, kita dapat membandingkan solusi enkripsi jaringan yang diterapkan secara berbeda tanpa membahas perbedaan berikut: L2 dengan L3, store-and-forward ) dengan cut-through, khusus dengan konvergen, GOST dengan AES, dan seterusnya.

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Diagram koneksi untuk pengujian kinerja

Karakteristik pertama yang diperhatikan orang adalah “kecepatan” perangkat enkripsi lebar pita (bandwidth) antarmuka jaringannya, laju aliran bit. Hal ini ditentukan oleh standar jaringan yang didukung oleh antarmuka. Untuk Ethernet, angka yang biasa digunakan adalah 1 Gbps dan 10 Gbps. Tapi, seperti kita tahu, di jaringan mana pun teorinya maksimal keluaran (throughput) di setiap levelnya selalu ada bandwidth yang lebih sedikit: sebagian dari bandwidth “dimakan” oleh interval antarframe, header layanan, dan sebagainya. Jika suatu perangkat mampu menerima, memproses (dalam kasus kami, mengenkripsi atau mendekripsi) dan mengirimkan lalu lintas dengan kecepatan penuh antarmuka jaringan, yaitu, dengan throughput teoretis maksimum untuk tingkat model jaringan ini, maka dikatakan untuk bekerja dengan kecepatan garis. Untuk melakukan hal ini, perangkat harus tidak kehilangan atau membuang paket dalam ukuran dan frekuensi berapa pun. Jika perangkat enkripsi tidak mendukung operasi pada kecepatan jalur, maka throughput maksimumnya biasanya ditentukan dalam gigabit per detik yang sama (terkadang menunjukkan panjang paket - semakin pendek paket, biasanya semakin rendah throughputnya). Sangat penting untuk dipahami bahwa throughput maksimum adalah maksimum tidak rugi (meskipun perangkat dapat "memompa" lalu lintas melalui dirinya sendiri dengan kecepatan lebih tinggi, tetapi pada saat yang sama kehilangan beberapa paket). Perlu diketahui juga bahwa beberapa vendor mengukur total throughput antara semua pasangan port, jadi angka-angka ini tidak berarti banyak jika semua lalu lintas terenkripsi melewati satu port.

Di mana pentingnya beroperasi pada kecepatan jalur (atau, dengan kata lain, tanpa kehilangan paket)? Dalam bandwidth tinggi, tautan berlatensi tinggi (seperti satelit), di mana ukuran jendela TCP yang besar harus diatur untuk mempertahankan kecepatan transmisi yang tinggi, dan di mana kehilangan paket secara drastis mengurangi kinerja jaringan.

Namun tidak semua bandwidth digunakan untuk mentransfer data yang berguna. Kita harus memperhitungkan apa yang disebut biaya overhead bandwidth (atas). Ini adalah bagian dari throughput perangkat enkripsi (dalam persentase atau byte per paket) yang sebenarnya terbuang (tidak dapat digunakan untuk mentransfer data aplikasi). Biaya overhead timbul, pertama, karena peningkatan ukuran (penambahan, “isian”) bidang data dalam paket jaringan terenkripsi (tergantung pada algoritma enkripsi dan mode operasinya). Kedua, karena bertambahnya panjang header paket (mode terowongan, penyisipan layanan protokol enkripsi, penyisipan simulasi, dll. tergantung pada protokol dan mode operasi cipher dan mode transmisi) - biasanya biaya overhead ini adalah paling signifikan, dan mereka memperhatikannya terlebih dahulu. Ketiga, karena fragmentasi paket ketika ukuran unit data maksimum (MTU) terlampaui (jika jaringan mampu membagi paket yang melebihi MTU menjadi dua, menduplikasi headernya). Keempat, karena munculnya lalu lintas layanan (kontrol) tambahan di jaringan antar perangkat enkripsi (untuk pertukaran kunci, pemasangan terowongan, dll). Overhead yang rendah penting jika kapasitas saluran terbatas. Hal ini terutama terlihat pada lalu lintas dari paket kecil, misalnya suara – di mana biaya overhead dapat “memakan” lebih dari setengah kecepatan saluran!

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Bandwidth

Akhirnya ada lagi penundaan yang diperkenalkan – perbedaan (dalam sepersekian detik) penundaan jaringan (waktu yang diperlukan data untuk berpindah dari masuk ke jaringan hingga keluar) antara transmisi data tanpa dan dengan enkripsi jaringan. Secara umum, semakin rendah latensi (“latensi”) jaringan, semakin kritis latensi yang ditimbulkan oleh perangkat enkripsi. Penundaan disebabkan oleh operasi enkripsi itu sendiri (tergantung pada algoritma enkripsi, panjang blok dan mode operasi cipher, serta kualitas implementasinya dalam perangkat lunak), dan pemrosesan paket jaringan di perangkat . Latensi yang ditimbulkan bergantung pada mode pemrosesan paket (pass-through atau store-and-forward) dan kinerja platform (implementasi perangkat keras pada FPGA atau ASIC umumnya lebih cepat daripada implementasi perangkat lunak pada CPU). Enkripsi L2 hampir selalu memiliki latensi lebih rendah dibandingkan enkripsi L3 atau L4, karena fakta bahwa perangkat enkripsi L3/L4 sering kali terkonvergensi. Misalnya, dengan enkripsi Ethernet berkecepatan tinggi yang diimplementasikan pada FPGA dan enkripsi pada L2, penundaan karena operasi enkripsi semakin kecil - terkadang ketika enkripsi diaktifkan pada sepasang perangkat, penundaan total yang ditimbulkan oleh perangkat tersebut bahkan berkurang! Latensi rendah penting jika sebanding dengan penundaan saluran secara keseluruhan, termasuk penundaan propagasi, yaitu sekitar 5 μs per kilometer. Artinya, kita dapat mengatakan bahwa untuk jaringan skala perkotaan (luasnya puluhan kilometer), mikrodetik dapat menentukan banyak hal. Misalnya, untuk replikasi database sinkron, perdagangan frekuensi tinggi, blockchain yang sama.

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Penundaan yang diperkenalkan

Skalabilitas

Jaringan terdistribusi besar dapat mencakup ribuan node dan perangkat jaringan, ratusan segmen jaringan lokal. Penting agar solusi enkripsi tidak memberikan batasan tambahan pada ukuran dan topologi jaringan terdistribusi. Hal ini berlaku terutama untuk jumlah maksimum alamat host dan jaringan. Keterbatasan tersebut mungkin ditemui, misalnya, ketika menerapkan topologi jaringan terenkripsi multipoint (dengan koneksi atau terowongan aman independen) atau enkripsi selektif (misalnya, berdasarkan nomor protokol atau VLAN). Jika dalam hal ini alamat jaringan (MAC, IP, VLAN ID) digunakan sebagai kunci dalam tabel yang jumlah barisnya dibatasi, maka pembatasan ini muncul di sini.

Selain itu, jaringan besar sering kali memiliki beberapa lapisan struktural, termasuk jaringan inti, yang masing-masing menerapkan skema pengalamatan dan kebijakan peruteannya sendiri. Untuk menerapkan pendekatan ini, format bingkai khusus (seperti Q-in-Q atau MAC-in-MAC) dan protokol penentuan rute sering digunakan. Agar tidak menghambat pembangunan jaringan tersebut, perangkat enkripsi harus menangani frame tersebut dengan benar (yaitu, dalam pengertian ini, skalabilitas berarti kompatibilitas - lebih lanjut tentang itu di bawah).

Keluwesan

Di sini kita berbicara tentang dukungan berbagai konfigurasi, skema koneksi, topologi dan hal lainnya. Misalnya, untuk jaringan switch berdasarkan teknologi Carrier Ethernet, ini berarti dukungan untuk berbagai jenis koneksi virtual (E-Line, E-LAN, E-Tree), berbagai jenis layanan (baik berdasarkan port maupun VLAN) dan teknologi transport yang berbeda. (mereka sudah tercantum di atas). Artinya, perangkat harus dapat beroperasi dalam mode linier (“point-to-point”) dan multipoint, membuat terowongan terpisah untuk VLAN yang berbeda, dan memungkinkan pengiriman paket yang tidak sesuai pesanan dalam saluran aman. Kemampuan untuk memilih mode sandi yang berbeda (termasuk dengan atau tanpa otentikasi konten) dan mode transmisi paket yang berbeda memungkinkan Anda mencapai keseimbangan antara kekuatan dan kinerja tergantung pada kondisi saat ini.

Penting juga untuk mendukung jaringan swasta, yang peralatannya dimiliki oleh satu organisasi (atau disewa olehnya), dan jaringan operator, yang segmennya berbeda-beda dikelola oleh perusahaan yang berbeda. Ada baiknya jika solusi tersebut memungkinkan pengelolaan baik secara internal maupun oleh pihak ketiga (menggunakan model layanan terkelola). Dalam jaringan operator, fungsi penting lainnya adalah dukungan multi-tenancy (berbagi oleh pelanggan berbeda) dalam bentuk isolasi kriptografi pelanggan individu (pelanggan) yang lalu lintasnya melewati perangkat enkripsi yang sama. Hal ini biasanya memerlukan penggunaan kumpulan kunci dan sertifikat terpisah untuk setiap pelanggan.

Jika perangkat dibeli untuk skenario tertentu, maka semua fitur ini mungkin tidak terlalu penting - Anda hanya perlu memastikan bahwa perangkat tersebut mendukung apa yang Anda perlukan saat ini. Namun jika solusi dibeli “untuk pertumbuhan”, untuk mendukung skenario masa depan juga, dan dipilih sebagai “standar perusahaan”, maka fleksibilitas tidak akan berlebihan - terutama dengan mempertimbangkan keterbatasan interoperabilitas perangkat dari vendor yang berbeda ( lebih lanjut tentang ini di bawah).

Kesederhanaan dan kenyamanan

Kemudahan pelayanan juga merupakan konsep multifaktorial. Secara kasar, kita dapat mengatakan bahwa ini adalah total waktu yang dihabiskan oleh spesialis dengan kualifikasi tertentu yang diperlukan untuk mendukung solusi pada berbagai tahap siklus hidupnya. Jika tidak ada biaya, dan instalasi, konfigurasi, dan pengoperasian sepenuhnya otomatis, maka biayanya nol dan kenyamanannya mutlak. Tentu saja hal ini tidak terjadi di dunia nyata. Perkiraan yang masuk akal adalah sebuah model "simpul pada kawat" (bump-in-the-wire), atau koneksi transparan, di mana penambahan dan penonaktifan perangkat enkripsi tidak memerlukan perubahan manual atau otomatis apa pun pada konfigurasi jaringan. Pada saat yang sama, pemeliharaan solusi disederhanakan: Anda dapat dengan aman menghidupkan dan mematikan fungsi enkripsi, dan jika perlu, cukup “melewati” perangkat dengan kabel jaringan (yaitu, langsung menyambungkan port peralatan jaringan ke mana itu terhubung). Benar, ada satu kelemahan - penyerang dapat melakukan hal yang sama. Untuk menerapkan prinsip “node on a wire”, perlu memperhitungkan tidak hanya lalu lintas lapisan datatapi lapisan kontrol dan manajemen – perangkat harus transparan bagi mereka. Oleh karena itu, lalu lintas tersebut hanya dapat dienkripsi jika tidak ada penerima jenis lalu lintas ini di jaringan antara perangkat enkripsi, karena jika dibuang atau dienkripsi, maka ketika enkripsi diaktifkan atau dinonaktifkan, konfigurasi jaringan dapat berubah. Perangkat enkripsi juga dapat transparan terhadap sinyal lapisan fisik. Khususnya, ketika suatu sinyal hilang, ia harus meneruskan kehilangan ini (yaitu, mematikan pemancarnya) bolak-balik (“untuk dirinya sendiri”) ke arah sinyal.

Dukungan dalam pembagian wewenang antara departemen keamanan informasi dan TI, khususnya departemen jaringan, juga penting. Solusi enkripsi harus mendukung kontrol akses dan model audit organisasi. Kebutuhan akan interaksi antar departemen yang berbeda untuk melakukan operasi rutin harus diminimalkan. Oleh karena itu, terdapat keuntungan dalam hal kenyamanan untuk perangkat khusus yang secara eksklusif mendukung fungsi enkripsi dan setransparan mungkin terhadap operasi jaringan. Sederhananya, karyawan keamanan informasi seharusnya tidak memiliki alasan untuk menghubungi “spesialis jaringan” untuk mengubah pengaturan jaringan. Dan mereka, pada gilirannya, tidak perlu mengubah pengaturan enkripsi saat memelihara jaringan.

Faktor lainnya adalah kemampuan dan kenyamanan kontrol. Mereka harus visual, logis, menyediakan pengaturan impor-ekspor, otomatisasi, dan sebagainya. Anda harus segera memperhatikan opsi manajemen apa yang tersedia (biasanya lingkungan manajemennya sendiri, antarmuka web, dan baris perintah) dan rangkaian fungsi apa yang dimiliki masing-masing opsi tersebut (ada batasannya). Fungsi penting adalah dukungan di luar band kendali (out-of-band), yaitu melalui jaringan kendali khusus, dan dalam band Kontrol (in-band), yaitu melalui jaringan umum yang melaluinya lalu lintas yang berguna ditransmisikan. Alat manajemen harus memberi sinyal pada semua situasi abnormal, termasuk insiden keamanan informasi. Operasi rutin dan berulang harus dilakukan secara otomatis. Hal ini terutama berkaitan dengan manajemen kunci. Mereka harus dibuat/didistribusikan secara otomatis. Dukungan PKI merupakan nilai tambah yang besar.

Kecocokan

Artinya, kompatibilitas perangkat dengan standar jaringan. Selain itu, ini berarti tidak hanya standar industri yang diadopsi oleh organisasi resmi seperti IEEE, tetapi juga protokol milik pemimpin industri, seperti Cisco. Ada dua cara utama untuk memastikan kompatibilitas: melalui transparansi, atau melalui dukungan eksplisit protokol (ketika perangkat enkripsi menjadi salah satu node jaringan untuk protokol tertentu dan memproses lalu lintas kontrol protokol ini). Kompatibilitas dengan jaringan bergantung pada kelengkapan dan kebenaran penerapan protokol kontrol. Penting untuk mendukung opsi berbeda untuk level PHY (kecepatan, media transmisi, skema pengkodean), frame Ethernet dengan format berbeda dengan MTU apa pun, protokol layanan L3 berbeda (terutama keluarga TCP/IP).

Transparansi dipastikan melalui mekanisme mutasi (perubahan sementara isi header terbuka dalam lalu lintas antar enkripsi), lompatan (ketika masing-masing paket tetap tidak terenkripsi) dan indentasi awal enkripsi (ketika bidang paket yang biasanya dienkripsi tidak dienkripsi).

Cara Mengevaluasi dan Membandingkan Perangkat Enkripsi Ethernet
Bagaimana transparansi terjamin

Oleh karena itu, selalu periksa bagaimana dukungan untuk protokol tertentu diberikan. Seringkali dukungan dalam mode transparan lebih nyaman dan dapat diandalkan.

Interoperabilitas

Ini juga merupakan kompatibilitas, namun dalam arti yang berbeda, yaitu kemampuan untuk bekerja sama dengan model perangkat enkripsi lain, termasuk dari produsen lain. Banyak hal bergantung pada keadaan standarisasi protokol enkripsi. Tidak ada standar enkripsi yang diterima secara umum pada L1.

Terdapat standar 2ae (MACsec) untuk enkripsi L802.1 pada jaringan Ethernet, tetapi tidak menggunakan ujung ke ujung (ujung ke ujung), dan antar-jemput, enkripsi "hop-by-hop", dan dalam versi aslinya tidak cocok untuk digunakan dalam jaringan terdistribusi, sehingga telah muncul ekstensi miliknya yang mengatasi batasan ini (tentu saja, karena interoperabilitas dengan peralatan dari produsen lain). Benar, pada tahun 2018, dukungan untuk jaringan terdistribusi ditambahkan ke standar 802.1ae, tetapi masih belum ada dukungan untuk kumpulan algoritma enkripsi Gost. Oleh karena itu, protokol enkripsi L2 non-standar yang berpemilik, sebagai suatu peraturan, lebih efisien (khususnya, overhead bandwidth yang lebih rendah) dan fleksibilitas (kemampuan untuk mengubah algoritma dan mode enkripsi).

Pada level yang lebih tinggi (L3 dan L4) terdapat standar yang diakui, terutama IPsec dan TLS, namun di sini juga tidak sesederhana itu. Faktanya adalah bahwa masing-masing standar ini adalah seperangkat protokol, masing-masing dengan versi dan ekstensi berbeda yang diperlukan atau opsional untuk implementasi. Selain itu, beberapa produsen lebih suka menggunakan protokol enkripsi milik mereka pada L3/L4. Oleh karena itu, dalam banyak kasus, Anda tidak boleh mengandalkan interoperabilitas penuh, tetapi penting untuk memastikan setidaknya interaksi antara model yang berbeda dan generasi berbeda dari pabrikan yang sama.

Keandalan

Untuk membandingkan solusi yang berbeda, Anda dapat menggunakan waktu rata-rata antara kegagalan atau faktor ketersediaan. Jika angka-angka ini tidak tersedia (atau tidak ada kepercayaan terhadap angka-angka tersebut), maka perbandingan kualitatif dapat dilakukan. Perangkat dengan manajemen yang mudah akan memiliki keunggulan (risiko kesalahan konfigurasi yang lebih kecil), enkripsi khusus (untuk alasan yang sama), serta solusi dengan waktu minimal untuk mendeteksi dan menghilangkan kegagalan, termasuk sarana pencadangan “panas” seluruh node dan perangkat.

Biaya

Dalam hal biaya, seperti kebanyakan solusi TI, masuk akal untuk membandingkan total biaya kepemilikan. Untuk menghitungnya, Anda tidak perlu menemukan kembali rodanya, tetapi gunakan metodologi apa pun yang sesuai (misalnya, dari Gartner) dan kalkulator apa pun (misalnya, kalkulator yang sudah digunakan dalam organisasi untuk menghitung TCO). Jelas bahwa untuk solusi enkripsi jaringan, total biaya kepemilikan terdiri dari langsung biaya pembelian atau penyewaan solusi itu sendiri, infrastruktur untuk peralatan hosting dan biaya penerapan, administrasi dan pemeliharaan (baik internal atau dalam bentuk layanan pihak ketiga), serta tidak langsung biaya dari waktu henti solusi (yang disebabkan oleh hilangnya produktivitas pengguna akhir). Mungkin hanya ada satu kehalusan. Dampak kinerja dari solusi ini dapat dipertimbangkan dalam berbagai cara: baik sebagai biaya tidak langsung yang disebabkan oleh hilangnya produktivitas, atau sebagai biaya langsung “virtual” untuk pembelian/peningkatan dan pemeliharaan alat jaringan yang mengkompensasi hilangnya kinerja jaringan karena penggunaan enkripsi. Bagaimanapun, pengeluaran yang sulit dihitung dengan akurasi yang cukup sebaiknya tidak dimasukkan dalam perhitungan: dengan cara ini akan ada lebih banyak kepercayaan pada nilai akhir. Dan, seperti biasa, dalam hal apa pun, masuk akal untuk membandingkan perangkat yang berbeda berdasarkan TCO untuk skenario penggunaannya yang spesifik - nyata atau tipikal.

Ketekunan

Dan ciri terakhir adalah kegigihan solusi. Dalam kebanyakan kasus, ketahanan hanya dapat dinilai secara kualitatif dengan membandingkan solusi yang berbeda. Kita harus ingat bahwa perangkat enkripsi tidak hanya sebagai sarana, tetapi juga objek perlindungan. Mereka mungkin terkena berbagai ancaman. Yang paling utama adalah ancaman pelanggaran kerahasiaan, reproduksi dan modifikasi pesan. Ancaman ini dapat diwujudkan melalui kerentanan cipher atau mode individualnya, melalui kerentanan dalam protokol enkripsi (termasuk pada tahap pembuatan koneksi dan pembuatan/distribusi kunci). Keuntungannya adalah solusi yang memungkinkan perubahan algoritma enkripsi atau peralihan mode sandi (setidaknya melalui pembaruan firmware), solusi yang menyediakan enkripsi paling lengkap, menyembunyikan dari penyerang tidak hanya data pengguna, tetapi juga alamat dan informasi layanan lainnya. , serta solusi teknis yang tidak hanya mengenkripsi, tetapi juga melindungi pesan dari reproduksi dan modifikasi. Untuk semua algoritme enkripsi modern, tanda tangan elektronik, pembuatan kunci, dll., yang diabadikan dalam standar, kekuatannya dapat diasumsikan sama (jika tidak, Anda bisa tersesat di belantara kriptografi). Haruskah ini merupakan algoritma gost? Semuanya sederhana di sini: jika skenario aplikasi memerlukan sertifikasi FSB untuk CIPF (dan di Rusia hal ini paling sering terjadi; untuk sebagian besar skenario enkripsi jaringan hal ini berlaku), maka kami hanya memilih di antara yang bersertifikat. Jika tidak, maka tidak ada gunanya mengecualikan perangkat tanpa sertifikat dari pertimbangan.

Ancaman lainnya adalah ancaman peretasan, akses tidak sah terhadap perangkat (termasuk melalui akses fisik di luar dan di dalam casing). Ancaman tersebut dapat dilakukan melalui
kerentanan dalam implementasi - dalam perangkat keras dan kode. Oleh karena itu, solusi dengan “permukaan serangan” minimal melalui jaringan, dengan penutup yang dilindungi dari akses fisik (dengan sensor intrusi, perlindungan penyelidikan, dan pengaturan ulang otomatis informasi penting ketika penutup dibuka), serta solusi yang memungkinkan pembaruan firmware akan memiliki keuntungan jika kerentanan dalam kode diketahui. Ada cara lain: jika semua perangkat yang dibandingkan memiliki sertifikat FSB, maka kelas CIPF yang sertifikatnya dikeluarkan dapat dianggap sebagai indikator ketahanan terhadap peretasan.

Terakhir, jenis ancaman lainnya adalah kesalahan selama pengaturan dan pengoperasian, yang merupakan faktor manusia dalam bentuknya yang paling murni. Hal ini menunjukkan keuntungan lain dari enkripsi khusus dibandingkan solusi konvergen, yang sering ditujukan pada “spesialis jaringan” berpengalaman dan dapat menyebabkan kesulitan bagi spesialis keamanan informasi umum “biasa”.

Menyimpulkan

Pada prinsipnya, di sini dimungkinkan untuk mengusulkan semacam indikator integral untuk membandingkan perangkat yang berbeda, kira-kira seperti itu

$$tampilan$$K_j=∑p_i r_{ij}$$tampilan$$

dimana p adalah bobot indikator, dan r adalah peringkat perangkat menurut indikator ini, dan salah satu karakteristik yang tercantum di atas dapat dibagi menjadi indikator “atom”. Rumus seperti ini dapat berguna, misalnya ketika membandingkan proposal tender berdasarkan aturan yang telah disepakati sebelumnya. Tapi Anda bisa bertahan dengan meja sederhana seperti

Karakterisasi
Perangkat 1
Perangkat 2
...
Perangkat N

Bandwidth
+
+

+ + +

Biaya overhead
+
++

+ + +

Keterlambatan
+
+

++

Skalabilitas
+ + +
+

+ + +

Keluwesan
+ + +
++

+

Interoperabilitas
++
+

+

Kecocokan
++
++

+ + +

Kesederhanaan dan kenyamanan
+
+

++

toleransi kesalahan
+ + +
+ + +

++

Biaya
++
+ + +

+

Ketekunan
++
++

+ + +

Saya akan dengan senang hati menjawab pertanyaan dan kritik yang membangun.

Sumber: www.habr.com

Tambah komentar