Hvernig á að meta og bera saman Ethernet dulkóðunartæki

Ég skrifaði þessa umsögn (eða, ef þú vilt frekar, samanburðarleiðbeiningar) þegar ég fékk það verkefni að bera saman nokkur tæki frá mismunandi framleiðendum. Þar að auki tilheyrðu þessi tæki mismunandi vöruflokkum. Ég þurfti að skilja arkitektúr og forskriftir allra þessara tækja og búa til „ramma“ fyrir samanburð. Ég væri ánægður ef umsögn mín gæti hjálpað einhverjum.

• Skilja lýsingar og forskriftir dulkóðunartækja
• Greinið á milli eiginleika „pappírs“ og þeirra sem eru í raun mikilvægir í raunveruleikanum
• Farðu út fyrir hefðbundna söluaðila og hafðu í huga allar vörur sem henta til að leysa verkefnið sem fyrir liggur
• Að spyrja réttra spurninga í samningaviðræðum
• Undirbúa tilboðsbeiðnir
• Skildu hvaða eiginleika þú þarft að fórna ef þú velur ákveðna gerð tækis

Hvað er hægt að meta

Í meginatriðum á þessi aðferð við um öll sjálfstæð tæki sem henta til að dulkóða netumferð milli fjarlægra Ethernet-hluta (dulkóðun milli staða). Þetta eru „kassar“ í aðskildu hólfi (allt í lagi, við munum einnig taka með blað-/grindareiningar hér), sem eru tengdir í gegnum eina eða fleiri Ethernet-tengi við staðbundið (háskólasvæðis) Ethernet-net með ódulkóðaðri umferð, og í gegnum aðra tengi við rás/net þar sem dulkóðuð umferð er send til annarra fjarlægra hluta. Slíka dulkóðunarlausn er hægt að setja upp í einkaneti eða rekstrarneti með ýmsum gerðum „flutninga“ (dökkum ljósleiðara, tíðniskiptingarbúnaði, rofnum Ethernet-netum, sem og „gervivírum“ sem lagðir eru í gegnum net með mismunandi leiðararkitektúr, oftast MPLS), með því að nota tækni... VPN eða án þess.

Netdulkóðun í dreifðu Ethernet-neti

Tækin sjálf geta verið annað hvort sérhæfð (eingöngu ætlað til dulkóðunar) eða fjölnota (blendingur, samleitni), það er að segja tæki sem einnig sinna öðrum aðgerðum (til dæmis eldvegg eða leið). Mismunandi framleiðendur flokka tæki sín í mismunandi flokka, en það skiptir ekki máli – það sem skiptir máli er hvort þeir geta dulkóðað umferð milli vefsíðna og hvaða eiginleika þau búa yfir.

Til öryggis vil ég minna þig á að hugtökin „netdulkóðun“, „umferðardulkóðun“ og „dulkóðari“ eru óformleg hugtök, þótt þau séu oft notuð. Þú munt líklega ekki rekast á þau í rússneskum reglugerðum (þar á meðal þeim sem kynna GOST-staðla).

Dulkóðunarstig og sendingarmáti

Áður en við byrjum að lýsa þeim eiginleikum sem verða notaðir við matið þurfum við fyrst að skýra eitt mikilvægt atriði: „dulkóðunarstig“. Ég hef tekið eftir því að það er oft nefnt bæði í opinberum skjölum frá birgjum (lýsingum, handbókum o.s.frv.) og í óformlegum umræðum (í samningaviðræðum, þjálfunarfundum). Þó að allir virðast vita hvað er verið að ræða, hef ég persónulega orðið vitni að einhverju rugli.

Svo, hvað nákvæmlega er „dulkóðunarlag“? Við erum augljóslega að tala um lagnúmer OSI/ISO netviðmiðunarlíkansins þar sem dulkóðun á sér stað. Við skulum skoða GOST R ISO 7498-2–99 „Upplýsingatækni. Samtenging opinna kerfa. Grunnviðmiðunarlíkan. 2. hluti: Upplýsingaöryggisarkitektúr.“ Af þessu skjali getum við skilið að trúnaðarþjónustulagið (eitt af aðferðunum til að tryggja það er dulkóðun) er samskiptalagið þar sem þjónustugagnablokkin („farmurinn“, notendagögn) er dulkóðuð. Eins og staðallinn segir einnig, er hægt að veita þessa þjónustu annað hvort á þessu sama lagi, innbyrðis eða í gegnum neðra lag (þetta er til dæmis hvernig það er oftast útfært í MACsec).

Í reynd eru tvær mögulegar stillingar fyrir sendingu dulkóðaðra upplýsinga yfir net (IPsec kemur strax upp í hugann, en þessar sömu stillingar finnast einnig í öðrum samskiptareglum). flutningar (stundum er það einnig kallað innfæddur) stilling er aðeins dulkóðuð þjónusta gagnablokk og hausarnir eru áfram „opnir“, ódulkóðaðir (stundum eru viðbótarreitir með þjónustuupplýsingum dulkóðunarreikniritsins bætt við og aðrir reitir eru breyttir, endurreiknaðir). göng sama stillingin allan tímann samskiptareglur Gagnablokkin (þ.e. pakkinn sjálfur) er dulkóðuð og innlimuð í þjónustugagnablokk á sama eða hærra stigi, þ.e. hann er innrammaður með nýjum hausum.

Dulkóðunarstigið sjálft, ásamt tilteknum flutningsmáta, er hvorki gott né slæmt, þannig að það er ómögulegt að segja til dæmis að L3 í flutningsmáta sé betri en L2 í göngum. Það er bara að margir eiginleikar sem tæki eru metin út frá eru háðir þeim, svo sem sveigjanleiki og eindrægni. Netrekstur sem felur í sér L1 (bitastraumsmiðlun), L2 (rammaskipti) og L3 (pakkaleiðsögn) í flutningsmáta krefst lausna með dulkóðun á sama eða hærra stigi (annars verða vistfangsupplýsingarnar dulkóðaðar og gögnin ná ekki til áfangastaðar). Göngumferð yfirstígur þessa takmörkun (þó á kostnað annarra mikilvægra eiginleika).

Flutnings- og göng L2 dulkóðunarhamir

Nú skulum við halda áfram að greina einkennin.

Framleiðni

Fyrir dulkóðun neta er afköst flókið og fjölvítt hugtak. Það er ekki óalgengt að tiltekin gerð skari fram úr í einum afkastaeiginleika en standi sig illa í öðrum. Þess vegna er alltaf gagnlegt að íhuga alla þætti dulkóðunarafkasta og áhrif þeirra á afköst netsins og forritanna sem nota það. Þetta má bera saman við bíl, þar sem ekki aðeins hámarkshraði skiptir máli, heldur einnig hröðunartími upp í 96 km/klst, eldsneytiseyðsla og svo framvegis. Söluaðilar og hugsanlegir viðskiptavinir þeirra fylgjast vel með afkastaeiginleikum. Venjulega raða söluaðilar vörulínum dulkóðunartækja eftir afköstum.

Ljóst er að afköst eru háð flækjustigi netkerfisins og dulritunaraðgerða sem framkvæmdar eru á tækinu (þar á meðal hversu vel þessi verkefni henta fyrir samsíða og leiðslu), sem og afköstum vélbúnaðarins og gæðum hugbúnaðarins. Þess vegna nota dýrari gerðir öflugri vélbúnað, stundum með möguleika á að uppfæra hann með viðbótar örgjörvum og minniseiningum. Það eru nokkrar aðferðir til að útfæra dulritunaraðgerðir: á almennum miðvinnslueiningu (CPU), forritasértækum samþættum hringrás (ASIC) eða field-programmable gate array (FPGA). Hver aðferð hefur sína kosti og galla. Til dæmis getur örgjörvi orðið flöskuháls í dulritun, sérstaklega ef örgjörvinn skortir sérhæfðar leiðbeiningar til að styðja dulritunaralgrímið (eða ef þær eru ekki notaðar). Sérhæfðir flísar skortir sveigjanleika og það er ekki alltaf hægt að endurhlaða þá til að bæta afköst, bæta við nýjum eiginleikum eða laga veikleika. Þar að auki er notkun þeirra aðeins hagkvæm í framleiðslu í miklu magni. Þess vegna hefur „gullna meðalvegurinn“ - notkun FPGA (eða FPGA á rússnesku) - orðið svo vinsæll. FPGA eru notaðir til að smíða svokallaða dulritunarhraðla — samþættar eða tengjanlegar sérhæfðar vélbúnaðareiningar sem styðja dulritunaraðgerðir.

Þar sem við erum að tala sérstaklega um net Ef við erum að tala um dulkóðun, þá er rökrétt að afköst lausna séu mæld með sömu breytum og önnur nettæki: afköst, rammatap og seinkun. Þessir breytur eru skilgreindir í RFC 1242. Tilviljun, þetta RFC nefnir ekkert um oft nefnda titringinn. Hvernig ætti að mæla þessa breytur? Ég hef ekki fundið neina aðferðafræði sérstaklega fyrir netdulkóðun sem er samþykkt í neinum stöðlum (opinberum eða óopinberum, eins og RFC). Það væri rökrétt að nota aðferðafræðina fyrir nettæki sem sett var fram í RFC 2544. Margir framleiðendur fylgja henni - margir, en ekki allir. Til dæmis senda þeir prufuumferð í aðeins eina átt í stað beggja, eins og í mælt með Staðlað. Jæja.

Mæling á afköstum dulkóðunartækja fyrir net hefur sín sérstöku atriði að hafa í huga. Í fyrsta lagi er mikilvægt að framkvæma allar mælingar á tveimur tækjum: jafnvel þótt dulkóðunaralgrímin séu samhverf, þá eru seinkun og pakkatap við dulkóðun og afkóðun ekki endilega jöfn. Í öðru lagi er skynsamlegt að mæla delta - áhrif netdulkóðunar á heildarafköst netsins - með því að bera saman tvær stillingar: með og án dulkóðunartækja. Eða, eins og er raunin með blendingatæki sem sameina nokkrar aðgerðir auk netdulkóðunar, með dulkóðun óvirka og virkjaða. Þessi áhrif geta verið mismunandi og háð tengikerfi dulkóðunartækisins, rekstrarháttum þeirra og að lokum eðli umferðarinnar. Sérstaklega eru margir afkastabreytur háðir pakkalengd, og þess vegna eru oft notuð gröf þessara breyta á móti pakkalengd til að bera saman afköst mismunandi lausna, eða IMIX - dreifing umferðar eftir pakkalengd sem endurspeglar gróflega raunverulega umferð. Ef við berum saman sömu grunnstillingu án dulkóðunar getum við borið saman dulkóðunarlausnir neta sem eru útfærðar á mismunandi hátt án þess að kafa djúpt í muninn: L2 vs. L3, store-and-forward vs. cut-through, specialized vs. converged, GOST vs. AES, og svo framvegis.

Tengimynd fyrir afkastaprófanir

Fyrsta einkennið sem fólk veitir athygli er „hraði“ dulkóðunartækisins, þ.e. bandvídd (bandbreidd) netviðmóta þess, bitahraðann. Það er ákvarðað af netstöðlunum sem viðmótin styðja. Fyrir Ethernet eru venjulegar tölur 1 Gbps og 10 Gbps. En eins og við vitum, í hvaða neti sem er, er hámarks fræðilegi hraði afköst (Gagnmagn) á hverju lagi þess er alltaf minna en bandvíddin: hluti bandvíddarinnar er „étinn upp“ af millirammabilum, þjónustuhausum og svo framvegis. Ef tæki er fær um að taka á móti, vinna úr (í okkar tilviki dulkóða eða afkóða) og senda umferð á fullum hraða netviðmótsins, það er með hámarks fræðilegum afköstum fyrir þetta lag netlíkansins, þá er sagt að það sé starfhæft. á línuhraðaÞetta krefst þess að tækið týni ekki eða hendi pökkum, óháð stærð þeirra eða tíðni. Ef dulkóðunartækið styður ekki línuhraða er hámarksafköst þess venjulega tilgreind í gígabitum á sekúndu (stundum með pakkalengd - því styttri sem pakkarnir eru, því minni er afköstin). Það er mikilvægt að skilja að hámarksafköst eru hámark. ekkert tap (Jafnvel þótt tækið geti „dælt“ umferð í gegnum sig á meiri hraða, mun það samt tapa einhverjum pakka.) Það er einnig mikilvægt að hafa í huga að sumir framleiðendur mæla heildarafköstin milli allra para af tengi, þannig að þessar tölur þýða lítið ef öll dulkóðuð umferð fer í gegnum eina tengi.

Hvar er línuhraði (eða, með öðrum orðum, pakkataplaus rekstur) sérstaklega mikilvægur? Í tengingum með mikla bandbreidd og langa seinkun (eins og gervihnött), þar sem viðhald á háum sendingarhraða krefst stórs TCP gluggastærðar og þar sem pakkatap dregur verulega úr afköstum netsins.

En ekki er öll bandvídd notuð til að senda gagnleg gögn. Við verðum að taka tillit til svokallaðra rekstrarkostnaður Kostnaður. Þetta er sá hluti afkösta dulkóðunartækisins (sem prósenta eða í bætum á pakka) sem fer í raun til spillis (ekki hægt að nota til að senda forritsgögn). Kostnaður stafar í fyrsta lagi af aukinni stærð (fyllingu) gagnasviðsins í dulkóðuðum netpökkum (fer eftir dulkóðunaralgrími og rekstrarháttum hans). Í öðru lagi af aukinni lengd pakkahausa (göngastilling, kostnaður dulkóðunarsamskiptareglna, eftirlíkingarfylling o.s.frv., fer eftir samskiptareglum og dulkóðunarrekstrarháttum og flutningsháttum) – þessir kostnaður eru yfirleitt þeir mikilvægustu og eru þeir fyrstu sem þarf að taka á. Í þriðja lagi af sundrun pakka þegar farið er yfir hámarks flutningseininguna (MTU) (ef netið er fær um að skipta pakka sem fer yfir MTU í tvo, sem afrita hausana). Í fjórða lagi vegna tilkomu viðbótarþjónustuumferðar (stjórnunar) milli dulkóðunartækja (fyrir lyklaskipti, göngubyggingu o.s.frv.) í netkerfinu. Lágt kostnaður er mikilvægt þar sem bandbreidd rásarinnar er takmörkuð. Þetta á sérstaklega við um umferð með litlum pakka, eins og tal, þar sem kostnaður getur notað meira en helming bandbreiddar rásarinnar!

Afköst

Að lokum er fleira innsetningartöf – munurinn (í brotum úr sekúndu) á seinkun netsins (tíminn sem það tekur gögn að ferðast frá því að þau komast inn í netið þar til þau fara út úr því) milli gagnaflutnings með og án dulkóðunar netsins. Almennt séð, því lægri sem seinkun netsins er, því meiri verður seinkunin sem dulkóðunartæki valda. Seinkunin er vegna dulkóðunaraðgerðarinnar sjálfrar (sem fer eftir dulkóðunaralgríminu, blokkarlengd og dulkóðunaraðgerðarham, sem og gæðum hugbúnaðarútfærslunnar) og vinnslu netpakkans í tækinu. Seinkunin sem kemur fram fer bæði eftir pakkavinnsluham (enda-til-enda eða geymd-og-framsend) og afköstum kerfisins (vélbúnaðarútfærsla á FPGA eða ASIC er venjulega hraðari en hugbúnaðarútfærsla á örgjörva). L2 dulkóðun hefur næstum alltaf lægri seinkun samanborið við L3 eða L4 dulkóðun: þetta er vegna þess að tæki sem dulkóða á L3/L4 eru oft útfærð sem samleit. Til dæmis hafa háhraða Ethernet-kóðarar sem eru útfærðir á FPGA og dulkóða á L2-stigi hverfandi litla seinkun vegna dulkóðunar - stundum dregur það jafnvel úr heildarseinkun sem þau valda ef dulkóðun er virkjuð á tveimur tækjum! Lágt seinkun er mikilvægt þegar það er sambærilegt við heildarseinkun rásarinnar, þar með talið seinkun á útbreiðslu merkis, sem er um það bil 5 μs á kílómetra. Þetta þýðir að fyrir borgarnet (tugir kílómetra í þvermál) geta míkrósekúndur skipt öllu máli. Til dæmis á þetta við um samstillta gagnagrunnsafritun, hátíðniviðskipti og blockchain.

Sett inn seinkun

Stærð

Stór dreifð net geta innihaldið mörg þúsund hnúta og netbúnaða og hundruð staðarnetshluta. Það er mikilvægt að dulkóðunarlausnir setji ekki frekari takmarkanir á stærð og uppbyggingu dreifða netsins. Þetta varðar fyrst og fremst hámarksfjölda hnúta- og netvistfanga. Slíkar takmarkanir geta til dæmis komið upp þegar fjölpunkta uppbygging dulkóðaðs nets er útfærð (með sjálfstæðum öruggum tengingum eða göngum) eða sértækri dulkóðun (til dæmis með samskiptareglunúmeri eða VLAN). Ef netvistföng (MAC, IP, VLAN ID) eru notuð sem lyklar í töflu með takmörkuðum fjölda raða, verða þessar takmarkanir augljósar.

Þar að auki hafa stór net oft mörg byggingarlög, þar á meðal kjarnanet, þar sem hvert þeirra notar sína eigin vistfangsáætlun og leiðarstefnu. Til að útfæra þessa aðferð eru oft notuð sérhæfð rammasnið (eins og Q-in-Q eða MAC-in-MAC) og leiðargreiningarreglur. Til að koma í veg fyrir að hindra uppbyggingu slíkra neta verða dulkóðunartæki að meðhöndla þessa ramma rétt (þ.e. stigstærð í þessum skilningi þýðir eindrægni - meira um það hér að neðan).

Sveigjanleiki

Þetta vísar til stuðnings við ýmsar stillingar, tengikerfi, tengisvæði og aðra eiginleika. Til dæmis, fyrir rofin net sem byggja á Carrier Ethernet tækni, þýðir þetta stuðning við ýmsar gerðir sýndartenginga (E-Line, E-LAN, E-Tree), mismunandi þjónustutegundir (bæði tengitengdar og VLAN-tengdar) og mismunandi flutningstækni (talin upp hér að ofan). Þetta þýðir að tækið verður að geta starfað bæði í línulegum ("punkt-til-punkts") og fjölpunktaham, komið á fót aðskildum göngum fyrir mismunandi VLAN og gert kleift að senda pakka utan röð innan öruggrar rásar. Möguleikinn á að velja mismunandi dulkóðunarstillingar (þar á meðal með eða án innihaldsstaðfestingar) og mismunandi pakkaflutningsstillingar gerir kleift að finna jafnvægi milli öryggis og afkasta eftir því hvaða aðstæður eru á hverjum tíma.

Stuðningur við bæði einkanet, þar sem búnaður er í eigu (eða leigður) af einni stofnun, og rekstrarnet, þar sem mismunandi hlutar eru stjórnaðir af mismunandi fyrirtækjum, er einnig mikilvægur. Það er hagkvæmt ef hægt er að stjórna lausninni bæði innanhúss og af þriðja aðila (með því að nota stýrða þjónustulíkan). Annar mikilvægur eiginleiki í rekstrarnetum er stuðningur við fjölnotkun (sameiginleg notkun mismunandi viðskiptavina) í formi dulritunaraðgreiningar einstakra viðskiptavina (áskrifenda) sem umferð þeirra fer í gegnum sama dulkóðunarbúnað. Þetta krefst venjulega notkunar á aðskildum lykla- og vottorðasettum fyrir hvern viðskiptavin.

Ef tæki er keypt fyrir ákveðna aðstæður, þá eru allir þessir eiginleikar kannski ekki svo mikilvægir - þú þarft bara að tryggja að tækið styðji það sem þarf núna. Hins vegar, ef lausn er keypt til framtíðarnotkunar, þar á meðal til að styðja við framtíðar aðstæður, og er valin sem „fyrirtækjastaðall“, þá er sveigjanleiki verðmætur kostur - sérstaklega miðað við takmarkanir á samvirkni milli tækja frá mismunandi framleiðendum (meira um það hér að neðan).

Einfaldleiki og þægindi

Viðhaldsauðveldni er einnig hugtak sem hefur margvísleg áhrif. Í grófum dráttum er það heildartímaeyðsla sérfræðinga með ákveðna menntun sem þarf til að styðja við lausn á ýmsum stigum líftíma hennar. Ef enginn kostnaður er til staðar og uppsetning, stilling og rekstur eru að fullu sjálfvirk, þá er kostnaðurinn enginn og notkunarauðveldin algjör. Þetta gerist auðvitað ekki í hinum raunverulega heimi. Rökrétt nálgun er líkan. "hnútur á vír" (bump-in-the-wire), eða gagnsæ tenging, gerir kleift að bæta við og slökkva á dulkóðunartækjum án þess að þurfa að breyta netstillingum handvirkt eða sjálfvirkt. Þetta einfaldar viðhald: þú getur auðveldlega virkjað og slökkt á dulkóðunarvirkninni og, ef nauðsyn krefur, einfaldlega „komið fram hjá“ tækinu með netsnúru (þ.e. tengt beint tengi netbúnaðarins sem það var tengt við). Hins vegar er einn galli: árásarmaður getur gert slíkt hið sama. Til að innleiða „bump-in-the-wire“ meginregluna er nauðsynlegt að taka tillit til umferðar ekki aðeins... gagnalagEn stjórnunar- og stjórnunarlög – tæki verða að vera gegnsæ fyrir þau. Þess vegna er aðeins hægt að dulkóða slíka umferð þegar engir viðtakendur þessarar tegundar umferðar eru í netinu milli dulkóðunartækjanna, þar sem að fleygja henni eða dulkóða hana gæti breytt netstillingunni þegar dulkóðun er virkjuð eða óvirk. Dulkóðunartæki getur einnig verið gegnsætt fyrir merkjasendingum á efnislaginu. Nánar tiltekið, ef merki tapast, verður það að senda þetta tap (þ.e. slökkva á sendum sínum) fram og til baka („fyrir sína hönd“) í átt að merkinu.

Stuðningur við aðskilnað valds milli upplýsingaöryggisdeilda og upplýsingatæknideilda, sérstaklega netdeildarinnar, er einnig mikilvægur. Dulkóðunarlausnin verður að styðja við aðgangsstjórnunar- og endurskoðunarlíkan fyrirtækisins. Þörfin fyrir samskipti milli ólíkra deilda vegna reglubundinna aðgerða ætti að vera lágmarkuð. Þess vegna, hvað varðar þægindi, eru sérstök tæki sem styðja eingöngu dulkóðunaraðgerðir og eru eins gegnsæ og mögulegt er fyrir netrekstur æskilegri. Einfaldlega sagt, starfsfólk upplýsingaöryggis ætti ekki að hafa neina ástæðu til að hafa samband við nettæknimenn til að breyta netstillingum. Og þeir ættu aftur á móti ekki að þurfa að breyta dulkóðunarstillingum þegar þeir viðhalda netinu.

Annar þáttur er geta og notagildi stjórnunartækja. Þau ættu að vera skýr, rökrétt, styðja inn-/útflutning stillinga, sjálfvirkni og svo framvegis. Það er mikilvægt að íhuga strax tiltæka stjórnunarmöguleika (venjulega innbyggt stjórnunarumhverfi, vefviðmót eða skipanalína) og virkni hvers og eins (það geta verið takmarkanir). Mikilvægur eiginleiki er stuðningur. utan hljómsveitar (utan bands) stjórnun, þ.e. í gegnum sérstakt stjórnkerfi, og innan hljómsveitar (In-band) stjórnun, þ.e. í gegnum sameiginlegt net sem flytur gagnlega umferð. Stjórnunartól ættu að gefa til kynna allar óeðlilegar aðstæður, þar á meðal atvik í upplýsingaöryggi. Venjulegar, endurteknar aðgerðir ættu að vera framkvæmdar sjálfkrafa. Þetta á fyrst og fremst við um lyklastjórnun. Þeir ættu að vera búnir til og dreift sjálfkrafa. PKI-stuðningur er mikill kostur.

Eindrægni

Það er að segja, samhæfni tækisins við netstaðla. Þetta vísar ekki aðeins til iðnaðarstaðla sem viðurkenndir stofnanir eins og IEEE hafa samþykkt, heldur einnig til sérsniðinna samskiptareglna frá leiðtogum í greininni, svo sem Cisco. Það eru tvær grundvallarleiðir til að tryggja samhæfni: annað hvort með gegnsæi, eða í gegnum skýr stuðningur samskiptareglur (þegar dulkóðunartækið verður einn af nethnútunum fyrir ákveðna samskiptareglu og vinnur úr stjórnumferð þeirrar samskiptareglu). Samhæfni við net fer eftir því hversu heilleg og rétt útfærsla stjórnsamskiptareglna er. Mikilvægt er að styðja mismunandi PHY-stig (hraði, flutningsmiðill, kóðunarkerfi), Ethernet-ramma af mismunandi sniðum með hvaða MTU sem er og ýmsar L3 þjónustusamskiptareglur (aðallega fjölskyldusamskiptareglurnar). TCP/IP).

Gagnsæi næst með stökkbreytingum (tímabundinni breytingu á innihaldi tærra hausa í umferð milli dulkóðara), hoppsetningu (þar sem einstök pakkar eru látnir vera ódulkóðaðir) og upphafsfyllingu dulkóðunar (þar sem venjulega dulkóðaðir pakkareitir eru ekki dulkóðaðir).

Hvernig gagnsæi er tryggt

Þess vegna skal alltaf skýra nákvæmlega hvernig stuðningur við tiltekna samskiptareglu er veittur. Gagnsær stuðningur er oft þægilegri og áreiðanlegri.

Samvirkni

Þetta er líka eindrægni, en í öðrum skilningi: hæfni til að vinna með öðrum dulkóðunartækjum, þar á meðal frá öðrum framleiðendum. Mikið veltur á stöðu stöðlunar dulkóðunarferla. Það eru einfaldlega engir almennt viðurkenndir dulkóðunarstaðlar fyrir L1.

Fyrir L2 dulkóðun í Ethernet netum er til staðallinn 802.1ae (MACsec), en hann notar ekki í gegnum (frá enda til enda), og samgöngur, hop-by-hop dulkóðun, og í upprunalegri útgáfu er hún óhentug til notkunar í dreifðum netum. Þess vegna hafa komið fram séreignarviðbætur sem vinna bug á þessari takmörkun (auðvitað með samvirkni við búnað frá öðrum framleiðendum). Þó að stuðningur við dreifð net hafi verið bætt við 802.1ae staðalinn árið 2018, skortir hann enn stuðning við GOST dulkóðunaralgrímapakka. Þess vegna eru séreignar, óstaðlaðar L2 dulkóðunarreglur yfirleitt skilvirkari (sérstaklega með minni bandbreiddarkostnaði) og sveigjanlegri (sem gerir kleift að skipta um reiknirit og dulkóðunarham).

Á hærri stigum (L3 og L4) eru viðurkenndir staðlar, fyrst og fremst IPsec og TLS, en jafnvel þar eru hlutirnir ekki svo einfaldir. Hver þessara staðla er safn samskiptareglna, hver með mismunandi útgáfum og skyldubundnum eða valfrjálsum viðbætur. Þar að auki kjósa sumir framleiðendur að nota sínar eigin dulkóðunarreglur á L3/L4. Þess vegna ætti í flestum tilfellum ekki að búast við fullri samvirkni, en það er mikilvægt að tryggja að minnsta kosti samvirkni milli mismunandi gerða og kynslóða frá sama framleiðanda.

Áreiðanleiki

Til að bera saman mismunandi lausnir er hægt að nota annað hvort meðaltíma milli bilana (MTBF) eða tiltækileika. Ef þessar tölur eru ekki tiltækar (eða óáreiðanlegar) er hægt að gera eigindlegan samanburð. Tæki með auðveldri stjórnun (minni hætta á stillingarvillum), sérhæfðir kóðarar (af sömu ástæðu) og lausnir með lágmarks bilanagreiningar- og endurheimtartíma, þar á meðal heita öryggisafrit af hnútum og heilum tækjum, verða kostur.

Kostnaður

Hvað varðar kostnað, eins og með flestar upplýsingatæknilausnir, er gagnlegt að bera saman heildarkostnað eignarhalds. Til að reikna hann út þarftu ekki að finna upp hjólið á ný; þú getur notað hvaða aðferðafræði sem er (til dæmis frá Gartner) og hvaða reiknivél sem er (til dæmis þá sem fyrirtækið þitt notar nú þegar til að reikna út heildarkostnað eignarhalds). Fyrir netdulkóðunarlausn er heildarkostnaður eignarhalds augljóslega samsettur af: beint útgjöld vegna kaupa eða leigu á lausninni sjálfri, fyrir innviði til að hýsa búnaðinn og kostnað við uppsetningu, stjórnun og viðhald (hvort sem það er sjálfstætt eða í gegnum þjónustu þriðja aðila), svo og óbein Kostnaður vegna niðurtíma lausna (af völdum taps á framleiðni notenda). Það er líklega aðeins einn fyrirvari. Áhrif afkösta lausna má reikna með á mismunandi vegu: annað hvort sem óbeinan kostnað af völdum taps á framleiðni eða sem „sýndar“ beinan kostnað við kaup/uppfærslu og viðhald netbúnaðar til að bæta upp tap á netafköstum vegna dulkóðunar. Í öllum tilvikum er best að taka kostnað sem erfitt er að reikna út með nægilegri nákvæmni ekki með í útreikninginn: þetta mun auka traust á lokatölunni. Og eins og alltaf er skynsamlegt að bera saman mismunandi tæki eftir heildarkostnaði fyrir tiltekna notkunaraðstæður - raunverulegar eða dæmigerðar.

Endingartími

Síðasti eiginleikinn er styrkur lausnarinnar. Í flestum tilfellum er aðeins hægt að meta styrk eigindlega með því að bera saman mismunandi lausnir. Við verðum að muna að dulkóðunartæki eru ekki aðeins leið til að vernda þau heldur einnig verndarviðfang. Þau geta orðið fyrir ýmsum ógnum. Fremst af þessum eru ógnir við trúnað, endurspilun og breytingu skilaboða. Þessar ógnir geta komið fram í gegnum veikleika í dulkóðuninni eða einstökum stillingum hennar, eða í gegnum veikleika í dulkóðunarreglum (þar á meðal við tengingarstofnun og lyklamyndun/dreifingu). Kostir verða lausnir sem gera kleift að breyta dulkóðunaralgríminu eða skipta um dulkóðunarstillingu (að minnsta kosti með uppfærslu á vélbúnaði), lausnir sem veita fullkomnasta dulkóðun, fela fyrir árásarmönnum ekki aðeins notendagögn heldur einnig heimilisföng og aðrar þjónustuupplýsingar, sem og lausnir sem ekki aðeins dulkóða heldur einnig vernda skilaboð fyrir endurspilun og breytingum. Gera má ráð fyrir að styrkurinn sé sá sami fyrir öll nútíma dulkóðunaralgrím, stafrænar undirskriftir, lyklamyndun og önnur reiknirit sem eru fest í stöðlum (annars gæti maður einfaldlega týnst í dulkóðunarfrumskóginum). Þurfa þetta endilega að vera GOST-samhæf reiknirit? Það er einfalt: ef forritið krefst FSB-vottunar fyrir dulritunarupplýsingaverndartól (og í Rússlandi er það oftast raunin - í flestum tilfellum netdulkóðunar er það raunin), þá veljum við aðeins vottað tæki. Ef ekki, þá er enginn tilgangur í að útiloka tæki án vottunar frá skoðun.

Önnur ógn er tölvuárásir, óheimill aðgangur að tækjum (þar á meðal með líkamlegum aðgangi að utan og innan kassans). Ógnina getur átt sér stað með því að
Veikleikar í útfærslu - í vélbúnaði og kóða. Þess vegna verður kostur gefinn lausnum með lágmarks árásarfleti í gegnum netið, girðingum sem eru varin gegn líkamlegum aðgangi (með innbrotsskynjurum, vörn gegn könnun og sjálfvirkri endurstillingu lykilupplýsinga þegar girðingin er opnuð), sem og þeim sem leyfa uppfærslur á vélbúnaðarbúnaði ef veikleiki í kóðanum uppgötvast. Önnur nálgun: ef öll tækin sem eru borin saman eru FSB-vottuð, þá er hægt að nota flokk dulritunarupplýsingaverndartækja sem vottorðið var gefið út fyrir sem vísbendingu um viðnám gegn tölvuárásum.

Að lokum er önnur tegund ógnunar stillingar- og rekstrarvillur - mannleg mistök í sinni hreinustu mynd. Þetta er þar sem sérhæfðir dulkóðarar reynast vera annar kostur umfram samþættar lausnir, sem eru oft miðaðar við reynda netsérfræðinga og geta skapað áskoranir fyrir „venjulega“ almenna upplýsingaöryggissérfræðinga.

Samantekt

Í meginatriðum mætti ​​leggja til hér einhvers konar heildarvísi til að bera saman mismunandi tæki, eitthvað eins og

$$sýna$$K_j=∑p_i r_{ij}$$sýna$$

þar sem p er þyngd vísisins og r er röðun mælikvarðans fyrir þennan vísi. Hægt er að skipta öllum ofangreindum eiginleikum niður í „atómvísa“. Slík formúla gæti verið gagnleg, til dæmis þegar tilboð eru borin saman samkvæmt fyrirfram samþykktum reglum. Hins vegar er einföld tafla eins og

Lýsing
Tæki 1
Tæki 2
...
Tæki N

Afköst
+
+

+ + +

Rekstrarkostnaður
+
++

+ + +

Töf
+
+

++

Stærð
+ + +
+

+ + +

Sveigjanleiki
+ + +
++

+

Samvirkni
++
+

+

Eindrægni
++
++

+ + +

Einfaldleiki og þægindi
+
+

++

bilanaþol
+ + +
+ + +

++

Kostnaður
++
+ + +

+

Endingartími
++
++

+ + +

Ég mun með ánægju svara spurningum og uppbyggilegri gagnrýni.

Heimild: www.habr.com