ProHoster > Блог > Захиргаа > Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?

Би өөр өөр үйлдвэрлэгчдийн хэд хэдэн төхөөрөмжийг харьцуулах даалгавартай байхдаа энэ тоймыг (эсвэл та хүсвэл харьцуулах заавар) бичсэн. Үүнээс гадна эдгээр төхөөрөмжүүд нь өөр өөр ангилалд багтдаг байв. Би эдгээр бүх төхөөрөмжийн архитектур, шинж чанарыг ойлгож, харьцуулахын тулд "координатын систем" бий болгох шаардлагатай болсон. Миний тойм хэн нэгэнд тусалбал би баяртай байх болно:

  • Шифрлэлтийн төхөөрөмжүүдийн тодорхойлолт, үзүүлэлтүүдийг ойлгох
  • "Цаасны" шинж чанарыг бодит амьдрал дээр үнэхээр чухал зүйлээс ялгах
  • Ердийн нийлүүлэгчдээс илүү гарч, асуудлыг шийдвэрлэхэд тохиромжтой аливаа бүтээгдэхүүнийг анхаарч үзээрэй
  • Хэлэлцээрийн үеэр зөв асуулт асуу
  • Тендерт тавигдах шаардлага (RFP) боловсруулах
  • Төхөөрөмжийн тодорхой загварыг сонговол ямар шинж чанаруудыг золиослох хэрэгтэйг ойлгоорой

Юуг үнэлж болох вэ

Зарчмын хувьд энэ арга нь алсын Ethernet сегментүүдийн хоорондох сүлжээний траффикийг шифрлэхэд тохиромжтой бие даасан төхөөрөмжид хамаарна (сайт хоорондын шифрлэлт). Өөрөөр хэлбэл, нэг буюу хэд хэдэн Ethernet портоор шифрлэгдээгүй траффик бүхий локал (хотхон) Ethernet сүлжээнд холбогдсон "хайрцагнууд" (за, бид явах эд ангид зориулсан ир/модульүүдийг энд бас оруулах болно) аль хэдийн шифрлэгдсэн урсгалыг бусад алслагдсан сегментүүдэд дамжуулдаг суваг/сүлжээний өөр порт(ууд). Ийм шифрлэлтийн шийдлийг хувийн болон операторын сүлжээнд янз бүрийн төрлийн "тээвэр" (харанхуй шилэн, давтамж хуваах төхөөрөмж, шилжүүлсэн Ethernet, түүнчлэн өөр өөр чиглүүлэлтийн архитектур бүхий сүлжээгээр дамжуулан тавьсан "хуурамч сүлжээнүүд", ихэвчлэн MPLS) ашиглан байрлуулж болно. ), VPN технологитой эсвэл үгүй.

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Түгээмэл Ethernet сүлжээнд сүлжээний шифрлэлт

Төхөөрөмжүүд өөрсдөө аль аль нь байж болно мэргэшсэн (зөвхөн шифрлэлтэд зориулагдсан) эсвэл олон үйлдэлт (эрлийз, нэгдэх), өөрөөр хэлбэл бусад функцийг гүйцэтгэдэг (жишээлбэл, галт хана эсвэл чиглүүлэгч). Өөр өөр борлуулагчид төхөөрөмжөө өөр өөр ангилалд ангилдаг боловч энэ нь хамаагүй - цорын ганц чухал зүйл бол тэд сайт хоорондын урсгалыг шифрлэж чадах эсэх, ямар шинж чанартай байх явдал юм.

"Сүлжээний шифрлэлт", "трафикийн шифрлэлт", "шифрлэгч" гэдэг нь албан бус нэр томъёо боловч ихэвчлэн ашиглагддаг гэдгийг би танд сануулж байна. Та тэдгээрийг Оросын дүрэм журмаас (ГОСТ-ыг нэвтрүүлсэн дүрэм журмуудыг оруулаад) олохгүй байх магадлалтай.

Шифрлэлтийн түвшин ба дамжуулах горимууд

Үнэлгээнд ашиглагдах шинж чанаруудыг тайлбарлаж эхлэхээсээ өмнө бид эхлээд нэг чухал зүйлийг, тухайлбал "шифрлэлтийн түвшин"-ийг ойлгох хэрэгтэй. Энэ нь худалдагчийн албан ёсны баримт бичиг (тодорхойлолт, гарын авлага гэх мэт) болон албан бус хэлэлцүүлэгт (хэлэлцээр, сургалтанд) хоёуланд нь ихэвчлэн дурдагддаг болохыг би анзаарсан. Өөрөөр хэлбэл, бидний юу яриад байгааг бүгд сайн мэдэж байгаа мэт боловч би хувьдаа зарим нэг төөрөгдлийн гэрч болсон.

Тэгэхээр "шифрлэлтийн түвшин" гэж юу вэ? Шифрлэлт явагддаг OSI/ISO лавлагааны сүлжээний загварын давхаргын тоог бид ярьж байгаа нь ойлгомжтой. Бид ГОСТ Р ISO 7498-2–99 "Мэдээллийн технологи. Нээлттэй системүүдийн харилцан холболт. Үндсэн лавлах загвар. 2-р хэсэг. Мэдээллийн аюулгүй байдлын архитектур.” Энэхүү баримт бичгээс харахад нууцлалын үйлчилгээний түвшин (шифрлэх механизмын нэг нь) нь протоколын түвшин бөгөөд үйлчилгээний мэдээллийн блок ("ачилгаа", хэрэглэгчийн өгөгдөл) шифрлэгдсэн байдаг. Энэ нь стандартад бичигдсэн тул үйлчилгээг ижил түвшинд, "дангаараа" болон доод түвшний тусламжтайгаар үзүүлэх боломжтой (жишээлбэл, үүнийг MACsec дээр ихэвчлэн хэрэгжүүлдэг). .

Практикт сүлжээгээр шифрлэгдсэн мэдээллийг дамжуулах хоёр горим боломжтой байдаг (IPsec шууд санаанд орж ирдэг, гэхдээ ижил горимууд бусад протоколуудад байдаг). IN тээвэрлэлт (заримдаа эх гэж нэрлэдэг) горим нь зөвхөн шифрлэгдсэн байдаг үйлчилгээ өгөгдлийн блок, толгой хэсэг нь "нээлттэй", шифрлэгдээгүй хэвээр үлддэг (заримдаа шифрлэлтийн алгоритмын үйлчилгээний мэдээлэл бүхий нэмэлт талбаруудыг нэмж, бусад талбаруудыг өөрчилж, дахин тооцоолдог). IN хонгил бүгд ижил горим протокол өгөгдлийн блок (өөрөөр хэлбэл пакет өөрөө) шифрлэгдсэн бөгөөд ижил буюу түүнээс дээш түвшний үйлчилгээний мэдээллийн блокт бүрхэгдсэн, өөрөөр хэлбэл шинэ толгойгоор хүрээлэгдсэн байдаг.

Шифрлэлтийн түвшин өөрөө зарим дамжуулалтын горимтой хослуулан сайн ч биш, муу ч биш тул жишээлбэл тээврийн горим дахь L3 нь туннелийн горимд L2-ээс илүү сайн гэж хэлж болохгүй. Зөвхөн төхөөрөмжүүдийг үнэлэх олон шинж чанарууд нь тэдгээрээс хамаардаг. Жишээлбэл, уян хатан байдал, нийцтэй байдал. Тээврийн горимд L1 (бит урсгалын реле), L2 (фрэйм ​​солих) болон L3 (пакет чиглүүлэлт) сүлжээнд ажиллахын тулд танд ижил буюу түүнээс дээш түвшинд шифрлэх шийдлүүд хэрэгтэй (эсвэл хаягийн мэдээлэл шифрлэгдэж, өгөгдөл зорьсон газартаа хүрэхгүй байх) ба хонгилын горим нь энэ хязгаарлалтыг даван туулдаг (бусад чухал шинж чанаруудыг золиосолж байгаа ч).

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Тээвэрлэлт ба туннелийн L2 шифрлэлтийн горимууд

Одоо шинж чанаруудын дүн шинжилгээ рүү шилжье.

Бүтээмж

Сүлжээний шифрлэлтийн хувьд гүйцэтгэл нь нарийн төвөгтэй, олон хэмжээст ойлголт юм. Тодорхой загвар нь нэг гүйцэтгэлийн шинж чанараараа давуу боловч нөгөөгөөсөө доогуур байдаг. Тиймээс шифрлэлтийн гүйцэтгэлийн бүх бүрэлдэхүүн хэсэг, тэдгээрийн сүлжээ болон түүнийг ашигладаг програмуудын гүйцэтгэлд үзүүлэх нөлөөг авч үзэх нь үргэлж ашигтай байдаг. Энд бид хамгийн дээд хурд төдийгүй "зуут" хүртэл хурдасгах хугацаа, түлшний зарцуулалт гэх мэт чухал ач холбогдолтой машинтай зүйрлэж болно. Борлуулагч компаниуд болон тэдний боломжит үйлчлүүлэгчид гүйцэтгэлийн шинж чанарт ихээхэн анхаарал хандуулдаг. Дүрмээр бол шифрлэлтийн төхөөрөмжүүдийг борлуулагчийн шугамын гүйцэтгэлд үндэслэн эрэмбэлдэг.

Гүйцэтгэл нь төхөөрөмж дээр гүйцэтгэсэн сүлжээний болон криптографийн үйлдлүүдийн нарийн төвөгтэй байдлаас (эдгээр даалгавруудыг хэр зэрэг зэрэгцүүлж, дамжуулах боломжтой), түүнчлэн техник хангамжийн гүйцэтгэл, програм хангамжийн чанараас хамаардаг нь ойлгомжтой. Тиймээс хуучин загварууд нь илүү бүтээмжтэй техник хангамж ашигладаг тул заримдаа нэмэлт процессор, санах ойн модулиудаар тоноглох боломжтой байдаг. Криптографийн функцийг хэрэгжүүлэх хэд хэдэн арга байдаг: ерөнхий зориулалтын төв боловсруулах нэгж (CPU), програмд ​​зориулагдсан нэгдсэн хэлхээ (ASIC) эсвэл талбарт програмчлагдсан логик нэгдсэн хэлхээ (FPGA) дээр. Арга тус бүр өөрийн давуу болон сул талуудтай. Жишээлбэл, процессор нь шифрлэлтийн алгоритмыг дэмжих тусгай зааваргүй (эсвэл тэдгээрийг ашиглаагүй бол) процессор нь шифрлэлтийн түгжрэл болж болзошгүй юм. Мэргэшсэн чипүүд нь уян хатан чанаргүй байдаг тул гүйцэтгэлийг сайжруулах, шинэ функц нэмэх эсвэл эмзэг байдлыг арилгахын тулд тэдгээрийг "дахин сэргээх" боломжгүй байдаг. Нэмж дурдахад тэдгээрийг ашиглах нь зөвхөн их хэмжээний үйлдвэрлэлийн хэмжээгээр ашигтай болно. Тийм ч учраас "алтан дундаж" нь маш их алдартай болсон - FPGA (Орос хэлээр FPGA) ашиглах. FPGA дээр крипто хурдасгуур гэж нэрлэгддэг криптографийн ажиллагааг дэмжих тусгай тоног төхөөрөмжийн модулиуд суурилуулсан эсвэл залгагдсан байдаг.

Бид ярьж байгаа болохоор сүлжээ Шифрлэлтийн хувьд шийдлүүдийн гүйцэтгэлийг бусад сүлжээний төхөөрөмжүүдийнхтэй ижил хэмжээгээр хэмжих нь логик юм - дамжуулах чадвар, фрэймийн алдагдлын хувь, хоцролт. Эдгээр утгыг RFC 1242-д тодорхойлсон байдаг. Дашрамд хэлэхэд, энэ RFC-д ихэвчлэн дурдсан саатлын өөрчлөлтийн (життер) талаар юу ч бичээгүй байна. Эдгээр хэмжээг хэрхэн хэмжих вэ? Сүлжээний шифрлэлтэд тусгайлан зориулсан ямар ч стандартад (RFC гэх мэт албан ёсны эсвэл албан бус) батлагдсан аргачлалыг би олж чадаагүй байна. RFC 2544 стандартад тусгагдсан сүлжээний төхөөрөмжүүдэд зориулсан аргачлалыг ашиглах нь логик юм.Олон үйлдвэрлэгчид үүнийг дагаж мөрддөг - олон, гэхдээ бүгд биш. Жишээлбэл, тэд туршилтын урсгалыг хоёулангийнх нь оронд зөвхөн нэг чиглэлд илгээдэг зөвлөж байна Стандарт. Ямар ч байсан.

Сүлжээний шифрлэлтийн төхөөрөмжүүдийн гүйцэтгэлийг хэмжих нь өөрийн гэсэн шинж чанартай хэвээр байна. Нэгдүгээрт, хос төхөөрөмжүүдийн хувьд бүх хэмжилтийг хийх нь зөв юм: шифрлэлтийн алгоритмууд нь тэгш хэмтэй боловч шифрлэлт, шифрийг тайлах явцад саатал, багцын алдагдал тэнцүү байх албагүй. Хоёрдугаарт, дельта, сүлжээний шифрлэлтийн эцсийн сүлжээний гүйцэтгэлд үзүүлэх нөлөөг хэмжиж, шифрлэлтийн төхөөрөмжгүй ба тэдгээртэй гэсэн хоёр тохиргоог харьцуулах нь утга учиртай. Эсвэл сүлжээний шифрлэлтээс гадна хэд хэдэн функцийг хослуулсан эрлийз төхөөрөмжүүдийн нэгэн адил шифрлэлтийг унтрааж асаадаг. Энэ нөлөөлөл нь өөр байж болох бөгөөд шифрлэлтийн төхөөрөмжүүдийн холболтын схем, үйлдлийн горим, эцэст нь хөдөлгөөний шинж чанараас хамаарна. Ялангуяа гүйцэтгэлийн олон параметрүүд нь пакетуудын уртаас хамаардаг тул янз бүрийн шийдлүүдийн гүйцэтгэлийг харьцуулахын тулд багцын уртаас хамааран эдгээр параметрүүдийн графикийг ихэвчлэн ашигладаг, эсвэл IMIX ашигладаг - траффикийг пакетаар хуваарилдаг. урт, энэ нь ойролцоогоор бодит байдлыг илэрхийлдэг. Хэрэв бид ижил үндсэн тохиргоог шифрлэлтгүйгээр харьцуулах юм бол бид сүлжээний шифрлэлтийн шийдлүүдийг эдгээр ялгааг оруулалгүйгээр харьцуулж болно: L2-тэй L3, хадгалах-ба-forward ) -тай зүсэлттэй, конвергенттэй мэргэшсэн, ГОСТ-тай AES гэх мэт.

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Гүйцэтгэлийн туршилтын холболтын диаграм

Хүмүүсийн анхаарах хамгийн эхний шинж чанар бол шифрлэлтийн төхөөрөмжийн "хурд" юм зурвасын өргөн (зурвасын өргөн) түүний сүлжээний интерфэйсүүд, битийн урсгалын хурд. Энэ нь интерфейсээр дэмжигддэг сүлжээний стандартаар тодорхойлогддог. Ethernet-ийн хувьд ердийн тоо нь 1 Gbps ба 10 Gbps байна. Гэхдээ бидний мэдэж байгаагаар аливаа сүлжээнд хамгийн их онол байдаг нэвтрүүлэх чадвар (дамжуулах чадвар) түүний түвшин бүрт үргэлж бага зурвасын өргөн байдаг: зурвасын өргөний нэг хэсэг нь фрэйм ​​хоорондын интервал, үйлчилгээний толгой гэх мэтээр "иддэг". Хэрэв төхөөрөмж нь сүлжээний интерфэйсийн бүрэн хурдаар, өөрөөр хэлбэл сүлжээний загварын энэ түвшний онолын хамгийн дээд хүчин чадалтай траффикийг хүлээн авах, боловсруулах (манай тохиолдолд шифрлэх эсвэл тайлах) болон дамжуулах чадвартай бол үүнийг хэлнэ. ажиллаж байх шугамын хурдаар. Үүнийг хийхийн тулд төхөөрөмж ямар ч хэмжээтэй, ямар ч давтамжтай пакетуудыг алдахгүй, хаяхгүй байх шаардлагатай. Хэрэв шифрлэлтийн төхөөрөмж нь шугамын хурдтай ажиллахыг дэмждэггүй бол түүний хамгийн их дамжуулах чадварыг ихэвчлэн секундэд ижил гигабитаар тодорхойлдог (заримдаа пакетуудын уртыг заадаг - пакетууд богино байх тусам дамжуулах чадвар нь ихэвчлэн бага байдаг). Хамгийн их дамжуулах чадвар нь хамгийн их гэдгийг ойлгох нь маш чухал юм алдагдалгүй (төхөөрөмж нь траффикийг илүү өндөр хурдтайгаар "шахах" боломжтой ч гэсэн зарим пакетуудыг алддаг). Түүнчлэн, зарим үйлдвэрлэгчид бүх хос портын хоорондох нийт дамжуулах чадварыг хэмждэг тул бүх шифрлэгдсэн траффик нэг портоор дамждаг бол эдгээр тоо нь тийм ч чухал биш гэдгийг анхаарна уу.

Шугамын хурдаар (эсвэл өөрөөр хэлбэл пакет алдагдуулахгүйгээр) ажиллах нь хаана чухал вэ? Өндөр дамжуулах хурдыг хадгалахын тулд том TCP цонхны хэмжээг тохируулах шаардлагатай бөгөөд багцын алдагдал нь сүлжээний гүйцэтгэлийг эрс бууруулдаг өндөр зурвасын өргөнтэй, өндөр хоцрогдолтой холбоосуудад (хиймэл дагуул гэх мэт).

Гэхдээ бүх зурвасын өргөнийг ашигтай өгөгдөл дамжуулахад ашигладаггүй. Гэж байгаа зүйлтэй бид тооцох ёстой нэмэлт зардал (дээд талын) зурвасын өргөн. Энэ нь шифрлэлтийн төхөөрөмжийн дамжуулах чадварын (багтакт ногдох хувь эсвэл байт) бодит үрэгдэж буй хэсэг (програмын өгөгдлийг дамжуулахад ашиглах боломжгүй) юм. Нэмэлт зардал нь нэгдүгээрт, шифрлэгдсэн сүлжээний багц дахь өгөгдлийн талбарын хэмжээ (нэмэлт, "бөглөх") нэмэгдсэнтэй холбоотой (шифрлэлтийн алгоритм ба түүний ажиллах горимоос хамаарч) үүсдэг. Хоёрдугаарт, багцын толгойн уртын өсөлтөөс шалтгаалж (туннелийн горим, шифрлэлтийн протоколын үйлчилгээ оруулах, симуляц оруулах гэх мэт. протокол, үйлдлийн горим, шифр болон дамжуулах горимоос хамааран) - ихэвчлэн эдгээр нэмэлт зардал нь хамгийн чухал бөгөөд тэд эхлээд анхаарлаа хандуулдаг. Гуравдугаарт, өгөгдлийн нэгжийн дээд хэмжээ (MTU) хэтэрсэн үед пакетуудын хуваагдалтай холбоотой (хэрэв сүлжээ нь MTU-ээс хэтэрсэн пакетийг хоёр хэсэгт хувааж, толгой хэсгийг нь хуваах боломжтой бол). Дөрөвдүгээрт, шифрлэлтийн төхөөрөмжүүдийн хооронд сүлжээнд нэмэлт үйлчилгээний (хяналтын) урсгал гарч ирснээр (түлхүүр солилцох, хонгил суурилуулах гэх мэт). Сувгийн багтаамж хязгаарлагдмал үед бага зардал чухал байдаг. Энэ нь ялангуяа жижиг пакетуудын урсгалд, жишээлбэл, дуу хоолойд илт харагдаж байна - нэмэлт зардал нь сувгийн хурдны талаас илүү хувийг "иддэг"!

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Зурвасын өргөн

Эцэст нь хэлэхэд илүү олон зүйл бий саатал нэвтрүүлсэн – сүлжээний хоцрогдлын зөрүү (сүлжээнд нэвтрэхээс гарах хүртэл өгөгдөл дамжуулах хугацаа) сүлжээний шифрлэлтгүйгээр болон шифрлэлтгүйгээр өгөгдөл дамжуулах хоорондын зөрүү. Ерөнхийдөө сүлжээний хоцрогдол (“хоцролт”) бага байх тусам шифрлэлтийн төхөөрөмжүүдийн нэвтрүүлсэн хоцрогдол нь илүү чухал болдог. Саатал нь шифрлэлтийн үйл ажиллагаанаас (шифрлэлтийн алгоритм, блокийн урт, шифрийн ажиллах горим, түүнчлэн програм хангамжид хэрэгжүүлэх чанараас хамаарч), төхөөрөмж дэх сүлжээний багцын боловсруулалтаас шалтгаална. . Оруулсан хоцролт нь пакет боловсруулах горим (дамжуулах эсвэл хадгалах, цааш дамжуулах) болон платформын гүйцэтгэлээс (FPGA эсвэл ASIC дээрх техник хангамжийн хэрэгжилт нь CPU дээрх програм хангамжийн хэрэгжилтээс ерөнхийдөө илүү хурдан байдаг) хоёуланд нь хамаарна. L2/L3 шифрлэлтийн төхөөрөмжүүд ихэвчлэн нийлдэг тул L4 шифрлэлт нь L3 эсвэл L4 шифрлэлтээс бараг үргэлж бага хоцрогдолтой байдаг. Жишээлбэл, өндөр хурдны Ethernet шифрлэгчийг FPGA дээр хэрэгжүүлж, L2 дээр шифрлэхэд шифрлэлтийн үйлдлээс үүдэлтэй саатал маш бага байдаг - заримдаа хос төхөөрөмж дээр шифрлэлтийг идэвхжүүлсэн үед тэдний оруулсан нийт саатал бүр буурдаг! Сувгийн нийт саатал, тэр дундаа нэг километрт ойролцоогоор 5 мкс байдаг тархалтын сааталтай харьцуулах боломжтой тохиолдолд бага хоцрогдол чухал байдаг. Өөрөөр хэлбэл, хотын хэмжээний сүлжээний хувьд (хэдэн арван километрийн өргөнтэй) микросекунд нь маш их зүйлийг шийдэж чадна гэж хэлж болно. Жишээлбэл, синхрон мэдээллийн сангийн хуулбар, өндөр давтамжийн арилжаа, ижил блокчейн.

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Оруулсан саатал

Өргөтгөх чадвар

Томоохон тархсан сүлжээ нь олон мянган зангилаа, сүлжээний төхөөрөмж, хэдэн зуун дотоод сүлжээний сегментийг багтааж болно. Шифрлэлтийн шийдлүүд нь тархсан сүлжээний хэмжээ, топологид нэмэлт хязгаарлалт тавихгүй байх нь чухал юм. Энэ нь үндсэндээ хамгийн их хост болон сүлжээний хаягуудад хамаарна. Жишээлбэл, олон цэгийн шифрлэгдсэн сүлжээний топологи (бие даасан аюулгүй холболт эсвэл хонгилтой) эсвэл сонгомол шифрлэлт (жишээлбэл, протоколын дугаар эсвэл VLAN) хэрэгжүүлэх үед ийм хязгаарлалт тулгарч болно. Хэрэв энэ тохиолдолд сүлжээний хаягуудыг (MAC, IP, VLAN ID) мөрийн тоог хязгаарласан хүснэгтэд түлхүүр болгон ашигладаг бол эдгээр хязгаарлалтууд энд гарч ирнэ.

Нэмж дурдахад томоохон сүлжээнүүд нь үндсэн сүлжээ зэрэг хэд хэдэн бүтцийн давхаргатай байдаг бөгөөд тэдгээр нь тус бүр өөрийн хаягийн схем, өөрийн чиглүүлэлтийн бодлогыг хэрэгжүүлдэг. Энэ хандлагыг хэрэгжүүлэхийн тулд тусгай хүрээний формат (Q-in-Q эсвэл MAC-in-MAC гэх мэт) болон маршрут тодорхойлох протоколуудыг ихэвчлэн ашигладаг. Ийм сүлжээг бий болгоход саад учруулахгүйн тулд шифрлэлтийн төхөөрөмжүүд нь ийм хүрээг зөв зохицуулах ёстой (өөрөөр хэлбэл, өргөтгөх чадвар нь нийцтэй байх болно - доороос дэлгэрэнгүй).

Уян хатан байдал

Энд бид янз бүрийн тохиргоо, холболтын схем, топологи болон бусад зүйлийг дэмжих тухай ярьж байна. Жишээлбэл, Carrier Ethernet технологид суурилсан шилжүүлсэн сүлжээнүүдийн хувьд энэ нь янз бүрийн төрлийн виртуал холболтууд (E-Line, E-LAN, E-Tree), өөр төрлийн үйлчилгээ (порт болон VLAN-аар) болон өөр өөр тээврийн технологийг дэмжих гэсэн үг юм. (тэдгээрийг аль хэдийн дээр дурдсан). Өөрөөр хэлбэл, төхөөрөмж нь шугаман ("цэгээс цэг рүү") болон олон цэгийн горимд хоёуланд нь ажиллах чадвартай байх ёстой, өөр өөр VLAN-д зориулж тусдаа хонгил байгуулж, аюулгүй суваг дотор пакетуудыг захиалгаас гадуур хүргэх боломжтой байх ёстой. Шифрийн янз бүрийн горимуудыг (агуулгын баталгаажуулалттай эсвэл баталгаажуулаагүй) болон өөр өөр пакет дамжуулах горимуудыг сонгох чадвар нь одоогийн нөхцөл байдлаас шалтгаалан хүч чадал, гүйцэтгэлийн тэнцвэрийг бий болгох боломжийг олгодог.

Тоног төхөөрөмжийг нэг байгууллагын эзэмшдэг (эсвэл түрээсэлсэн) хувийн сүлжээ, өөр өөр сегментийг өөр өөр компаниуд удирддаг операторын сүлжээг хоёуланг нь дэмжих нь чухал юм. Энэхүү шийдэл нь дотооддоо болон гуравдагч этгээдээр (удирдлагатай үйлчилгээний загварыг ашиглан) удирдах боломжийг олгодог бол сайн хэрэг. Операторын сүлжээн дэх өөр нэг чухал үүрэг бол трафик нь ижил шифрлэлтийн төхөөрөмжөөр дамждаг бие даасан үйлчлүүлэгчдийг (захиалагч) криптографийн тусгаарлах хэлбэрээр олон түрээслэх (өөр өөр үйлчлүүлэгчид хуваалцах) дэмжлэг юм. Энэ нь ихэвчлэн үйлчлүүлэгч бүрийн хувьд тусдаа багц түлхүүр, гэрчилгээ ашиглахыг шаарддаг.

Хэрэв төхөөрөмжийг тодорхой хувилбарт зориулж худалдаж авсан бол эдгээр бүх функцууд тийм ч чухал биш байж магадгүй - та төхөөрөмж нь одоо хэрэгтэй зүйлээ дэмжиж байгаа эсэхийг шалгах хэрэгтэй. Гэхдээ хэрэв шийдлийг ирээдүйн хувилбаруудыг дэмжихийн тулд "өсөлтөд зориулж" худалдаж аваад "корпорацийн стандарт" болгон сонгосон бол уян хатан байдал нь хэт их байх болно, ялангуяа өөр өөр үйлдвэрлэгчдийн төхөөрөмжүүдийн харилцан ажиллах хязгаарлалтыг харгалзан үзэх ( Энэ талаар доор дэлгэрэнгүй).

Энгийн бөгөөд тохь тухтай байдал

Үйлчилгээний хялбар байдал нь мөн олон талт ойлголт юм. Ойролцоогоор энэ нь амьдралын мөчлөгийн янз бүрийн үе шатанд шийдлийг дэмжихэд шаардагдах тодорхой мэргэшсэн мэргэжилтнүүдийн зарцуулсан нийт хугацаа гэж бид хэлж чадна. Хэрэв ямар ч зардал байхгүй, суурилуулалт, тохируулга, ажиллагаа нь бүрэн автомат бол зардал нь тэг бөгөөд тав тухтай байдал нь үнэмлэхүй юм. Мэдээжийн хэрэг, энэ нь бодит ертөнцөд тохиолддоггүй. Боломжит ойролцоо нь загвар юм "утас дээрх зангилаа" Шифрлэлтийн төхөөрөмжийг нэмж, идэвхгүй болгоход сүлжээний тохиргоонд ямар нэгэн гараар эсвэл автомат өөрчлөлт оруулах шаардлагагүй (утастай овойлт) эсвэл ил тод холболт. Үүний зэрэгцээ шийдлийг засварлах нь хялбаршуулсан: та шифрлэлтийн функцийг аюулгүй асаах/унтраах боломжтой бөгөөд шаардлагатай бол төхөөрөмжийг сүлжээний кабелиар (өөрөөр хэлбэл сүлжээний төхөөрөмжийн портуудыг шууд холбоно уу) зүгээр л "тойрч" болно. холбогдсон байсан). Үнэн, нэг сул тал бий - халдагч ч мөн адил зүйлийг хийж чадна. "Утас дээрх зангилаа" зарчмыг хэрэгжүүлэхийн тулд зөвхөн замын хөдөлгөөнийг харгалзан үзэх шаардлагатай өгөгдлийн давхаргаГэхдээ хяналт ба удирдлагын давхарга - төхөөрөмжүүд нь тэдэнд ил тод байх ёстой. Тиймээс, шифрлэлтийн төхөөрөмжүүдийн хооронд сүлжээнд ийм төрлийн траффик хүлээн авагч байхгүй үед л ийм траффикийг шифрлэх боломжтой, учир нь үүнийг хаясан эсвэл шифрлэсэн бол шифрлэлтийг идэвхжүүлэх эсвэл идэвхгүй болгох үед сүлжээний тохиргоо өөрчлөгдөж болно. Шифрлэлтийн төхөөрөмж нь физик түвшний дохиололд ил тод байж болно. Ялангуяа дохио алдагдах үед энэ алдагдлыг дохионы чиглэлд нааш цааш дамжуулах ёстой (өөрөөр хэлбэл дамжуулагчаа унтраа).

Мэдээллийн аюулгүй байдал, мэдээллийн технологийн хэлтэс, ялангуяа сүлжээний хэлтэс хоорондын эрх мэдлийн хуваарилалтад дэмжлэг үзүүлэх нь бас чухал юм. Шифрлэлтийн шийдэл нь байгууллагын хандалтын хяналт, аудитын загварыг дэмжих ёстой. Ердийн үйл ажиллагааг гүйцэтгэхийн тулд янз бүрийн хэлтэс хоорондын харилцан үйлчлэлийн хэрэгцээг багасгах хэрэгтэй. Тиймээс зөвхөн шифрлэлтийн функцийг дэмждэг, сүлжээний үйл ажиллагаанд аль болох ил тод байдаг тусгай төхөөрөмжүүдийн тав тухтай байдлын хувьд давуу талтай. Энгийнээр хэлбэл, мэдээллийн аюулгүй байдлын ажилтнууд сүлжээний тохиргоог өөрчлөхийн тулд "сүлжээний мэргэжилтнүүд" -тэй холбоо барих шалтгаан байх ёсгүй. Мөн тэдгээр нь эргээд сүлжээгээ хадгалахдаа шифрлэлтийн тохиргоог өөрчлөх шаардлагагүй байх ёстой.

Өөр нэг хүчин зүйл бол удирдлагын чадвар, тав тухтай байдал юм. Эдгээр нь харааны, логик байх ёстой, тохиргоог импортлох, экспортлох, автоматжуулалт гэх мэт. Удирдлагын ямар сонголтууд байгаа (ихэвчлэн өөрийн удирдлагын орчин, вэб интерфэйс, тушаалын мөр) болон тус бүр нь ямар багц функцтэй байдаг (хязгаарлалтууд байдаг) зэргийг нэн даруй анхаарах хэрэгтэй. Чухал үүрэг бол дэмжлэг юм хамтлагаас гадуур (хамтаас гадуур) хяналт, өөрөөр хэлбэл, тусгай хяналтын сүлжээгээр дамжуулан болон хамтлаг доторх (хамтдаа) хяналт, өөрөөр хэлбэл ашигтай урсгалыг дамжуулдаг нийтлэг сүлжээгээр дамжуулан. Удирдлагын хэрэгслүүд нь бүх хэвийн бус нөхцөл байдал, түүний дотор мэдээллийн аюулгүй байдлын зөрчлийг дохио өгөх ёстой. Тогтмол, давтагдах үйлдлүүд автоматаар хийгдэх ёстой. Энэ нь үндсэн удирдлагатай холбоотой. Тэдгээрийг автоматаар үүсгэх/тараах ёстой. PKI дэмжлэг бол том давуу тал юм.

нийцтэй

Энэ нь төхөөрөмжийн сүлжээний стандарттай нийцтэй байх явдал юм. Түүнээс гадна энэ нь IEEE зэрэг эрх бүхий байгууллагуудын баталсан үйлдвэрлэлийн стандарт төдийгүй Cisco зэрэг салбарын тэргүүлэгчдийн өмчийн протокол гэсэн үг юм. Тохиромжтой байдлыг хангах хоёр үндсэн арга байдаг: эсвэл дамжуулан ил тод байдал, эсвэл дамжуулан тодорхой дэмжлэг протоколууд (шифрлэлтийн төхөөрөмж нь тодорхой протоколын сүлжээний зангилааны нэг болж, энэ протоколын хяналтын урсгалыг боловсруулах үед). Сүлжээтэй нийцтэй байх нь хяналтын протоколыг бүрэн гүйцэд, зөв ​​хэрэгжүүлэхээс хамаарна. PHY түвшний янз бүрийн хувилбаруудыг (хурд, дамжуулах орчин, кодчилолын схем), дурын MTU-тай өөр өөр форматтай Ethernet фреймүүд, өөр L3 үйлчилгээний протоколуудыг (ялангуяа TCP/IP гэр бүл) дэмжих нь чухал юм.

Ил тод байдал нь мутацийн механизмууд (шифрлэгчид хоорондын урсгал дахь нээлттэй толгойн агуулгыг түр хугацаагаар өөрчлөх), алгасах (бие даасан пакетууд шифрлэгдээгүй хэвээр байх үед) болон шифрлэлтийн эхлэлийн догол (пакетуудын ердийн шифрлэгдсэн талбаруудыг шифрлээгүй үед) механизмаар хангадаг.

Ethernet шифрлэлтийн төхөөрөмжийг хэрхэн үнэлэх, харьцуулах вэ?
Ил тод байдал хэрхэн хангагдаж байна

Тиймээс тодорхой протоколд хэрхэн дэмжлэг үзүүлж байгааг үргэлж шалгаарай. Ихэнхдээ ил тод горимд дэмжлэг үзүүлэх нь илүү тохиромжтой, найдвартай байдаг.

Харилцан ажиллах чадвар

Энэ нь бас нийцтэй байдал боловч өөр утгаараа, тухайлбал, бусад үйлдвэрлэгчдийн шифрлэлтийн төхөөрөмжүүдийн бусад загваруудтай хамтран ажиллах чадвар юм. Шифрлэлтийн протоколуудын стандартчиллын төлөв байдлаас ихээхэн хамаардаг. L1 дээр нийтээр хүлээн зөвшөөрөгдсөн шифрлэлтийн стандарт байдаггүй.

Ethernet сүлжээнд L2 шифрлэлтийн 802.1ae (MACsec) стандарт байдаг боловч үүнийг ашигладаггүй. эцсийн төгсгөл (төгсгөл хүртэл), ба интерпорт, "hop-by-hop" шифрлэлт нь тархсан сүлжээнд ашиглахад тохиромжгүй тул түүний өмчлөлийн өргөтгөлүүд гарч ирсэн бөгөөд энэ хязгаарлалтыг даван туулсан (мэдээжийн хэрэг, бусад үйлдвэрлэгчдийн тоног төхөөрөмжтэй хамтран ажиллах чадвараас шалтгаалан). Үнэн бол 2018 онд 802.1ae стандартад тархсан сүлжээний дэмжлэг нэмэгдсэн боловч ГОСТ шифрлэлтийн алгоритмын багцыг дэмжихгүй хэвээр байна. Тиймээс өмчийн, стандарт бус L2 шифрлэлтийн протоколууд нь дүрмээр бол илүү үр ашигтай (ялангуяа бага зурвасын өргөн) болон уян хатан чанараараа (шифрлэлтийн алгоритм, горимыг өөрчлөх чадвар) ялгагдана.

Дээд түвшинд (L3 ба L4) хүлээн зөвшөөрөгдсөн стандартууд, ялангуяа IPsec болон TLS байдаг боловч энд бас тийм ч хялбар биш юм. Үнэн хэрэгтээ эдгээр стандарт бүр нь өөр өөр хувилбар, өргөтгөлтэй, хэрэгжүүлэхэд шаардлагатай эсвэл сонголттой протоколуудын багц юм. Нэмж дурдахад зарим үйлдвэрлэгчид L3/L4 дээр өөрсдийн өмчлөлийн шифрлэлтийн протоколуудыг ашиглахыг илүүд үздэг. Тиймээс ихэнх тохиолдолд та бүрэн харилцан ажиллах чадварт найдаж болохгүй, гэхдээ өөр өөр загварууд болон ижил үйлдвэрлэгчийн өөр өөр үеийнхний хоорондын харилцан үйлчлэлийг хангах нь чухал юм.

Найдвартай байдал

Өөр өөр шийдлүүдийг харьцуулахын тулд та бүтэлгүйтлийн хоорондох дундаж хугацаа эсвэл бэлэн байдлын хүчин зүйлийг ашиглаж болно. Хэрэв эдгээр тоо байхгүй бол (эсвэл тэдэнд итгэх итгэл байхгүй бол) чанарын харьцуулалт хийж болно. Тохиромжтой удирдлагатай төхөөрөмжүүд нь давуу талтай (тохиргооны алдаа гарах эрсдэл багатай), тусгай шифрлэгчид (ижил шалтгаанаар), түүнчлэн бүтэлгүйтлийг илрүүлэх, арилгахад хамгийн бага хугацаа шаардагддаг шийдлүүд, түүний дотор бүхэл бүтэн зангилаа ба "халуун" нөөцлөлтийг багтаасан болно. төхөөрөмжүүд.

зардал

Ихэнх мэдээллийн технологийн шийдлүүдийн нэгэн адил зардлын тухайд өмчлөлийн нийт зардлыг харьцуулах нь зүйтэй юм. Үүнийг тооцоолохын тулд та дугуйг дахин зохион бүтээх шаардлагагүй, гэхдээ тохирох аргачлал (жишээлбэл, Gartner-аас) болон дурын тооны машин (жишээлбэл, TCO-г тооцоолоход аль хэдийн байгууллагад ашиглагдаж байсан) ашиглана уу. Сүлжээний шифрлэлтийн шийдлийн хувьд өмчлөлийн нийт өртөг нь үүнээс бүрдэх нь ойлгомжтой шууд шийдлийг өөрөө худалдаж авах эсвэл түрээслэх зардал, тоног төхөөрөмжийг байршуулах дэд бүтэц, байршуулах, удирдах, засвар үйлчилгээ хийх зардал (дотоод эсвэл гуравдагч талын үйлчилгээ хэлбэрээр), түүнчлэн шууд бус шийдлийн зогсолтоос үүсэх зардал (эцсийн хэрэглэгчийн бүтээмж алдагдсанаас үүдэлтэй). Ганцхан нарийн зүйл байгаа байх. Шийдлийн гүйцэтгэлийн нөлөөллийг янз бүрийн аргаар авч үзэж болно: бүтээмж алдагдсанаас үүдэлтэй шууд бус зардал, эсвэл сүлжээний ашиглалтын алдагдлыг нөхөх сүлжээний хэрэгслийг худалдан авах/сайжруулах, засвар үйлчилгээ хийх "виртуал" шууд зардал гэж үзэж болно. шифрлэлт. Ямар ч тохиолдолд хангалттай нарийвчлалтайгаар тооцоолоход хэцүү зардлыг тооцоололд оруулахгүй байх нь дээр: ингэснээр эцсийн үнэд итгэх итгэл нэмэгдэх болно. Ердийнх шиг, ямар ч тохиолдолд өөр өөр төхөөрөмжүүдийг бодит эсвэл ердийн хэрэглээний тодорхой хувилбараар харьцуулах нь утга учиртай юм.

Тогтвортой байдал

Мөн сүүлчийн шинж чанар нь шийдлийн тууштай байдал юм. Ихэнх тохиолдолд бат бөх чанарыг зөвхөн өөр өөр шийдлүүдийг харьцуулах замаар чанарын хувьд үнэлж болно. Шифрлэлтийн төхөөрөмжүүд нь зөвхөн хэрэгсэл төдийгүй хамгаалалтын объект гэдгийг бид санах ёстой. Тэд янз бүрийн аюул заналхийлэлд өртөж болзошгүй. Мэдээллийн нууцлалыг зөрчих, хуулбарлах, өөрчлөх зэрэг заналхийлэл нэгдүгээрт байна. Эдгээр аюул заналхийллийг шифр эсвэл түүний бие даасан горимуудын эмзэг байдал, шифрлэлтийн протоколуудын эмзэг байдлаас (холболт үүсгэх, түлхүүр үүсгэх / түгээх үе шатуудыг оруулаад) хэрэгжүүлэх боломжтой. Давуу тал нь шифрлэлтийн алгоритмыг өөрчлөх эсвэл шифрлэх горимыг солих (ядаж програм хангамжийн шинэчлэлтээр дамжуулан), хамгийн бүрэн шифрлэлтийг хангадаг шийдлүүд, халдагчаас зөвхөн хэрэглэгчийн мэдээлэл төдийгүй хаяг болон бусад үйлчилгээний мэдээллийг нуух болно. , түүнчлэн зөвхөн шифрлэхээс гадна мессежийг хуулбарлах, өөрчлөхөөс хамгаалах техникийн шийдлүүд. Стандартад тусгагдсан орчин үеийн бүх шифрлэлтийн алгоритмууд, цахим гарын үсэг, түлхүүр үүсгэх гэх мэт хүч чадлыг ижил гэж үзэж болно (эсвэл та криптографийн зэрлэг орчинд төөрч болно). Эдгээр нь ГОСТ алгоритмууд байх ёстой юу? Энд бүх зүйл энгийн: хэрэв програмын хувилбар нь CIPF-ийн FSB гэрчилгээг шаарддаг бол (мөн Орос улсад энэ нь ихэвчлэн тохиолддог; ихэнх сүлжээний шифрлэлтийн хувилбаруудын хувьд энэ нь үнэн байдаг), бид зөвхөн баталгаажсан хувилбаруудыг сонгоно. Хэрэв тийм биш бол гэрчилгээгүй төхөөрөмжийг авч үзэхээс хасах нь утгагүй юм.

Өөр нэг аюул бол хакердах, төхөөрөмжид зөвшөөрөлгүй нэвтрэх (хэрэгслийн гадна болон доторх физик хандалт гэх мэт) аюул юм. Аюул заналхийллийг дамжуулан хийж болно
хэрэгжилтийн сул талууд - техник хангамж болон кодонд. Тиймээс сүлжээгээр дамжуулан хамгийн бага "халдлагад өртөх гадаргуу" бүхий, биет хандалтаас хамгаалагдсан бүрхүүлтэй (хавсарлага мэдрэгчтэй, шалгах хамгаалалттай, хаалтыг нээх үед гол мэдээллийг автоматаар дахин тохируулах боломжтой), мөн програм хангамжийг шинэчлэх боломжийг олгодог шийдлүүд байх болно. кодын эмзэг байдал илэрсэн тохиолдолд давуу тал болно. Өөр нэг арга бий: хэрэв харьцуулж буй бүх төхөөрөмжүүд нь FSB гэрчилгээтэй бол гэрчилгээ олгосон CIPF ангиллыг хакердах эсэргүүцлийн үзүүлэлт гэж үзэж болно.

Эцэст нь хэлэхэд, аюул заналхийллийн өөр нэг төрөл бол хамгийн цэвэр хэлбэрээр хүний ​​хүчин зүйл болох тохиргоо, ашиглалтын явцад гарсан алдаа юм. Энэ нь ихэвчлэн туршлагатай "сүлжээний мэргэжилтнүүд"-д чиглэгддэг, мэдээллийн аюулгүй байдлын ерөнхий мэргэжилтнүүдэд хүндрэл учруулдаг нэгдмэл шийдлүүдээс илүү мэргэшсэн шифрлэгчийн бас нэг давуу талыг харуулж байна.

Дүгнэлт

Зарчмын хувьд энд янз бүрийн төхөөрөмжийг харьцуулах нэг төрлийн интеграл үзүүлэлтийг санал болгож болно.

$$дэлгэц$$K_j=∑p_i r_{ij}$$дэлгэц$$

Энд p нь индикаторын жин, r нь энэ үзүүлэлтийн дагуу төхөөрөмжийн зэрэглэл бөгөөд дээр дурдсан шинж чанаруудын аль нэгийг "атомын" үзүүлэлтүүдэд хувааж болно. Ийм томъёолол нь жишээлбэл, урьдчилан тохиролцсон дүрмийн дагуу тендерийн саналыг харьцуулах үед ашигтай байж болно. Гэхдээ та ийм энгийн ширээтэй байж болно

Характеристика
Төхөөрөмж 1
Төхөөрөмж 2
...
N төхөөрөмж

Зурвасын өргөн
+
+

+++

Нэмэлт зардал
+
++

+++

Хойшлуулах
+
+

++

Өргөтгөх чадвар
+++
+

+++

Уян хатан байдал
+++
++

+

Харилцан ажиллах чадвар
++
+

+

нийцтэй
++
++

+++

Энгийн бөгөөд тохь тухтай байдал
+
+

++

алдааг тэсвэрлэх чадвар
+++
+++

++

зардал
++
+++

+

Тогтвортой байдал
++
++

+++

Би асуулт, бүтээлч шүүмжлэлд хариулахдаа баяртай байх болно.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх