Hvernig á að meta og bera saman Ethernet dulkóðunartæki

Ég skrifaði þessa umsögn (eða, ef þú vilt, samanburðarleiðbeiningar) þegar mér var falið að bera saman nokkur tæki frá mismunandi söluaðilum. Að auki tilheyrðu þessi tæki mismunandi flokkum. Ég þurfti að skilja arkitektúr og eiginleika allra þessara tækja og búa til „hnitakerfi“ til samanburðar. Ég mun vera ánægður ef umsögn mín hjálpar einhverjum:

• Skilja lýsingar og forskriftir dulkóðunartækja
• Greindu „pappír“ eiginleika frá þeim sem eru mjög mikilvægir í raunveruleikanum
• Farðu lengra en venjulega framleiðendur og taktu með allar vörur sem henta til að leysa vandamálið með í reikninginn
• Spyrðu réttu spurninganna meðan á samningaviðræðum stendur
• Semja útboðskröfur (RFP)
• Skilja hvaða eiginleikum þarf að fórna ef ákveðin gerð tækis er valin

Hvað er hægt að meta

Í grundvallaratriðum á nálgunin við um öll sjálfstæð tæki sem henta til að dulkóða netumferð milli fjarlægra Ethernet hluta (dulkóðun yfir vefsvæði). Það er, „kassar“ í sérstöku tilfelli (allt í lagi, við munum einnig láta fylgja með blöð/einingar fyrir undirvagninn hér), sem eru tengdir um eina eða fleiri Ethernet tengi við staðbundið (háskólasvæði) Ethernet net með ódulkóðaðri umferð, og í gegnum önnur höfn(ir) til rásar/nets þar sem þegar dulkóðuð umferð er send til annarra fjarlægra hluta. Slíka dulkóðunarlausn er hægt að nota í einka- eða rekstrarneti í gegnum mismunandi gerðir „flutninga“ (dökkir trefjar, tíðniskiptabúnað, skipt Ethernet, sem og „gervivíra“ sem eru lagðir í gegnum net með mismunandi leiðararkitektúr, oftast MPLS ), með eða án VPN tækni.

Dulkóðun nets í dreifðu Ethernet neti

Tækin sjálf geta verið annað hvort sérhæft sig (eingöngu ætlaður til dulkóðunar), eða fjölnota (blendingur, sameinast), það er líka að framkvæma aðrar aðgerðir (til dæmis eldvegg eða leið). Mismunandi söluaðilar flokka tæki sín í mismunandi flokka/flokka, en þetta skiptir ekki máli - það eina sem skiptir máli er hvort þeir geti dulkóðað umferð á milli vefsvæða og hvaða eiginleika þeir hafa.

Bara svona, minni ég þig á að „netdulkóðun“, „umferðardulkóðun“, „dulkóðari“ eru óformleg hugtök, þó þau séu oft notuð. Þú munt líklega ekki finna þær í rússneskum reglugerðum (þar á meðal þeim sem kynna GOSTs).

Dulkóðunarstig og sendingarhamir

Áður en við byrjum að lýsa eiginleikum sjálfum sem verða notaðir við mat verðum við fyrst að skilja eitt mikilvægt atriði, nefnilega „dulkóðunarstigið“. Ég tók eftir því að það er oft nefnt bæði í opinberum söluskjölum (í lýsingum, handbókum osfrv.) og í óformlegum umræðum (við samningaviðræður, þjálfun). Það er að segja að allir virðast vita mjög vel hvað við erum að tala um, en ég varð sjálfur vitni að einhverju rugli.

Svo hvað er „dulkóðunarstig“? Það er ljóst að við erum að tala um númer OSI/ISO viðmiðunarnets líkanslagsins þar sem dulkóðun á sér stað. Við lesum GOST R ISO 7498-2–99 „Upplýsingatækni. Samtenging opinna kerfa. Grunnviðmiðunarlíkan. Part 2. Upplýsingaöryggisarkitektúr.“ Af þessu skjali má skilja að stig trúnaðarþjónustu (einn af aðferðunum til að veita sem er dulkóðun) er stig samskiptareglunnar, þar sem þjónustugagnablokkin („gagnamagn“, notendagögn) er dulkóðuð. Eins og það er líka skrifað í staðlinum er hægt að veita þjónustuna bæði á sama stigi, „ein og sér“ og með hjálp lægra stigs (svona er hún til dæmis oftast útfærð í MACsec) .

Í reynd eru tvær leiðir til að senda dulkóðaðar upplýsingar um netkerfi mögulegar (IPsec kemur strax upp í hugann, en sömu stillingar eru einnig að finna í öðrum samskiptareglum). IN flutninga (stundum einnig kallaður innfæddur) háttur er aðeins dulkóðaður þjónustu gagnablokk og hausarnir haldast „opnir“, ódulkóðaðir (stundum er viðbótarreitum með þjónustuupplýsingum um dulkóðunaralgrímið bætt við og öðrum reitum er breytt og endurreiknað). IN göng sama háttur allt siðareglur gagnablokkinn (þ.e. pakkinn sjálfur) er dulkóðaður og hjúpaður í þjónustugagnablokk af sama eða hærra stigi, það er að segja hann er umkringdur nýjum hausum.

Dulkóðunarstigið sjálft ásamt einhverjum flutningsmáta er hvorki gott né slæmt, svo það er td ekki hægt að segja að L3 í flutningsham sé betri en L2 í jarðgangaham. Það er bara að margir eiginleikar sem tæki eru metin eftir eru háð þeim. Til dæmis, sveigjanleika og eindrægni. Til að vinna í netkerfi L1 (bitastraumsgengi), L2 (rammaskipti) og L3 (pakkaleiðing) í flutningsham þarftu lausnir sem dulkóða á sama eða hærra stigi (annars verða heimilisfangsupplýsingarnar dulkóðaðar og gögnin ekki náð tilætluðum áfangastað) , og jarðgangahamurinn sigrar þessa takmörkun (þó að hann fórni öðrum mikilvægum eiginleikum).

Flutningur og göng L2 dulkóðunarstillingar

Nú skulum við halda áfram að greina einkennin.

Framleiðni

Fyrir net dulkóðun er frammistaða flókið, fjölvíddar hugtak. Það kemur fyrir að tiltekið líkan, þó það sé æðri í einu frammistöðueiginleika, sé óæðra í öðru. Þess vegna er alltaf gagnlegt að huga að öllum þáttum dulkóðunarframmistöðu og áhrifum þeirra á frammistöðu netsins og forritanna sem nota það. Hér getum við dregið upp líkingu við bíl, þar sem ekki aðeins hámarkshraði er mikilvægur, heldur einnig hröðunartími upp í "hundruð", eldsneytisnotkun og svo framvegis. Seljandi fyrirtæki og hugsanlegir viðskiptavinir þeirra leggja mikla áherslu á frammistöðueiginleika. Að jafnaði er dulkóðunartækjum raðað eftir frammistöðu í línum söluaðila.

Það er ljóst að afköst eru bæði háð því hversu flókið netkerfi og dulritunaraðgerðir eru gerðar á tækinu (þar á meðal hversu vel er hægt að samsíða þessi verkefni og leiðsla), sem og afköstum vélbúnaðarins og gæðum fastbúnaðarins. Þess vegna nota eldri gerðir afkastameiri vélbúnaði; stundum er hægt að útbúa hann með fleiri örgjörvum og minniseiningum. Það eru nokkrar aðferðir til að innleiða dulritunaraðgerðir: á almennri miðvinnslueiningu (CPU), forritssértækri samþættri hringrás (ASIC) eða sviðiforritanlegri rökfræði samþættri hringrás (FPGA). Hver aðferð hefur sína kosti og galla. Til dæmis getur örgjörvinn orðið dulkóðunarflöskuháls, sérstaklega ef örgjörvinn hefur ekki sérhæfðar leiðbeiningar til að styðja dulkóðunaralgrímið (eða ef þær eru ekki notaðar). Sérhæfðar flísar skortir sveigjanleika; það er ekki alltaf hægt að „endurnýja“ þá til að bæta árangur, bæta við nýjum aðgerðum eða útrýma veikleikum. Að auki verður notkun þeirra aðeins arðbær með miklu framleiðslumagni. Þess vegna hefur „gullni meðalvegurinn“ orðið svo vinsæll - notkun FPGA (FPGA á rússnesku). Það er á FPGA sem svokallaðir dulritunarhraðlar eru gerðir - innbyggðar eða innbyggðar sérhæfðar vélbúnaðareiningar til að styðja dulritunaraðgerðir.

Þar sem við erum að tala um net dulkóðun er rökrétt að árangur lausna sé mældur í sama magni og fyrir önnur nettæki - afköst, hlutfall rammataps og leynd. Þessi gildi eru skilgreind í RFC 1242. Við the vegur, ekkert er skrifað um oft nefnd delay variation (jitter) í þessum RFC. Hvernig á að mæla þessar stærðir? Ég hef ekki fundið aðferðafræði samþykkta í neinum stöðlum (opinberum eða óopinberum eins og RFC) sérstaklega fyrir dulkóðun nets. Það væri rökrétt að nota aðferðafræðina fyrir nettæki, sem er bundin í staðlinum RFC 2544. Margir söluaðilar fylgja honum - margir, en ekki allir. Til dæmis senda þeir prófunarumferð í aðeins eina átt í stað beggja, eins og mælt með staðall. Allavega.

Mæling á frammistöðu dulkóðunartækja á netinu hefur enn sín eigin einkenni. Í fyrsta lagi er rétt að framkvæma allar mælingar fyrir par af tækjum: þó að dulkóðunaralgrímin séu samhverf, verða tafir og pakkatap við dulkóðun og afkóðun ekki endilega jöfn. Í öðru lagi er skynsamlegt að mæla delta, áhrif dulkóðunar netsins á endanlega netafköst, bera saman tvær stillingar: án dulkóðunartækja og með þeim. Eða, eins og raunin er með blendingstæki, sem sameina nokkrar aðgerðir til viðbótar við dulkóðun netsins, með dulkóðun slökkt og kveikt. Þessi áhrif geta verið mismunandi og fer eftir tengingarkerfi dulkóðunartækjanna, á rekstrarhamunum og loks eðli umferðarinnar. Sérstaklega eru margar frammistöðubreytur háðar lengd pakka, þess vegna eru oft notuð graf yfir þessar færibreytur eftir lengd pakka til að bera saman árangur mismunandi lausna, eða IMIX er notað - dreifing umferðar eftir pakka lengd, sem endurspeglar um það bil hina raunverulegu. Ef við berum saman sömu grunnstillingu án dulkóðunar, getum við borið saman net dulkóðunarlausnir útfærðar á annan hátt án þess að fara inn í þessa mun: L2 með L3, store-and-forward ) með cut-through, sérhæfð með convergent, GOST með AES og svo framvegis.

Tengimynd fyrir frammistöðuprófun

Fyrsti eiginleiki sem fólk veitir athygli er „hraði“ dulkóðunartækisins, það er bandvídd (bandbreidd) netviðmóta þess, bitaflæðishraði. Það er ákvarðað af netstöðlunum sem eru studdir af viðmótunum. Fyrir Ethernet eru venjulega tölurnar 1 Gbps og 10 Gbps. En eins og við vitum, í hvaða neti sem er hámarks fræðilegt afköst (afköst) á hverju stigi þess er alltaf minni bandbreidd: Hluti af bandbreiddinni er „étinn upp“ af millirammabilum, þjónustuhausum og svo framvegis. Ef tæki er fær um að taka á móti, vinna úr (í okkar tilfelli, dulkóða eða afkóða) og senda umferð á fullum hraða netviðmótsins, það er að segja með hámarks fræðilegu afköstum fyrir þetta stig netlíkans, þá er það sagt að vera að vinna á línuhraða. Til að gera þetta er nauðsynlegt að tækið týni ekki eða fleygi pökkum í hvaða stærð sem er og á hvaða tíðni sem er. Ef dulkóðunartækið styður ekki rekstur á línuhraða, þá er hámarksafköst þess venjulega tilgreint í sömu gígabitum á sekúndu (sem gefur stundum til kynna lengd pakkana - því styttri sem pakkarnir eru, því minni er afköst venjulega). Það er mjög mikilvægt að skilja að hámarks afköst er hámarkið ekkert tap (jafnvel þó að tækið geti „dælt“ umferð í gegnum sig á meiri hraða, en á sama tíma tapað sumum pökkum). Vertu einnig meðvituð um að sumir söluaðilar mæla heildarafköst milli allra pöra af höfnum, þannig að þessar tölur þýða ekki mikið ef öll dulkóðuð umferð fer í gegnum eina höfn.

Hvar er sérstaklega mikilvægt að starfa á línuhraða (eða, með öðrum orðum, án pakkataps)? Í hlekkjum með mikilli bandbreidd og mikilli biðtíma (eins og gervihnött), þar sem stilla þarf stóra TCP gluggastærð til að viðhalda háum flutningshraða og þar sem pakkatap dregur verulega úr afköstum netsins.

En ekki er öll bandbreiddin notuð til að flytja gagnleg gögn. Við verðum að reikna með svokallaða yfirkostnaður (overhead) bandbreidd. Þetta er sá hluti dulkóðunartækisins (sem hlutfall eða bæti á pakka) sem er í raun sóun (ekki hægt að nota til að flytja forritsgögn). Yfirbyggingarkostnaður myndast í fyrsta lagi vegna aukningar á stærð (viðbót, „fylling“) gagnasviðsins í dulkóðuðum netpökkum (fer eftir dulkóðunaralgríminu og notkunarham þess). Í öðru lagi, vegna aukinnar lengdar pakkahausa (gangahamur, þjónustuinnsetning dulkóðunarsamskiptareglur, uppgerð innsetning o.s.frv., allt eftir samskiptareglum og notkunarmáta dulmáls og sendingarhams) - venjulega er þessi kostnaður mikilvægustu, og þeir gefa gaum fyrst. Í þriðja lagi, vegna sundrunar pakka þegar farið er yfir hámarks gagnaeiningastærð (MTU) (ef netkerfið getur skipt pakka sem fer yfir MTU í tvennt og afritað hausana). Í fjórða lagi, vegna útlits viðbótarþjónustu (stýra) umferðar á netinu á milli dulkóðunartækja (fyrir lyklaskipti, uppsetningu jarðganga osfrv.). Lágt kostnaður er mikilvægt þar sem rásargeta er takmörkuð. Þetta er sérstaklega áberandi í umferð frá litlum pökkum, til dæmis rödd - þar sem kostnaður getur " étið upp" meira en helming rásarhraðans!

Afköst

Að lokum er fleira kynnt seinkun – mismunurinn (í sekúndubrotum) á nettöf (tíminn sem það tekur fyrir gögn að líða frá því að fara inn á netið þar til það fer út) á milli gagnaflutnings án og með netdulkóðun. Almennt talað, því lægri sem leynd („leynd“) netsins er, því mikilvægari verður töfin sem dulkóðunartæki kynna. Seinkunin er kynnt af dulkóðunaraðgerðinni sjálfri (fer eftir dulkóðunaralgrími, lengd blokkar og notkunarmáti dulmálsins, svo og gæðum innleiðingar þess í hugbúnaðinum), og vinnslu netpakkans í tækinu. . Töfin sem kynnt er veltur bæði á pakkavinnsluhamnum (geymsla eða geyma og áfram) og frammistöðu vettvangsins (vélbúnaðarútfærsla á FPGA eða ASIC er almennt hraðari en hugbúnaðarútfærsla á örgjörva). L2 dulkóðun hefur næstum alltaf lægri leynd en L3 eða L4 dulkóðun, vegna þess að L3/L4 dulkóðunartæki eru oft saman. Til dæmis, með háhraða Ethernet dulkóðum sem eru innleiddir á FPGA og dulkóðun á L2, er töfin vegna dulkóðunaraðgerðarinnar hverfandi lítil - stundum þegar dulkóðun er virkjuð á par af tækjum minnkar heildartöfin sem þeir kynna jafnvel! Lítil leynd er mikilvæg þar sem hún er sambærileg við heildartöf rásar, þar með talið útbreiðsluseinkun, sem er um það bil 5 μs á kílómetra. Það er, við getum sagt að fyrir þéttbýlisnet (tugi kílómetra þvermál) geta míkrósekúndur ráðið miklu. Til dæmis, fyrir samstillta afritun gagnagrunns, hátíðniviðskipti, sama blockchain.

Kynnt seinkun

Stærð

Stór dreifð net geta innihaldið mörg þúsund hnúta og nettæki, hundruð staðbundinna nethluta. Mikilvægt er að dulkóðunarlausnir setji ekki frekari takmarkanir á stærð og staðfræði dreifða netsins. Þetta á fyrst og fremst við um hámarksfjölda hýsils og netfönga. Slíkar takmarkanir geta komið upp, til dæmis þegar þú innleiðir margpunkta dulkóðaðan netkerfi (með óháðum öruggum tengingum, eða göngum) eða sértækri dulkóðun (til dæmis með samskiptanúmeri eða VLAN). Ef í þessu tilviki eru netföng (MAC, IP, VLAN ID) notuð sem lyklar í töflu þar sem fjöldi lína er takmarkaður, þá birtast þessar takmarkanir hér.

Að auki hafa stór net oft nokkur byggingarlög, þar á meðal kjarnanetið, sem hvert um sig útfærir sitt eigið netfangakerfi og sína eigin leiðarstefnu. Til að útfæra þessa nálgun eru oft notuð sérstök rammasnið (eins og Q-in-Q eða MAC-in-MAC) og leiðarákvörðunarreglur. Til þess að hindra ekki byggingu slíkra neta verða dulkóðunartæki að höndla slíka ramma rétt (það er í þessum skilningi mun sveigjanleiki þýða eindrægni - meira um það hér að neðan).

Sveigjanleiki

Hér erum við að tala um að styðja við ýmsar stillingar, tengingarkerfi, staðfræði og annað. Til dæmis, fyrir skiptinet sem byggjast á Carrier Ethernet tækni þýðir þetta stuðning við mismunandi gerðir sýndartenginga (E-Line, E-LAN, E-Tree), mismunandi gerðir þjónustu (bæði eftir höfn og VLAN) og mismunandi flutningstækni (þau eru þegar skráð hér að ofan). Það er, tækið verður að geta starfað bæði í línulegum ("punkt-til-punkti") og fjölpunkta stillingu, komið á aðskildum göngum fyrir mismunandi VLAN og leyft óreglulegri afhendingu pakka innan öruggrar rásar. Hæfni til að velja mismunandi dulritunarhami (þar á meðal með eða án auðkenningar efnis) og mismunandi pakkasendingarhamir gerir þér kleift að ná jafnvægi á milli styrks og frammistöðu eftir núverandi aðstæðum.

Það er einnig mikilvægt að styðja við bæði einkanet, þar sem búnaður er í eigu einnar stofnunar (eða leigður henni), og rekstrarnet, þar sem mismunandi hlutar eru stjórnað af mismunandi fyrirtækjum. Það er gott ef lausnin leyfir stjórnun bæði innanhúss og af þriðja aðila (með stýrðu þjónustulíkani). Í netkerfi rekstraraðila er önnur mikilvæg aðgerð stuðningur við fjölleigu (deilingu með mismunandi viðskiptavinum) í formi dulritunareinangrunar einstakra viðskiptavina (áskrifenda) sem umferð þeirra fer í gegnum sama sett dulkóðunartækja. Þetta krefst venjulega notkunar á sérstökum settum lykla og vottorða fyrir hvern viðskiptavin.

Ef tæki er keypt fyrir ákveðna atburðarás, þá eru allir þessir eiginleikar kannski ekki mjög mikilvægir - þú þarft bara að ganga úr skugga um að tækið styðji það sem þú þarft núna. En ef lausn er keypt „til að vaxa“, til að styðja við framtíðarsviðsmyndir líka, og er valin sem „fyrirtækjastaðall“, þá verður sveigjanleiki ekki óþarfur - sérstaklega að teknu tilliti til takmarkana á samvirkni tækja frá mismunandi söluaðilum ( meira um þetta hér að neðan).

Einfaldleiki og þægindi

Auðveld þjónusta er líka margþætt hugtak. Um það bil getum við sagt að þetta sé heildartími sem sérfræðingar með ákveðna menntun eyða til að styðja við lausn á mismunandi stigum lífsferils hennar. Ef það er enginn kostnaður og uppsetning, uppsetning og rekstur eru fullkomlega sjálfvirkur, þá er kostnaðurinn enginn og þægindin algjör. Auðvitað gerist þetta ekki í hinum raunverulega heimi. Hæfileg nálgun er líkan "hnútur á vír" (bump-in-the-wire), eða gagnsæ tenging, þar sem að bæta við og slökkva á dulkóðunartækjum krefst hvorki handvirkra né sjálfvirkra breytinga á netstillingunni. Á sama tíma er viðhald á lausninni einfaldað: þú getur örugglega kveikt/slökkt á dulkóðunaraðgerðinni og ef nauðsyn krefur einfaldlega „framhjá“ tækið með netsnúru (það er að tengja beint þau tengi netbúnaðarins sem það var tengt). Að vísu er einn galli - árásarmaður getur gert það sama. Til að innleiða "hnút á vír" meginreglunni er nauðsynlegt að taka ekki aðeins tillit til umferðar gagnalagEn eftirlits- og stjórnunarlög – tæki verða að vera gagnsæ fyrir þeim. Þess vegna er aðeins hægt að dulkóða slíka umferð þegar engir viðtakendur þessarar tegundar umferðar eru á netinu á milli dulkóðunartækjanna, þar sem ef henni er fleygt eða dulkóðað, þá getur netuppsetningin breyst þegar þú kveikir á eða slökktir á dulkóðun. Dulkóðunartækið getur einnig verið gagnsætt fyrir merki um líkamlegt lag. Sérstaklega, þegar merki tapast, verður það að senda þetta tap (það er að slökkva á sendum þess) fram og til baka ("fyrir sig") í átt að merkinu.

Stuðningur við skiptingu valds milli upplýsingaöryggis- og upplýsingatæknisviðs, einkum netdeildar, er einnig mikilvægur. Dulkóðunarlausnin verður að styðja við aðgangsstýringu og endurskoðunarlíkan stofnunarinnar. Þörfin fyrir samskipti milli mismunandi deilda til að framkvæma venjubundnar aðgerðir ætti að lágmarka. Þess vegna er kostur hvað varðar þægindi fyrir sérhæfð tæki sem styðja eingöngu dulkóðunaraðgerðir og eru eins gagnsæ og hægt er fyrir netstarfsemi. Einfaldlega sagt ættu starfsmenn upplýsingaöryggis ekki að hafa neina ástæðu til að hafa samband við „sérfræðinga“ til að breyta netstillingum. Og þeir ættu aftur á móti ekki að þurfa að breyta dulkóðunarstillingum þegar þeir viðhalda netinu.

Annar þáttur er getu og þægindi stjórnanna. Þær ættu að vera sjónrænar, rökréttar, veita innflutning/útflutning á stillingum, sjálfvirkni og svo framvegis. Þú ættir strax að borga eftirtekt til hvaða stjórnunarvalkostir eru í boði (venjulega þeirra eigið stjórnunarumhverfi, vefviðmót og skipanalína) og hvaða mengi aðgerða hver þeirra hefur (það eru takmarkanir). Mikilvægt hlutverk er stuðningur utan hljómsveitar (utan bands) stjórn, það er í gegnum sérstakt stjórnkerfi, og í hljómsveit (in-band) stjórn, það er í gegnum sameiginlegt net sem gagnleg umferð er send um. Stjórnunartæki verða að gefa til kynna allar óeðlilegar aðstæður, þar með talið upplýsingaöryggisatvik. Venjulegar, endurteknar aðgerðir ættu að fara fram sjálfkrafa. Þetta snýr fyrst og fremst að lykilstjórnun. Þeir ættu að myndast/dreifa sjálfkrafa. PKI stuðningur er stór plús.

Eindrægni

Það er, samhæfni tækisins við netstaðla. Þar að auki þýðir þetta ekki aðeins iðnaðarstaðla sem samþykktir eru af opinberum stofnunum eins og IEEE, heldur einnig sérsamskiptareglur leiðtoga iðnaðarins, eins og Cisco. Það eru tvær meginleiðir til að tryggja eindrægni: annað hvort í gegnum gegnsæi, eða í gegnum skýran stuðning samskiptareglur (þegar dulkóðunartæki verður einn af nethnútum fyrir ákveðna samskiptareglu og vinnur úr stjórnumferð þessarar samskiptareglur). Samhæfni við netkerfi fer eftir heilleika og réttmæti innleiðingar á eftirlitssamskiptareglum. Það er mikilvægt að styðja mismunandi valkosti fyrir PHY-stigið (hraði, flutningsmiðill, kóðunkerfi), Ethernet ramma af mismunandi sniðum með hvaða MTU sem er, mismunandi L3 þjónustusamskiptareglur (aðallega TCP/IP fjölskylduna).

Gagnsæi er tryggt með aðferðum stökkbreytinga (tímabundið að breyta innihaldi opinna hausa í umferð milli dulkóða), sleppa (þegar einstakir pakkar eru ódulkóðaðir) og inndráttur í upphafi dulkóðunar (þegar venjulega dulkóðaðir reitir pakka eru ekki dulkóðaðir).

Hvernig gagnsæi er tryggt

Athugaðu því alltaf nákvæmlega hvernig stuðningur fyrir tiltekna samskiptareglu er veittur. Stuðningur í gagnsæjum ham er oft þægilegri og áreiðanlegri.

Samvirkni

Þetta er líka eindrægni, en í öðrum skilningi, nefnilega hæfileikinn til að vinna saman með öðrum gerðum dulkóðunartækja, þar á meðal frá öðrum framleiðendum. Mikið veltur á stöðu stöðlunar á dulkóðunarsamskiptareglum. Það eru einfaldlega engir almennt viðurkenndir dulkóðunarstaðlar á L1.

Það er 2ae (MACsec) staðall fyrir L802.1 dulkóðun á Ethernet netkerfum, en hann notar ekki enda til enda (enda til enda), og milliflutningur, "hop-by-hop" dulkóðun, og í upprunalegri útgáfu þess er óhentugt til notkunar í dreifðum netkerfum, þannig að sérviðbætur þess hafa birst sem yfirstíga þessa takmörkun (auðvitað vegna samvirkni við búnað frá öðrum framleiðendum). Að vísu árið 2018 var stuðningi við dreifð net bætt við 802.1ae staðalinn, en það er enn enginn stuðningur við GOST dulkóðunaralgrímssett. Þess vegna eru einkaréttar, óstaðlaðar L2 dulkóðunarsamskiptareglur að jafnaði aðgreindar af meiri skilvirkni (sérstaklega minni bandbreiddarkostnaður) og sveigjanleika (getan til að breyta dulkóðunaralgrímum og stillingum).

Á hærri stigum (L3 og L4) eru viðurkenndir staðlar, fyrst og fremst IPsec og TLS, en líka hér er það ekki svo einfalt. Staðreyndin er sú að hver þessara staðla er sett af samskiptareglum, hver með mismunandi útgáfum og viðbótum sem krafist er eða valfrjáls fyrir innleiðingu. Að auki kjósa sumir framleiðendur að nota sér dulkóðunarsamskiptareglur sínar á L3/L4. Þess vegna ættir þú í flestum tilfellum ekki að treysta á fullkomna samvirkni, en það er mikilvægt að að minnsta kosti samspil milli mismunandi gerða og mismunandi kynslóða sama framleiðanda sé tryggt.

Áreiðanleiki

Til að bera saman mismunandi lausnir geturðu notað annað hvort meðaltíma milli bilana eða framboðsstuðul. Ef þessar tölur eru ekki tiltækar (eða það er ekkert traust á þeim), þá er hægt að gera eigindlegan samanburð. Tæki með þægilegri stjórnun munu hafa yfirburði (minni hætta á stillingarvillum), sérhæfða dulkóðara (af sömu ástæðu), sem og lausnir með lágmarks tíma til að greina og útrýma bilun, þar með talið „heitt“ öryggisafrit af heilum hnútum og tæki.

Kostnaður

Þegar kemur að kostnaði, eins og með flestar upplýsingatæknilausnir, er skynsamlegt að bera saman heildarkostnað við eignarhald. Til að reikna það þarftu ekki að finna upp hjólið upp á nýtt, heldur nota hvaða aðferð sem hentar (til dæmis frá Gartner) og hvaða reiknivél sem er (til dæmis sú sem er þegar notuð í stofnuninni til að reikna út heildarkostnað). Það er ljóst að fyrir dulkóðunarlausn á neti samanstendur heildarkostnaður við eignarhald af beint kostnaður við kaup eða leigu á lausninni sjálfri, innviði fyrir hýsingu búnaðar og kostnaður við uppsetningu, umsýslu og viðhald (hvort sem það er innanhúss eða í formi þjónustu þriðja aðila), sem og óbeint kostnaður vegna niðurtíma lausnar (af völdum taps á framleiðni notenda). Það er sennilega bara ein fíngerð. Líta má á árangursáhrif lausnarinnar á mismunandi vegu: annaðhvort sem óbeinan kostnað af völdum tapaðrar framleiðni eða sem „raunverulegur“ beinn kostnaður við að kaupa/uppfæra og viðhalda netverkfærum sem bæta upp tap á afköstum netkerfisins vegna notkunar á dulkóðun. Hvað sem því líður er best að sleppa útgjöldum sem erfitt er að reikna út með nægilega nákvæmni: þannig verður meira traust á lokagildinu. Og eins og venjulega, í öllum tilvikum, er skynsamlegt að bera saman mismunandi tæki eftir TCO fyrir ákveðna atburðarás um notkun þeirra - raunveruleg eða dæmigerð.

Þrávirkni

Og síðasta einkenni er þrautseigja lausnarinnar. Í flestum tilfellum er aðeins hægt að meta endingu með eigindlegum hætti með því að bera saman mismunandi lausnir. Við verðum að muna að dulkóðunartæki eru ekki aðeins leið heldur einnig verndarhlutur. Þeir geta orðið fyrir ýmsum ógnum. Í forgrunni eru hótanir um brot á trúnaði, fjölföldun og breytingar á skilaboðum. Þessar ógnir geta orðið að veruleika með veikleikum dulmálsins eða einstakra stillinga þess, með veikleikum í dulkóðunarsamskiptareglum (þar á meðal á stigum tengingar og myndun/dreifingar lykla). Kosturinn verður fyrir lausnir sem gera kleift að breyta dulkóðunaralgríminu eða skipta um dulritunarham (að minnsta kosti í gegnum fastbúnaðaruppfærslu), lausnir sem veita fullkomnustu dulkóðunina, fela ekki aðeins notendagögn fyrir árásarmanninn, heldur einnig heimilisfang og aðrar þjónustuupplýsingar , auk tæknilausna sem ekki aðeins dulkóða, heldur einnig vernda skilaboð frá fjölföldun og breytingum. Fyrir öll nútíma dulkóðunaralgrím, rafrænar undirskriftir, lyklagerð o.s.frv., sem eru bundin í staðla, má gera ráð fyrir að styrkurinn sé sá sami (annars geturðu einfaldlega týnst í villtum dulritunar). Ættu þetta endilega að vera GOST reiknirit? Allt er einfalt hér: ef umsóknaratburðarás krefst FSB vottunar fyrir CIPF (og í Rússlandi er þetta oftast raunin; fyrir flestar net dulkóðunarsviðsmyndir er þetta satt), þá veljum við aðeins á milli vottaðra. Ef ekki, þá þýðir ekkert að útiloka tæki án vottorðs frá athugun.

Önnur ógn er hótun um reiðhestur, óviðkomandi aðgang að tækjum (þar á meðal með líkamlegum aðgangi utan og inni í málinu). Ógnin er hægt að framkvæma í gegnum
veikleika í innleiðingu - í vélbúnaði og kóða. Þess vegna munu lausnir með lágmarks „árásaryfirborði“ í gegnum netið, með girðingum sem eru vernduð fyrir líkamlegum aðgangi (með innbrotsskynjurum, rannsakandi vörn og sjálfvirkri endurstillingu lykilupplýsinga þegar girðingin er opnuð), sem og þær sem leyfa uppfærslur fastbúnaðar hafa kostur ef veikleiki í kóðanum verður þekktur. Það er önnur leið: ef öll tækin sem verið er að bera saman eru með FSB vottorð, þá getur CIPF flokkurinn sem vottorðið var gefið út fyrir talist vísbending um mótstöðu gegn reiðhestur.

Að lokum er önnur tegund ógnunar villur við uppsetningu og rekstur, mannlegi þátturinn í sinni hreinustu mynd. Þetta sýnir annan kost sérhæfðra dulkóðara umfram samræmdar lausnir, sem oft eru ætlaðar vanurum „netsérfræðingum“ og geta valdið „venjulegum“ almennum upplýsingaöryggissérfræðingum erfiðleikum.

Samantekt

Í grundvallaratriðum væri hér hægt að leggja til einhvers konar samþættan vísi til að bera saman mismunandi tæki, eitthvað eins og

$$display$$K_j=∑p_i r_{ij}$$display$$

þar sem p er þyngd vísisins og r er staða tækisins samkvæmt þessum vísi, og hægt er að skipta öllum eiginleikum sem taldir eru upp hér að ofan í „atómvísa“. Slík formúla gæti nýst til dæmis við samanburð á tilboðstillögum eftir fyrirfram samþykktum reglum. En þú getur komist af með einföldu borði eins og

Lýsing
Tæki 1
Tæki 2
...
Tæki N

Afköst
+
+

+ + +

Yfirkostnaður
+
++

+ + +

Töf
+
+

++

Stærð
+ + +
+

+ + +

Sveigjanleiki
+ + +
++

+

Samvirkni
++
+

+

Eindrægni
++
++

+ + +

Einfaldleiki og þægindi
+
+

++

bilanaþol
+ + +
+ + +

++

Kostnaður
++
+ + +

+

Þrávirkni
++
++

+ + +

Ég mun með ánægju svara spurningum og uppbyggilegri gagnrýni.

Heimild: www.habr.com