ProHoster > Блог > Administrasi > Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet

Aku nulis review iki (utawa, yen sampeyan seneng, pandhuan perbandingan) nalika aku ditugasake mbandhingake sawetara piranti saka vendor sing beda. Kajaba iku, piranti kasebut kalebu macem-macem kelas. Aku kudu ngerti arsitektur lan karakteristik kabeh piranti iki lan nggawe "sistem koordinat" kanggo comparison. Aku bakal bungah yen reviewku mbantu wong:

  • Ngerti katrangan lan spesifikasi piranti enkripsi
  • Mbedakake karakteristik "kertas" saka sing penting banget ing urip nyata
  • Ngluwihi set biasanipun vendor lan kalebu menyang wawasan produk apa wae sing cocok kanggo ngatasi masalah
  • Takon pitakonan sing bener sajrone negosiasi
  • Nggawe Persyaratan Tender (RFP)
  • Ngerti karakteristik apa sing kudu dikorbanake yen model piranti tartamtu dipilih

Apa sing bisa ditaksir

Ing asas, pendekatan bisa ditrapake kanggo piranti mandiri sing cocog kanggo enkripsi lalu lintas jaringan ing antarane segmen Ethernet remot (enkripsi lintas-situs). Sing, "kothak" ing kasus kapisah (oke, kita uga bakal kalebu glathi / modul kanggo chassis kene), kang disambungake liwat siji utawa luwih bandar Ethernet menyang lokal (kampus) jaringan Ethernet karo lalu lintas unencrypted, lan liwat. port liyane (e) kanggo saluran / jaringan liwat kang lalu lintas wis ndhelik ditularaké kanggo liyane, perangan remot. Solusi enkripsi kasebut bisa disebarake ing jaringan pribadi utawa operator liwat macem-macem jinis "transportasi" (serat peteng, peralatan divisi frekuensi, Ethernet switched, uga "pseudowires" sing dipasang ing jaringan kanthi arsitektur rute sing beda, paling asring MPLS. ), nganggo utawa tanpa teknologi VPN.

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
Enkripsi jaringan ing jaringan Ethernet sing disebarake

Piranti kasebut bisa uga khusus (ditujukake khusus kanggo enkripsi), utawa multifungsi (hibrid, konvergen), yaiku, uga nindakake fungsi liyane (contone, firewall utawa router). Vendor sing beda-beda nggolongake piranti kasebut dadi macem-macem kelas / kategori, nanging iki ora dadi masalah - sing penting yaiku apa bisa ndhelik lalu lintas lintas situs, lan karakteristik apa sing diduweni.

Yen ngono, aku ngelingake yen "enkripsi jaringan", "enkripsi lalu lintas", "enkripsi" minangka istilah sing ora resmi, sanajan asring digunakake. Sampeyan bisa uga ora bakal nemokake ing peraturan Rusia (kalebu sing ngenalake GOST).

Tingkat enkripsi lan mode transmisi

Sadurunge miwiti njlèntrèhaké karakteristik dhewe sing bakal digunakake kanggo evaluasi, kita kudu ngerti siji bab penting, yaiku "tingkat enkripsi." Aku sok dong mirsani sing asring kasebut ing dokumen vendor resmi (ing gambaran, manual, etc.) Lan ing diskusi informal (ing rembugan, latihan). Tegese, kabeh wong kayane ngerti banget apa sing diomongake, nanging aku dhewe nyekseni sawetara kebingungan.

Dadi apa "tingkat enkripsi"? Cetha yen kita ngomong babagan jumlah lapisan model jaringan referensi OSI / ISO sing ana enkripsi. Kita maca GOST R ISO 7498-2-99 "Teknologi informasi. Interkoneksi sistem mbukak. Model referensi dhasar. Bagean 2. Arsitektur keamanan informasi. Saka dokumen iki bisa dingerteni yen tingkat layanan rahasia (salah sawijining mekanisme kanggo nyedhiyakake enkripsi) yaiku tingkat protokol, blok data layanan ("payload", data pangguna) sing dienkripsi. Kaya sing uga ditulis ing standar, layanan kasebut bisa kasedhiya ing tingkat sing padha, "kanthi dhewe", lan kanthi bantuan tingkat sing luwih murah (kayata, umpamane, paling asring ditindakake ing MACsec) .

Ing praktik, rong mode ngirim informasi sing dienkripsi liwat jaringan bisa uga (IPsec langsung dipikirake, nanging mode sing padha uga ditemokake ing protokol liyane). ING Tumpaan (kadhangkala uga disebut native) mode ndhelik mung layanan pemblokiran data, lan header tetep "mbukak", unencrypted (kadhangkala lapangan tambahan karo informasi layanan saka algoritma enkripsi ditambahake, lan lapangan liyane diowahi lan recalculated). ING trowongan modus padha kabeh protokol pamblokiran data (yaiku, paket dhewe) ndhelik lan encapsulated ing pamblokiran data layanan saka tingkat sing padha utawa luwih, sing, iku diubengi dening header anyar.

Tingkat enkripsi dhewe ing kombinasi karo sawetara mode transmisi ora apik utawa ala, supaya ora bisa ngandika, contone, L3 ing mode transportasi luwih apik tinimbang L2 ing mode trowongan. Cukup akeh karakteristik sing dievaluasi piranti gumantung. Contone, keluwesan lan kompatibilitas. Kanggo nggarap jaringan L1 (bit stream relay), L2 (frame switching) lan L3 (packet routing) ing mode transportasi, sampeyan butuh solusi sing ndhelik ing tingkat sing padha utawa luwih dhuwur (yen ora, informasi alamat bakal dienkripsi lan data bakal dienkripsi. ora tekan tujuan sing dituju), lan mode trowongan ngatasi watesan kasebut (sanajan ngorbanake karakteristik penting liyane).

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
Transportasi lan tunnel L2 mode enkripsi

Saiki ayo nerusake kanggo nganalisa karakteristik.

Produktivitas

Kanggo enkripsi jaringan, kinerja minangka konsep multidimensi sing kompleks. Mengkono model tartamtu, nalika unggul ing siji karakteristik kinerja, rodok olo ing liyane. Mula, mesthi migunani kanggo nimbang kabeh komponen kinerja enkripsi lan pengaruhe ing kinerja jaringan lan aplikasi sing nggunakake. Kene kita bisa tarik analogi karo mobil, kang penting ora mung kacepetan maksimum, nanging uga wektu akselerasi kanggo "ratusan", konsumsi bahan bakar, lan ing. Perusahaan vendor lan pelanggan potensial menehi perhatian banget marang karakteristik kinerja. Minangka aturan, piranti enkripsi ditingkat adhedhasar kinerja ing baris vendor.

Cetha yen kinerja gumantung saka kerumitan jaringan lan operasi kriptografi sing ditindakake ing piranti kasebut (kalebu carane tugas kasebut bisa diparalel lan disambungake), uga kinerja hardware lan kualitas perangkat kukuh. Mulane, model lawas nggunakake hardware luwih produktif, kadhangkala iku bisa kanggo nglengkapi prosesor tambahan lan modul memori. Ana sawetara pendekatan kanggo ngleksanakake fungsi kriptografi: ing unit pangolahan pusat (CPU), sirkuit terpadu khusus aplikasi (ASIC), utawa sirkuit terintegrasi logika sing bisa diprogram lapangan (FPGA). Saben pendekatan duwe pro lan kontra. Contone, CPU bisa dadi bottleneck enkripsi, utamane yen prosesor ora duwe instruksi khusus kanggo ndhukung algoritma enkripsi (utawa yen ora digunakake). Kripik khusus ora duwe keluwesan; ora mesthi bisa "reflash" kanggo nambah kinerja, nambah fungsi anyar, utawa ngilangi kerentanan. Kajaba iku, panggunaane mung entuk bathi kanthi volume produksi sing gedhe. Mulane "tegese emas" wis dadi populer - nggunakake FPGA (FPGA ing Rusia). Ana ing FPGA sing diarani akselerator crypto digawe - modul hardware khusus sing dibangun ing utawa plug-in kanggo ndhukung operasi kriptografi.

Awit kita ngomong bab jaringan enkripsi, iku logis sing kinerja solusi kudu diukur ing jumlah padha kanggo piranti jaringan liyane - throughput, persentasi saka pigura mundhut lan latensi. Nilai kasebut ditetepake ing RFC 1242. Miturut cara, ora ana sing ditulis babagan variasi tundha sing asring kasebut (jitter) ing RFC iki. Kepiye carane ngukur jumlah kasebut? Aku durung nemokake metodologi sing disetujoni ing standar apa wae (resmi utawa ora resmi kayata RFC) khusus kanggo enkripsi jaringan. Iku bakal logis kanggo nggunakake metodologi kanggo piranti jaringan sing ana ing standar RFC 2544. Akeh vendor tindakake - akeh, nanging ora kabeh. Contone, padha ngirim lalu lintas test mung siji arah tinimbang loro, kaya dianjurake standar. Oalah.

Ngukur kinerja piranti enkripsi jaringan isih nduweni ciri dhewe. Kaping pisanan, bener kanggo nindakake kabeh pangukuran kanggo sepasang piranti: sanajan algoritma enkripsi simetris, telat lan mundhut paket sajrone enkripsi lan dekripsi ora mesthi padha. Sareh, iku ndadekake pangertèn kanggo ngukur delta, impact saka enkripsi jaringan ing kinerja jaringan final, mbandingaken loro konfigurasi: tanpa piranti enkripsi lan karo wong-wong mau. Utawa, kaya piranti hibrida, sing nggabungake sawetara fungsi saliyane enkripsi jaringan, kanthi enkripsi dipateni lan diuripake. Pengaruh iki bisa beda-beda lan gumantung ing skema sambungan piranti enkripsi, ing mode operasi, lan pungkasane, ing sifat lalu lintas. Utamane, akeh parameter kinerja gumantung saka dawa paket, mulane, kanggo mbandhingake kinerja solusi sing beda-beda, grafik paramèter kasebut gumantung saka dawa paket sing asring digunakake, utawa IMIX digunakake - distribusi lalu lintas kanthi paket. dawa, sing kira-kira nggambarake sing nyata. Yen kita mbandhingake konfigurasi dhasar sing padha tanpa enkripsi, kita bisa mbandhingake solusi enkripsi jaringan sing diimplementasikake kanthi cara sing beda-beda tanpa entuk beda kasebut: L2 karo L3, nyimpen-lan-maju ) kanthi cut-through, khusus karo konvergen, GOST karo AES lan liya-liyane.

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
Diagram sambungan kanggo testing kinerja

Karakteristik pisanan sing digatekake wong yaiku "kacepetan" piranti enkripsi, yaiku bandwidth (bandwidth) antarmuka jaringan, tingkat aliran bit. Iki ditemtokake dening standar jaringan sing didhukung dening antarmuka. Kanggo Ethernet, nomer biasanipun 1 Gbps lan 10 Gbps. Nanging, kaya sing dingerteni, ing jaringan apa wae teoritis maksimal throughput (throughput) ing saben levele tansah kurang bandwidth: bagean bandwidth "dipangan" dening interval interframe, header layanan, lan liya-liyane. Yen piranti bisa nampa, ngolah (ing kasus kita, enkripsi utawa dekripsi) lan ngirim lalu lintas kanthi kacepetan antarmuka jaringan, yaiku, kanthi throughput teoretis maksimal kanggo tingkat model jaringan iki, mula diarani arep kerja ing kacepetan baris. Kanggo nindakake iki, piranti kasebut ora bakal ilang utawa mbuwang paket kanthi ukuran lan frekuensi apa wae. Yen piranti enkripsi ora ndhukung operasi ing kacepetan baris, throughput maksimum biasane ditemtokake ing gigabits padha saben detik (kadhangkala nuduhake dawa paket - luwih cendhek paket, ing ngisor throughput biasane). Penting banget kanggo ngerti yen throughput maksimal yaiku maksimal ora rugi (sanajan piranti bisa "pompa" lalu lintas liwat dhewe ing kacepetan luwih, nanging ing wektu sing padha ilang sawetara paket). Uga, weruh yen sawetara vendor ngukur total throughput antarane kabeh pasangan port, supaya nomer iki ora ateges akeh yen kabeh lalu lintas ndhelik liwat siji port.

Where iku utamané penting kanggo operate ing kacepetan line (utawa, ing tembung liyane, tanpa mundhut paket)? Ing bandwidth dhuwur, pranala latensi dhuwur (kayata satelit), ing ngendi ukuran jendhela TCP gedhe kudu disetel kanggo njaga kacepetan transmisi dhuwur, lan ing ngendi mundhut paket nyuda kinerja jaringan kanthi dramatis.

Nanging ora kabeh bandwidth digunakake kanggo nransfer data migunani. Kita kudu ngitung karo sing diarani biaya overhead (overhead) bandwidth. Iki minangka bagean saka throughput piranti enkripsi (minangka persentase utawa bita saben paket) sing bener boroske (ora bisa digunakake kanggo nransfer data aplikasi). Biaya overhead muncul, sepisanan, amarga nambah ukuran (tambahan, "isi") lapangan data ing paket jaringan sing dienkripsi (gumantung saka algoritma enkripsi lan mode operasi). Kapindho, amarga tambah dawa header paket (mode terowongan, sisipan layanan protokol enkripsi, selipan simulasi, lan liya-liyane gumantung saka protokol lan mode operasi cipher lan mode transmisi) - biasane biaya overhead iki yaiku paling pinunjul, lan padha mbayar manungsa waé pisanan. Katelu, amarga fragmentasi paket nalika ukuran unit data maksimum (MTU) ngluwihi (yen jaringan bisa pamisah paket sing ngluwihi MTU dadi loro, duplikat header). Kaping papat, amarga katon layanan tambahan (kontrol) lalu lintas ing jaringan antarane piranti enkripsi (kanggo ijol-ijolan tombol, instalasi trowongan, lan liya-liyane). Overhead kurang penting ing ngendi kapasitas saluran diwatesi. Iki utamané katon ing lalu lintas saka paket cilik, contone, swara - ngendi biaya overhead bisa "mangan munggah" luwih saka setengah saka kacepetan saluran!

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
Bandwidth

Akhire, ana liyane ngenalaken wektu tundha – prabédan (ing pecahan saka detik) ing wektu tundha jaringan (wektu iku njupuk kanggo pass data saka ngetik jaringan kanggo ninggalake iku) antarane transmisi data tanpa lan karo enkripsi jaringan. Umumé, latensi sing luwih murah ("latensi") jaringan, luwih kritis latensi sing diwenehake dening piranti enkripsi. Wektu tundha kasebut diwiwiti kanthi operasi enkripsi dhewe (gumantung saka algoritma enkripsi, dawa blok lan mode operasi cipher, uga kualitas implementasine ing piranti lunak), lan pangolahan paket jaringan ing piranti kasebut. . Latensi sing dienalake gumantung saka mode pangolahan paket (pass-through utawa store-and-forward) lan kinerja platform (implementasi hardware ing FPGA utawa ASIC umume luwih cepet tinimbang implementasine piranti lunak ing CPU). Enkripsi L2 meh tansah nduweni latensi sing luwih murah tinimbang enkripsi L3 utawa L4, amarga piranti enkripsi L3/L4 asring digabung. Contone, kanthi enkripsi Ethernet kanthi kacepetan dhuwur sing diimplementasikake ing FPGA lan enkripsi ing L2, wektu tundha amarga operasi enkripsi dadi cilik - kadhangkala nalika enkripsi diaktifake ing sepasang piranti, wektu tundha total sing dienalake malah suda! Latensi rendah penting yen bisa dibandhingake karo penundaan saluran sakabèhé, kalebu wektu tundha propagasi, yaiku kira-kira 5 μs saben kilometer. Yaiku, kita bisa ujar manawa kanggo jaringan skala kutha (puluhan kilometer), mikrodetik bisa mutusake akeh. Contone, kanggo replikasi database sinkron, dagang frekuensi dhuwur, blockchain padha.

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
ngenalaken wektu tundha

Skalabilitas

Jaringan sing disebarake gedhe bisa nyakup ewonan simpul lan piranti jaringan, atusan segmen jaringan lokal. Penting yen solusi enkripsi ora ngetrapake watesan tambahan babagan ukuran lan topologi jaringan sing disebarake. Iki ditrapake utamane kanggo jumlah maksimum alamat host lan jaringan. Watesan kasebut bisa uga ditemoni, contone, nalika ngetrapake topologi jaringan enkripsi multipoint (kanthi sambungan aman, utawa trowongan) utawa enkripsi selektif (contone, kanthi nomer protokol utawa VLAN). Yen ing kasus iki, alamat jaringan (MAC, IP, VLAN ID) digunakake minangka tombol ing tabel sing jumlah baris diwatesi, banjur watesan kasebut katon ing kene.

Kajaba iku, jaringan gedhe asring duwe sawetara lapisan struktural, kalebu jaringan inti, sing saben-saben ngetrapake skema alamat dhewe lan kabijakan rute dhewe. Kanggo ngleksanakake pendekatan iki, format pigura khusus (kayata Q-in-Q utawa MAC-in-MAC) lan protokol penentuan rute asring digunakake. Supaya ora ngalangi pambangunan jaringan kasebut, piranti enkripsi kudu nangani pigura kasebut kanthi bener (yaiku, ing pangertèn iki, skalabilitas tegese kompatibilitas - luwih akeh ing ngisor iki).

Keluwesan

Ing kene kita ngomong babagan ndhukung macem-macem konfigurasi, skema sambungan, topologi lan liya-liyane. Contone, kanggo jaringan sing dialihake adhedhasar teknologi Carrier Ethernet, iki tegese dhukungan kanggo macem-macem jinis sambungan virtual (E-Line, E-LAN, E-Tree), macem-macem jinis layanan (loro port lan VLAN) lan teknologi transportasi sing beda. (padha wis kadhaptar ing ndhuwur). Tegese, piranti kasebut kudu bisa digunakake ing mode linear ("point-to-point") lan multipoint, nggawe terowongan kapisah kanggo VLAN sing beda-beda, lan ngidini pangiriman paket sing ora ana ing saluran sing aman. Kemampuan kanggo milih mode cipher beda (kalebu karo utawa tanpa otentikasi isi) lan mode transmisi paket beda ngijini sampeyan kanggo nggawe imbangan antarane kekuatan lan kinerja gumantung ing kahanan saiki.

Sampeyan uga penting kanggo ndhukung loro jaringan pribadi, peralatan sing diduweni dening siji organisasi (utawa disewakake kanggo iku), lan jaringan operator, perangan kang beda-beda sing ngatur dening perusahaan beda. Luwih becik yen solusi kasebut ngidini manajemen ing omah lan pihak katelu (nggunakake model layanan sing dikelola). Ing jaringan operator, fungsi penting liyane yaiku dhukungan kanggo multi-tenancy (sharing dening pelanggan sing beda-beda) ing wangun isolasi kriptografi saka pelanggan individu (pelanggan) sing lalu lintas liwat piranti enkripsi sing padha. Iki biasane mbutuhake panggunaan set kunci lan sertifikat sing kapisah kanggo saben pelanggan.

Yen piranti dituku kanggo skenario tartamtu, kabeh fitur kasebut bisa uga ora penting banget - sampeyan mung kudu mesthekake yen piranti ndhukung apa sing sampeyan butuhake saiki. Nanging yen solusi dituku "kanggo wutah", kanggo ndhukung skenario mangsa uga, lan dipilih minangka "standar perusahaan", banjur keluwesan ora bakal superfluous - utamané njupuk menyang akun Watesan ing interoperabilitas piranti saka vendor beda ( liyane babagan iki ing ngisor iki).

Kesederhanaan lan penak

Gampang layanan uga minangka konsep multifaktorial. Kira-kira, kita bisa ngomong yen iki minangka total wektu sing ditindakake dening spesialis kualifikasi tartamtu sing dibutuhake kanggo ndhukung solusi ing macem-macem tahapan siklus urip. Yen ora ana biaya, lan instalasi, konfigurasi, lan operasi rampung otomatis, banjur biaya nol lan penak punika Absolute. Mesthine, iki ora kedadeyan ing jagad nyata. Perkiraan sing cukup yaiku model "nyekel kabel" (bump-in-the-wire), utawa sambungan transparan, sing nambah lan mateni piranti enkripsi ora mbutuhake owah-owahan manual utawa otomatis ing konfigurasi jaringan. Ing wektu sing padha, njaga solusi disederhanakake: sampeyan bisa ngaktifake lan mateni fungsi enkripsi kanthi aman, lan yen perlu, mung "bypass" piranti kasebut nganggo kabel jaringan (yaiku, langsung nyambungake port peralatan jaringan kasebut. wis nyambung). Bener, ana siji kekurangan - panyerang bisa nindakake perkara sing padha. Kanggo ngleksanakake prinsip "simpul ing kabel", perlu kanggo njupuk akun ora mung lalu lintas lapisan dataNanging lapisan kontrol lan manajemen – piranti kudu transparan kanggo wong-wong mau. Mulane, lalu lintas kasebut mung bisa dienkripsi nalika ora ana panampa saka jinis lalu lintas kasebut ing jaringan antarane piranti enkripsi, amarga yen dibuwang utawa dienkripsi, banjur nalika sampeyan ngaktifake utawa mateni enkripsi, konfigurasi jaringan bisa diganti. Piranti enkripsi uga bisa transparan kanggo sinyal lapisan fisik. Utamane, nalika sinyal ilang, kudu ngirim mundhut iki (yaiku, mateni pemancar) bolak-balik ("kanggo awake dhewe") menyang arah sinyal kasebut.

Dhukungan ing divisi wewenang antarane keamanan informasi lan departemen IT, utamane departemen jaringan, uga penting. Solusi enkripsi kudu ndhukung model kontrol akses lan audit organisasi. Kebutuhan interaksi antarane departemen sing beda kanggo nindakake operasi rutin kudu diminimalisir. Mulane, ana kaluwihan saka segi penak kanggo piranti khusus sing ndhukung fungsi enkripsi lan transparan sabisa kanggo operasi jaringan. Cukup, karyawan keamanan informasi ora duwe alesan kanggo ngubungi "spesialis jaringan" kanggo ngganti setelan jaringan. Lan wong-wong mau, ora kudu ngganti setelan enkripsi nalika njaga jaringan.

Faktor liyane yaiku kemampuan lan penak saka kontrol. Dheweke kudu visual, logis, nyedhiyakake setelan ekspor-impor, otomatisasi, lan liya-liyane. Sampeyan kudu langsung menehi perhatian marang opsi manajemen apa sing kasedhiya (biasane lingkungan manajemen dhewe, antarmuka web lan baris perintah) lan fungsi apa sing saben wong duwe (ana watesan). Fungsi penting yaiku dhukungan metu-saka-band (saka-band) kontrol, sing, liwat jaringan kontrol darmabakti, lan ing-band (in-band) kontrol, yaiku, liwat jaringan umum liwat lalu lintas migunani ditularaké. Piranti manajemen kudu menehi tandha kabeh kahanan sing ora normal, kalebu kedadeyan keamanan informasi. Operasi rutin lan bola-bali kudu ditindakake kanthi otomatis. Iki utamane ana gandhengane karo manajemen kunci. Padha kudu kui / disebarake kanthi otomatis. Dhukungan PKI minangka tambahan gedhe.

kompatibilitas

Yaiku, kompatibilitas piranti karo standar jaringan. Kajaba iku, iki tegese ora mung standar industri sing diadopsi dening organisasi resmi kayata IEEE, nanging uga protokol kepemilikan pimpinan industri, kayata Cisco. Ana rong cara utama kanggo njamin kompatibilitas: salah siji liwat transparansi, utawa liwat dhukungan eksplisit protokol (nalika piranti enkripsi dadi salah sawijining simpul jaringan kanggo protokol tartamtu lan ngolah lalu lintas kontrol protokol iki). Kompatibilitas karo jaringan gumantung saka lengkap lan bener saka implementasine saka protokol kontrol. Penting kanggo ndhukung opsi sing beda kanggo tingkat PHY (kacepetan, medium transmisi, skema enkoding), pigura Ethernet saka format sing beda karo MTU, protokol layanan L3 sing beda (utamane kulawarga TCP / IP).

Transparansi dijamin liwat mekanisme mutasi (ngganti sementara isi header mbukak ing lalu lintas antarane enkripsi), skipping (nalika paket individu tetep ora dienkripsi) lan indentasi awal enkripsi (nalika kolom paket sing biasane dienkripsi ora dienkripsi).

Cara ngevaluasi lan mbandhingake Piranti Enkripsi Ethernet
Carane transparansi wis mesthekake

Mula, priksa kanthi persis kepiye dhukungan kanggo protokol tartamtu diwenehake. Asring dhukungan ing mode transparan luwih trep lan dipercaya.

Interoperabilitas

Iki uga kompatibilitas, nanging ing pangertèn sing beda, yaiku kemampuan kanggo bisa bebarengan karo model liyane saka piranti enkripsi, kalebu saka manufaktur liyane. Kathah gumantung ing status standarisasi protokol enkripsi. Ora ana standar enkripsi sing ditampa sacara umum ing L1.

Ana standar 2ae (MACsec) kanggo enkripsi L802.1 ing jaringan Ethernet, nanging ora nggunakake mburi-kanggo-mburi (end-to-end), lan interport, enkripsi "hop-by-hop", lan ing versi asline ora cocog kanggo digunakake ing jaringan sing disebarake, mula ekstensi kepemilikan wis muncul sing ngatasi watesan iki (mesthi, amarga interoperabilitas karo peralatan saka manufaktur liyane). Bener, ing 2018, dhukungan kanggo jaringan sing disebarake ditambahake menyang standar 802.1ae, nanging isih ora ana dhukungan kanggo set algoritma enkripsi GOST. Mulane, proprietary, protokol enkripsi L2 non-standar, minangka aturan, dibedakake kanthi efisiensi sing luwih gedhe (utamane, overhead bandwidth sing luwih murah) lan keluwesan (kemampuan kanggo ngganti algoritma lan mode enkripsi).

Ing tingkat sing luwih dhuwur (L3 lan L4) ana standar sing diakoni, utamane IPsec lan TLS, nanging ing kene uga ora gampang. Kasunyatane yaiku saben standar kasebut minangka set protokol, saben duwe versi lan ekstensi sing beda-beda sing dibutuhake utawa opsional kanggo implementasine. Kajaba iku, sawetara manufaktur luwih seneng nggunakake protokol enkripsi kepemilikan ing L3/L4. Mulane, ing sawetara kasus, sampeyan kudu ora Count ing interoperability lengkap, nanging iku penting sing paling ora interaksi antarane model beda lan generasi beda saka Produsèn padha mesthekake.

Linuwih

Kanggo mbandhingake solusi sing beda, sampeyan bisa nggunakake wektu rata-rata antarane gagal utawa faktor kasedhiyan. Yen nomer kasebut ora kasedhiya (utawa ora ana kapercayan), banjur perbandingan kualitatif bisa digawe. Piranti kanthi manajemen sing trep bakal duwe kauntungan (kurang risiko kesalahan konfigurasi), enkripsi khusus (kanggo alesan sing padha), uga solusi kanthi wektu minimal kanggo ndeteksi lan ngilangi kegagalan, kalebu sarana "panas" serep kabeh simpul lan piranti.

biaya

Nalika nerangake biaya, kaya umume solusi IT, mula bisa mbandhingake total biaya kepemilikan. Kanggo ngetung, sampeyan ora kudu reinvent wheel , nanging nggunakake sembarang metodologi cocok (Contone, saka Gartner) lan kalkulator sembarang (Contone, sing wis digunakake ing organisasi kanggo TCO ngetung). Cetha yen kanggo solusi enkripsi jaringan, total biaya kepemilikan kalebu langsung biaya kanggo tuku utawa nyewa solusi dhewe, infrastruktur kanggo peralatan hosting lan biaya penyebaran, administrasi lan pangopènan (apa ing omah utawa ing wangun layanan pihak katelu), uga ora langsung biaya saka downtime solusi (disebabake mundhut produktivitas pangguna pungkasan). Mesthine mung siji subtlety. Dampak kinerja solusi kasebut bisa dianggep kanthi cara sing beda-beda: minangka biaya ora langsung sing disebabake dening produktivitas sing ilang, utawa minangka biaya langsung "virtual" kanggo tuku / nganyarke lan njaga piranti jaringan sing ngimbangi mundhut kinerja jaringan amarga panggunaan enkripsi. Ing kasus apa wae, biaya sing angel dietung kanthi akurasi sing cukup paling apik ditinggalake saka pitungan: kanthi cara iki bakal ana kapercayan liyane ing nilai pungkasan. Lan, kaya biasane, ing kasus apa wae, pancen cocog kanggo mbandhingake piranti beda dening TCO kanggo skenario tartamtu sing digunakake - nyata utawa khas.

Kekahanan

Lan karakteristik pungkasan yaiku ketekunan solusi. Umume kasus, daya tahan mung bisa ditaksir kanthi kualitatif kanthi mbandhingake solusi sing beda. Kita kudu ngelingi yen piranti enkripsi ora mung sarana, nanging uga obyek pangayoman. Dheweke bisa uga kena macem-macem ancaman. Ing ngarep ana ancaman nglanggar rahasia, reproduksi lan modifikasi pesen. Ancaman kasebut bisa diwujudake liwat kerentanan cipher utawa mode individu, liwat kerentanan ing protokol enkripsi (kalebu ing tahap nggawe sambungan lan ngasilake / nyebarake kunci). Kauntungan bakal kanggo solusi sing ngidini ngganti algoritma enkripsi utawa ngoper mode cipher (paling ora liwat nganyari perangkat kukuh), solusi sing nyedhiyakake enkripsi paling lengkap, ndhelikake saka panyerang ora mung data pangguna, nanging uga alamat lan informasi layanan liyane. , uga solusi teknis sing ora mung ndhelik, nanging uga nglindhungi pesen saka reproduksi lan modifikasi. Kanggo kabeh kalkulus enkripsi modern, teken elektronik, generasi tombol, etc., kang ana ing standar, kekuatan bisa dianggep padha (yen sampeyan mung bisa ilang ing wilds kriptografi). Apa iki kudu dadi algoritma GOST? Kabeh gampang ing kene: yen skenario aplikasi mbutuhake sertifikasi FSB kanggo CIPF (lan ing Rusia iki paling kerep kedadeyan, kanggo umume skenario enkripsi jaringan iki bener), banjur kita mung milih antarane sing wis disertifikasi. Yen ora, mula ora ana gunane ora kalebu piranti tanpa sertifikat saka pertimbangan.

Ancaman liyane yaiku ancaman hacking, akses ora sah menyang piranti (kalebu liwat akses fisik ing njaba lan ing njero kasus). Ancaman bisa ditindakake liwat
kerentanan ing implementasine - ing hardware lan kode. Mulane, solusi karo "lumahing serangan" minimal liwat jaringan, karo enclosures dilindhungi saka akses fisik (kanthi sensor intrusi, pangayoman probing lan ngreset otomatis informasi tombol nalika pager dibukak), uga sing ngidini nganyari perangkat kukuh bakal duwe. kauntungan ing acara sing kerentanan ing kode dadi dikenal. Ana cara liya: yen kabeh piranti sing dibandhingake duwe sertifikat FSB, kelas CIPF sing sertifikat ditanggepi bisa dianggep minangka indikator resistensi hacking.

Pungkasan, jinis ancaman liyane yaiku kesalahan sajrone persiyapan lan operasi, faktor manungsa kanthi bentuk sing paling murni. Iki nuduhake kauntungan liyane saka enkripsi khusus liwat solusi converged, kang asring ngarahke ing pengalamane "spesialis jaringan" lan bisa nimbulaké kangelan kanggo spesialis keamanan informasi umum "biasa".

Kanggo ngringkes

Ing asas, kene iku bakal bisa kanggo propose sawetara jinis indikator integral kanggo mbandhingaké piranti beda, kaya

$$tampilan$$K_j=∑p_i r_{ij}$$tampilan$$

ngendi p iku bobot saka indikator, lan r pangkat piranti miturut indikator iki, lan samubarang ciri kadhaptar ndhuwur bisa dipérang dadi "atom" pratondho. Rumus kasebut bisa migunani, umpamane, nalika mbandhingake proposal tender miturut aturan sing wis disepakati. Nanging sampeyan bisa njaluk karo Tabel prasaja kaya

Характеристика
Piranti 1
Piranti 2
...
Piranti N

Bandwidth
+
+

+++

Overheads
+
++

+++

Tundha
+
+

++

Skalabilitas
+++
+

+++

Keluwesan
+++
++

+

Interoperabilitas
++
+

+

kompatibilitas
++
++

+++

Kesederhanaan lan penak
+
+

++

toleransi kesalahan
+++
+++

++

biaya
++
+++

+

Kekahanan
++
++

+++

Aku bakal seneng njawab pitakonan lan kritik sing mbangun.

Source: www.habr.com

Add a comment