ProHoster > Блог > Maamulka > Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices

Waxaan qoray dib u eegistan (ama, haddii aad doorbidayso, hagaha isbarbardhigga) markii la ii xilsaaray inaan is barbar dhigo dhowr qalab oo iibiyayaal kala duwan. Intaa waxaa dheer, qalabkani waxay ka tirsanaayeen fasallo kala duwan. Waxaan ku qasbanahay in aan fahmo qaab-dhismeedka iyo sifooyinka qalabkan oo dhan oo aan abuuro "nidaam isku-dubbarid" isbarbardhigga. Waan ku farxi doonaa haddii dib u eegistaydu ay caawiso qof:

  • Faham sharraxaadda iyo qeexidda aaladaha sirta
  • Kala sooc astaamaha "warqad" kuwa muhiimka u ah nolosha dhabta ah
  • Ka gudub qaabka caadiga ah ee iibiyeyaasha oo ku dar tixgalinta alaab kasta oo ku habboon xallinta dhibaatada
  • Weydii su'aalaha saxda ah inta lagu jiro gorgortanka
  • Samee shuruudaha tartanka (RFP)
  • Faham sifooyinka ay tahay in la huro haddii qalab gaar ah la doorto

Maxaa lagu qiimeyn karaa

Mabda 'ahaan, habku waa mid lagu dabaqi karo qalab kasta oo gooni-gooni ah oo ku habboon in la sireeyo taraafikada shabakadda ee u dhexeysa qaybaha fog fog ee Ethernet (sireeynta goobta-goobta). Taasi waa, “sanduuqyada” kiis gaar ah (hagaag, waxaan sidoo kale ku dari doonaa baalal / modules chassis halkan), kuwaas oo ku xiran hal ama in ka badan oo ah dekedaha Ethernet shabakad maxalli ah (campus) Ethernet oo leh taraafikada aan qarsoodi ahayn, iyo iyada oo loo marayo deked kale oo loo maro kanaalka/shabadhka kaas oo taraafikada mar hore si qarsoodi ah loo kala qaadaa qaybo kale oo fog. Xalka sirta ah ee noocan oo kale ah waxaa la geyn karaa shabakad gaar ah ama hawlwadeen iyada oo loo marayo noocyo kala duwan oo "gaadiidka" ah (fiber madow, qalabka kala qaybinta soo noqnoqda, Ethernet beddelo, iyo sidoo kale "pseudowires" oo la dhex dhigo shabakad leh qaab dhismeedka kala duwan, inta badan MPLS ), oo leh ama aan lahayn tignoolajiyada VPN.

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Sirta shabakada ee shabakad Ethernet la qaybiyey

Qalabka laftoodu waxay noqon karaan midkood takhasusay (oo loogu talagalay si gaar ah sir), ama hawlo badan (isku-dhafan, isku dhafan), taas oo ah, sidoo kale qabashada hawlo kale (tusaale, firewall ama router). Iibiyeyaal kala duwan ayaa u kala saara qalabkooda fasallo/qaybo kala duwan, laakiin tani macno ma leh - waxa kaliya ee muhiimka ah waa haddii ay sir karaan taraafikada goobta, iyo sifooyinka ay leeyihiin.

Haddii ay dhacdo, waxaan ku xasuusinayaa in "incryption network", "encryption traffic", "encryptor" ay yihiin ereyo aan rasmi ahayn, in kasta oo inta badan la isticmaalo. Waxay u badan tahay inaadan ka heli doonin sharciyada Ruushka (oo ay ku jiraan kuwa soo bandhigaya GOSTs).

Heerarka sirta ah iyo hababka gudbinta

Kahor intaanan bilaabin inaan sharaxno sifooyinka laftooda loo isticmaali doono qiimeynta, waxaan marka hore ogaan doonaa hal shay oo muhiim ah, oo ah "heerka sirta." Waxaan ogaaday in inta badan lagu xuso dukumentiyada rasmiga ah ee iibiyaha (sharaxaadaha, buug-gacmeedyada, iwm.) iyo doodaha aan rasmiga ahayn (gorgortanka, tababarka). Taasi waa, qof kastaa wuxuu u muuqdaa inuu si fiican u yaqaan waxa aan ka hadlayno, laakiin anigu shakhsi ahaan waxaan goob joog u ahaa jahwareer.

Haddaba waa maxay heerka sirta ah? Way caddahay in aan ka hadlayno tirada lakabka tusaalaha shabakadda tixraaca ee OSI/ISO kaas oo sirtu dhacdo. Waxaan akhrinay GOST R ISO 7498-2-99 "Tignoolajiyada macluumaadka. Isku xirka nidaamyada furan. Habka tixraaca aasaasiga ah. Qaybta 2. Qaabdhismeedka amniga macluumaadka." Dukumeentigan waxaa laga fahmi karaa in heerka adeegga qarsoodiga ah (mid ka mid ah hababka bixinta kaas oo ah sirta) uu yahay heerka borotokoolka, xannibaadda xogta adeegga ("payload", xogta isticmaalaha) kaas oo sir ah. Sida ay sidoo kale ku qoran tahay heerka caadiga ah, adeegga waxaa lagu bixin karaa labadaba heer isku mid ah, "kaligiis," iyo iyada oo la kaashanayo heer hoose (sidani waa sida, tusaale ahaan, inta badan waxaa lagu hirgeliyaa MACsec) .

Ficil ahaan, laba qaab oo lagu gudbiyo macluumaadka sirta ah ee shabakada ayaa suurtagal ah (IPsec isla markiiba maskaxda ayay ku jirtaa, laakiin qaabab isku mid ah ayaa sidoo kale laga helaa borotokoolka kale). IN gaadiidka (mararka qaarkood sidoo kale loo yaqaan hooyo) qaabka waa la sir ah oo kaliya adeeg block of data, iyo madaxyadu waxay ahaanayaan "furan", oo aan qarsoodi ahayn (mararka qaarkood beero dheeraad ah oo leh macluumaadka adeegga algorithm sirta ayaa lagu daraa, iyo meelo kale ayaa la bedelay oo dib loo xisaabiyaa). IN tunnel qaab isku mid ah oo dhan borotokoolka block xogta (taas oo ah, baakidhka laftiisa) waa la sir ah oo lagu kaydiyaa kaydka xogta adeegga ee heerka la mid ah ama ka sarreeya, taas oo ah, waxaa ku wareegsan madax cusub.

Heerka qarsoodiga laftiisa marka lagu daro habka gudbinta qaar ma fiicna mana xuma, sidaas darteed lama dhihi karo, tusaale ahaan, in L3 ee habka gaadiidka uu ka fiican yahay L2 habka tunnel. Waa uun in qaar badan oo ka mid ah sifooyinka qalabka lagu qiimeeyo ay ku xiran yihiin. Tusaale ahaan, dabacsanaan iyo waafaqid. Si aad uga shaqeyso shabakad L1 (bit stream relay), L2 (wareejinta fiilada) iyo L3 (wareejinta baakidhka) ee habka gaadiidka, waxaad u baahan tahay xalal sir ah oo isku mid ah ama heer sare ah (haddii kale macluumaadka ciwaanka waa la qarin doonaa xogtana waa la qarin doonaa). oo aan gaarin meeshii loogu talagalay), iyo qaabka tunnel-ka ayaa ka adkaaday xaddidan (in kasta oo la huro sifooyin kale oo muhiim ah).

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Habka sirta gaadiidka iyo tunnel L2

Hadda aynu u gudubno falanqaynta sifooyinka.

Wax-soo-saarka

Sirta shabakada, wax qabadku waa fikrad adag oo dhinacyo badan leh. Waxay dhacdaa in nooc gaar ah, oo ka sarreeya hal sifo waxqabad, uu ka hooseeyo mid kale. Sidaa darteed, had iyo jeer waa faa'iido leh in la tixgeliyo dhammaan qaybaha waxqabadka sirta ah iyo saamaynta ay ku leeyihiin waxqabadka shabakadda iyo codsiyada isticmaala. Halkan waxaan ku sawiri karnaa isbarbardhig baabuur, taas oo aan ahayn oo kaliya xawaaraha ugu sarreeya ee muhiimka ah, laakiin sidoo kale wakhtiga dardargelinta "boqolaal", isticmaalka shidaalka, iyo wixii la mid ah. Shirkadaha wax iibiya iyo macaamiishooda suurtagalka ah ayaa fiiro gaar ah u leh sifooyinka waxqabadka. Sida caadiga ah, aaladaha sirta ah ayaa lagu kala qiimeeyaa iyadoo lagu saleynayo waxqabadka khadadka iibiyaha.

Way caddahay in wax qabadku uu ku xidhan yahay kakanaanta isku xidhka iyo hawlgallada qarsoodiga ah ee lagu sameeyo aaladda (oo ay ku jiraan sida ugu wanaagsan ee hawlahan loo barbar dhigi karo iyo dhuumaha), iyo sidoo kale waxqabadka qalabka iyo tayada firmware-ka. Sidaa darteed, moodooyinka qadiimka ah waxay isticmaalaan qalab wax soo saar badan leh, mararka qaarkood waxaa suurtagal ah in lagu qalabeeyo processor-yo dheeraad ah iyo modules xusuusta. Waxaa jira dhowr habab oo lagu hirgelinayo hawlaha cryptographic: unugga habaynta dhexe ee ujeeddada guud (CPU), wareegga isku-dhafan ee gaarka ah (ASIC), ama goob-barnaamij-ganacsiyeedka isku-dhafan ee macquulka ah (FPGA). Hab kastaa wuxuu leeyahay faa'iidooyin iyo khasaare. Tusaale ahaan, CPU waxay noqon kartaa dhuunta qarsoon, gaar ahaan haddii processor-ku aanu lahayn tilmaamo gaar ah oo lagu taageerayo algorithm-ka sireed (ama haddii aan la isticmaalin). Chips gaar ah ayaa ka maqan dabacsanaan; mar walba suurtagal ma aha in "dib u iftiimiyo" si kor loogu qaado waxqabadka, loogu daro shaqooyin cusub, ama meesha looga saaro dayacanka. Intaa waxaa dheer, isticmaalkoodu wuxuu noqdaa mid faa'iido leh oo keliya oo leh mugga wax soo saarka ee waaweyn. Taasi waa sababta "macnaha dahabka ah" uu noqday mid caan ah - isticmaalka FPGA (FPGA ee Ruushka). Waxay ku jirtaa FPGA-yada waxa loogu yeero dardargeliyayaasha crypto-lagu dhex-dhismay ama ku-xidhay qalabyada hardware-ka gaarka ah ee taageeraya hawlgallada cryptographic.

Maadaama aan ka hadlayno shabakad encryption, waa macquul in waxqabadka xalalka lagu qiyaaso tiro la mid ah qalabka shabakadaha kale - wax soo saarka, boqolkiiba luminta jireed iyo daahitaanka. Qiimayaashan waxaa lagu qeexay RFC 1242. Jid ahaan, waxba lagama qorin kala duwanaanshaha daahitaanka ee inta badan lagu sheegay RFC. Sidee loo cabbiraa tiradan? Ma helin hab lagu ansixiyey heerar kasta (rasmiga ah ama aan rasmiga ahayn sida RFC) gaar ahaan sirta shabakadda. Waxay noqon doontaa mid caqli-gal ah in la isticmaalo habka qalabka shabakada ee ku qoran heerka RFC 2544. Iibiyeyaal badan ayaa raacaya - badan, laakiin maaha dhammaan. Tusaale ahaan, waxay u diraan taraafikada tijaabada hal jiho oo kaliya halkii ay ka ahaan lahaayeen labadaba, sida lagu taliyay heerka. Si kastaba ha ahaatee.

Cabbiraadda waxqabadka aaladaha sirta shabakada ayaa wali leh astaamo u gaar ah. Marka hore, waa sax in la fuliyo dhammaan cabbiraadaha laba qalab: in kasta oo algorithms-ka sirtu ay yihiin kuwo isku mid ah, dib-u-dhacyada iyo khasaaraha xirmooyinka inta lagu jiro sirta iyo fur-furiddu qasab maaha inay sinaadaan. Marka labaad, waxay macno u tahay in la cabbiro delta, saameynta sirta shabakada ee waxqabadka shabakadda ugu dambeysa, marka la barbardhigo laba qaabeynta: iyada oo aan lahayn qalab qarsoodi ah iyo iyaga. Ama, sida kiiska aaladaha isku-dhafka ah, kuwaas oo isku dara dhowr hawlood oo ay u dheer tahay sirta shabakada, iyadoo sirtu damisan tahay oo shid. Saamayntani way kala duwanaan kartaa waxayna kuxirantahay nidaamka isku xirka aaladaha sirta ah, hababka hawlgalka, iyo ugu dambeyntii, dabeecadda taraafikada. Gaar ahaan, qiyaaso badan oo waxqabad ah waxay ku xiran yihiin dhererka xirmooyinka, taas oo ah sababta, si loo barbardhigo waxqabadka xalalka kala duwan, garaafyada xuduudahan iyadoo ku xiran dhererka baakadaha ayaa inta badan la isticmaalaa, ama IMIX ayaa loo isticmaalaa - qaybinta taraafikada ee baakadaha dhererka, kaas oo qiyaas ahaan ka tarjumaya midka dhabta ah. Haddii aan isbarbardhigno qaabeynta aasaasiga ah ee isku midka ah iyada oo aan qarsoodi ahayn, waxaan isbarbardhigi karnaa xalalka sirta ah ee shabakada loo fuliyo si ka duwan iyada oo aan la helin kala duwanaanshahan: L2 oo leh L3, dukaanka-iyo-horumarka ) oo leh gooyo, takhasus leh oo isku dhafan, GOST leh AES iyo wixii la mid ah.

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Jaantuska isku xirka ee tijaabinta waxqabadka

Dabeecadda ugu horreysa ee dadku fiiro gaar ah u yeeshaan waa "xawaaraha" qalabka sirta ah, taas oo ah baaxadda (bandwidth) ee isku-xidhka shabakadeeda, heerka socodka yara. Waxaa lagu go'aamiyaa halbeegyada shabakadda ee ay taageerayaan is-dhexgalka. Ethernet-ka, tirooyinka caadiga ah waa 1 Gbps iyo 10 Gbps. Laakin, sida aan ognahay, shabakad kasta aragtida ugu badan dhex -dhexaadin (soo-gudbin) mid kasta oo ka mid ah heerarkeeda waxaa jira had iyo jeer yar yar: qayb ka mid ah xajmigu waa "la cunaa" iyada oo loo marayo dhexdhexaadinta, madax adeegayaasha, iyo wixii la mid ah. Haddii qalabku awood u leeyahay inuu helo, farsameeyo (xaaladkeena, sirta ama kala-baxa) iyo gudbinta taraafikada xawaaraha buuxa ee shabakadda shabakada, taas oo ah, iyada oo la adeegsanayo aragtida ugu badan ee heerkan qaabka shabakadda, markaa waxaa la yiraahdaa inuu shaqaynayo Xawaaraha khadka. Si arrintan loo sameeyo, waxaa lagama maarmaan ah in qalabku aanu lumin ama iska tuurin baakadaha cabbir kasta iyo inta jeer ee kasta. Haddii qalabka sirta ah uusan ku taageerin hawlgalka xawaaraha xariiqda, ka dibna wax-soo-saarka ugu badan ayaa badanaa lagu qeexaa gigabits isku mid ah ilbiriqsi kasta (mararka qaarkood waxay muujinayaan dhererka xirmooyinka - xirmooyinka gaaban, hoos u dhaca inta badan waa). Aad bay muhiim u tahay in la fahmo in wax-soo-saarka ugu badan uu yahay kan ugu sarreeya khasaare la'aan (xitaa haddii qalabku uu "ku shubi karo" taraafikada laftiisa xawaare sare, laakiin isla mar ahaantaana luminaya xirmooyinka qaarkood). Sidoo kale, la soco in qaar ka mid ah waratada ay cabbiraan wadarta wax soo saarka ee u dhexeeya dhammaan lammaanaha dekedaha, markaa tirooyinkani macno badan uma laha haddii dhammaan taraafikada qarsoon ay maraan hal deked.

Halkee ayay muhiim u tahay in lagu shaqeeyo xawliga khadka (ama, si kale haddii loo dhigo, iyada oo aan la lumin xirmo)? In bandwidth-sare, xidhiidhada-daahista sare (sida dayax-gacmeedka), halkaas oo cabbirka weyn ee daaqada TCP waa in la dejiyaa si loo ilaaliyo xawaaraha gudbinta sare, iyo halka khasaaraha xirmo si weyn u yaraynaysaa waxqabadka network.

Laakin ma aha in bandwidth oo dhan loo isticmaalo in lagu wareejiyo xogta waxtarka leh. Waa inaan ku xisaabtannaa waxa loogu yeero kharashka dheeraadka ah (sare) bandwidth. Tani waa qayb ka mid ah agabka sirta ah (boqolkiiba ama baakidhkii baakidhkiiba) ee run ahaantii la khasaaray (looma isticmaali karo in lagu wareejiyo xogta codsiga). Kharashaadka dheeraadka ah ayaa soo baxa, marka hore, sababtoo ah korodhka cabbirka (ku dar, "wax-soo-saarka") ee goobta xogta ee xirmooyinka shabakada sir ah (waxay kuxirantahay algorithm sirta iyo qaabka ay u shaqeyso). Marka labaad, sababtoo ah kororka dhererka madaxyada baakadaha (qaabka tunnel-ka, gelinta adeegga ee borotokoolka sirta ah, gelinta jilitaanka, iwm. iyadoo ku xiran hab-raaca iyo habka loo shaqeeyo ee qaabka iyo habka gudbinta) - sida caadiga ah kharashyadan sare waa ugu muhiimsan, oo ay marka hore fiiro gaar ah. Marka saddexaad, iyadoo ay ugu wacan tahay baakooyinka kala-jajabinta marka cabbirka cutubka xogta ugu badan (MTU) la dhaafo (haddii shabakadu awoodo inay u kala qaybiso baakidh ka sarreeya MTU laba, oo nuqul ka dhigaya madaxdeeda). Marka afraad, iyada oo ay ugu wacan tahay muuqaalka adeegga dheeraadka ah (xakamaynta) taraafikada shabakadda ee u dhaxaysa aaladaha sirta ah (isweydaarsiga muhiimka ah, rakibaadda tunnel, iwm.). Dusha sare ee hooseeya ayaa muhiim ah halka awoodda kanaalka ay xaddidan tahay. Tani waxay si gaar ah uga caddahay taraafikada baakadaha yaryar, tusaale ahaan, codka - halkaasoo kharashyada dheeraadka ah ay "cuni karaan" in ka badan kala badh xawaaraha kanaalka!

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Bandwidth

Ugu dambeyntii, waxaa jira wax badan dib u dhac keenay - Farqiga (qaybaha ilbiriqsi) ee daahitaanka shabakada (waqtiga ay qaadanayso in xogtu ka gudubto gelitaanka shabakada si ay uga baxdo) inta u dhaxaysa gudbinta xogta iyada oo aan la isticmaalin sirta shabakada. Guud ahaan marka loo hadlo, hoos u dhaca daahitaanka ("daahitaanka") ee shabakada, ayaa aad muhiim u ah daahitaanka ay keeneen aaladaha sirta ah ayaa noqda. Dib u dhigista waxaa soo bandhigaya hawlgalka sirta laftiisa (waxay kuxirantahay algorithm sirta, dhererka xannibaadda iyo qaabka hawlgalka cipher, iyo sidoo kale tayada dhaqangelinteeda softiweerka), iyo habaynta xirmada shabakada ee aaladda . Daahida la soo bandhigay waxay kuxirantahay labada hab habaynta baakadaha (ku gudubka ama dukaanka-iyo-hormarinta) iyo waxqabadka goobta (dhaqdhaqaaqa qalabka FPGA ama ASIC guud ahaan wuu ka dhakhso badan yahay hirgelinta software ee CPU). Sirta L2 had iyo jeer waxay leedahay daahitaan hoose marka loo eego L3 ama L4 encryption, sababtoo ah xaqiiqda ah in aaladaha sirta ah ee L3/L4 ay inta badan isku yimaadaan. Tusaale ahaan, iyada oo la adeegsanayo encryptors-xawaaraha sare leh ee Ethernet encryptors oo lagu hirgeliyay FPGA-yada oo lagu siraynayo L2, dib-u-dhac ku yimaada hawlgalka sirta ayaa aad u yar - mararka qaarkood marka sirta lagu rakibo laba qalab, wadarta dib u dhigista iyaga ayaa xitaa hoos u dhacda! Daahitaan hoose ayaa muhiim ah halka ay la barbar dhigi karto daahitaanka kanaalka guud, oo ay ku jiraan daahitaanka faafinta, kaas oo qiyaastii ah 5 μs kiiloomitirkiiba. Taasi waa, waxaan dhihi karnaa shabakadaha cabbirka magaalooyinka (tobanaan kiiloomitir oo dhan), microse seconds ayaa go'aamin kara wax badan. Tusaale ahaan, ku celcelinta xogta isku midka ah, ganacsiga soo noqnoqda, blockchain isku mid ah.

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Dib u dhac ku yimid

Miisaanka

Shabakado waaweyn oo la qaybiyey waxa ka mid noqon kara kumanyaal nood ah iyo aalado shabakadeed, boqolaal qaybood oo shabakadaha maxaliga ah. Waa muhiim in xalalka sirta ah aysan ku soo rogin xaddidaadyo dheeri ah oo ku saabsan cabbirka iyo topology ee shabakadda la qaybiyey. Tani waxay khuseeysaa ugu horrayn tirada ugu badan ee martigeliyaha iyo ciwaannada shabakadda. Xaddidaadaha noocan oo kale ah ayaa laga yaabaa in ay la kulmaan, tusaale ahaan, marka la fulinayo shabakado badan oo sir ah (oo leh xiriiro sugan oo madax banaan, ama tunnel) ama sir xul ah (tusaale, lambarka borotokoolka ama VLAN). Haddii xaaladdan ciwaannada shabakadaha (MAC, IP, VLAN ID) loo isticmaalo furayaasha shaxda taas oo tirada safku ay xaddidan tahay, markaa xannibaadahan ayaa halkan ka muuqda.

Intaa waxaa dheer, shabakadaha waaweyni waxay inta badan leeyihiin dhowr lakab oo dhismeed, oo ay ku jiraan shabakada asaasiga ah, kuwaas oo mid kastaa hirgeliyo nidaamkiisa wax ka qabashada iyo siyaasaddiisa marinka. Si loo hirgeliyo habkan, qaababka gaarka ah (sida Q-in-Q ama MAC-in-MAC) iyo hab-raacyada go'aaminta dariiqa ayaa inta badan la isticmaalaa. Si aan loo carqaladayn dhismaha shabakadaha noocan oo kale ah, aaladaha sirta ah waa inay si sax ah u qabtaan xayndaabyada noocaan ah (taas oo ah, macnahan, scalability waxay ka dhigan tahay waafaqid - inbadan oo hoos ku xusan).

Fududeyn

Halkan waxaan kaga hadlaynaa taageeridda qaabaynta kala duwan, nidaamyada isku xirka, topologies iyo waxyaabo kale. Tusaale ahaan, shabakadaha beddelan ee ku salaysan teknoolojiyadda Carrier Ethernet, tani waxay ka dhigan tahay taageerada noocyada kala duwan ee isku xirka farsamada (E-Line, E-LAN, E-Tree), noocyada kala duwan ee adeegga (labadaba deked iyo VLAN) iyo tiknoolajiyada gaadiidka ee kala duwan. (horta ayay kor ku taxeen). Taasi waa, qalabku waa inuu awood u yeeshaa inuu ku shaqeeyo labadaba toosan ("point-to-point") iyo qaababka kala duwan, u sameeyo tunnelyo kala duwan VLAN-yada kala duwan, oo u oggolaada in la keeno xirmo ka baxsan nidaamka gudaha kanaal sugan. Awoodda lagu dooran karo qaababka kala duwan (oo ay ku jiraan ama aan lahayn xaqiijinta nuxurka) iyo hababka gudbinta baakidhka kala duwan waxay kuu ogolaaneysaa inaad isku dheelitirto inta u dhaxaysa xoogga iyo waxqabadka iyadoo ku xiran xaaladaha hadda jira.

Waxa kale oo muhiim ah in la taageero labada shabakadood ee gaarka loo leeyahay, qalabkaas oo ay iska leedahay hal urur (ama laga kireeyo), iyo shabakadaha hawlwadeennada, qaybaha kala duwan ee ay maamulaan shirkado kala duwan. Way fiican tahay haddii xalku u ogolaado maamulka labadaba guriga iyo cid saddexaad (adoo isticmaalaya qaabka adeegga la maareeyey). Shabakadaha wada shaqaynta, shaqo kale oo muhiim ah ayaa ah taageerada kiraysi badan (wadaaga macaamiisha kala duwan) qaab go'doomin cryptographic macaamiisha gaarka ah (macaamiishu) kuwaas oo taraafikada ay maraan isla qalabka sirta ah. Tani waxay caadi ahaan u baahan tahay isticmaalka furayaal gaar ah iyo shahaadooyin macmiil kasta.

Haddii qalab loo iibsado xaalad gaar ah, markaa dhammaan sifooyinkan ayaa laga yaabaa inaanay aad muhiim u ahayn - kaliya waxaad u baahan tahay inaad hubiso in qalabku uu taageerayo waxa aad hadda u baahan tahay. Laakiin haddii xal loo iibsado "koritaanka", si loo taageero xaaladaha mustaqbalka sidoo kale, oo loo doorto "heerka shirkadda", markaa dabacsanaantu ma noqon doonto mid xad dhaaf ah - gaar ahaan iyada oo la tixgelinayo xannibaadaha isdhexgalka ee qalabka iibiyeyaasha kala duwan ( wax badan oo ku saabsan arrintan hoose).

Fududnaanta iyo ku habboonaanta

Fududeynta adeeggu sidoo kale waa fikrado dhinacyo badan leh. Qiyaastii, waxaan dhihi karnaa in tani ay tahay wadarta wakhtiga ay ku qaataan khabiiro shahaado gaar ah oo loo baahan yahay si ay u taageeraan xalinta marxaladaha kala duwan ee meertada nolosha. Haddii aysan jirin wax kharash ah, iyo rakibidda, qaabeynta, iyo hawlgalku si buuxda ayey otomaatig u yihiin, markaa kharashyadu waa eber iyo ku habboonaanta waa dhammaystiran. Dabcan, tani kama dhacayso adduunka dhabta ah. Qiyaasta macquulka ah waa nooc " guntin silig " (silig-in-the-fire), ama xidhiidh hufan, kaas oo ku-darka iyo daminta aaladaha sirta ah uma baahna wax isbeddel ah oo buug-gacmeed ama toos ah qaabeynta shabakadda. Isla mar ahaantaana, ilaalinta xalka waa la fududeeyay: waxaad si badbaado leh u rogi kartaa shaqada sirta ah iyo daminta, iyo haddii loo baahdo, si fudud u "dhaafi" qalabka leh fiilada shabakadda (taas oo ah, si toos ah ugu xir dekedaha qalabka shabakada kuwaas oo waa la isku xidhay). Run, waxaa jira hal dib-u-dhac - weeraryahanku sidaas oo kale ayuu samayn karaa. Si loo hirgeliyo mabda'a "node on a silig", waxaa lagama maarmaan ah in la tixgeliyo ma aha oo kaliya gaadiidka lakabka xogtaLaakiin xakamaynta iyo maaraynta lakabyada - qalabku waa inuu ahaado mid hufan. Sidaa darteed, taraafikada noocan oo kale ah waa la qarin karaa oo keliya marka aysan jirin dadka qaata noocyadan taraafikada ee shabakada udhaxeysa aaladaha sirta ah, tan iyo haddii la tuuro ama la sifeeyo, markaa markaad awooddo ama joojiso sirta, qaabeynta shabakada ayaa isbedeli karta. Qalabka sirtu waxa kale oo uu noqon karaa mid daah-furan calaamadaynta lakabka jirka. Gaar ahaan, marka calaamaduhu lumaan, waa inay u gudbisaa khasaarahan (taas oo ah, dami gudbiyeheeda) gadaal iyo gadaal ("lafteeda") jihada calaamadda.

Taageerada qaybinta maamulka ee u dhexeeya amniga macluumaadka iyo waaxaha IT, gaar ahaan waaxda isku xidhka, ayaa sidoo kale muhiim ah. Xalka sirta ah waa in uu taageeraa xakamaynta gelitaanka ururka iyo qaabka hanti dhawrka. Baahida isdhexgalka ka dhexeeya waaxaha kala duwan si loo fuliyo hawlgallada caadiga ah waa in la yareeyo. Sidaa darteed, waxaa jira faa'iido marka la eego ku habboonaanta qalabka gaarka ah ee si gaar ah u taageera hawlaha sirta oo sida ugu macquulsan ugu furfuran hawlaha shabakada. Si fudud loo dhigo, shaqaalaha amniga macluumaadka waa in aysan haysan sabab ay ula xiriiraan "khabiirrada shabakadda" si ay u beddelaan goobaha shabakadda. Kuwana, markooda, waa inaysan u baahnayn inay beddelaan goobaha sirta ah marka la ilaalinayo shabakadda.

Arrin kale ayaa ah awoodaha iyo ku habboonaanta kontaroolada. Waa inay ahaadaan muuqaal, macquul ah, bixiyaan dejinta-dhoofinta dejinta, iswada, iyo wixii la mid ah. Waa inaad isla markiiba fiiro gaar ah u yeelataa waxa ikhtiyaarrada maamulka ah ee la heli karo (sida caadiga ah deegaankooda maamul, interface interface iyo khadka taliska) iyo waxa mid kasta oo iyaga ka mid ah leeyahay (waxaa jira xaddidaadyo). Shaqada muhiimka ah waa taageero ka baxsan-band (ka baxsan-band) xakamaynta, taas oo ah, iyada oo loo marayo shabakad kontorool oo go'an, iyo in-band (in-band) xakamaynta, taas oo ah, iyada oo loo marayo shabakad wadaag ah oo taraafikada waxtarka leh la isugu gudbiyo. Aaladaha maaraynta waa in ay muujiyaan dhammaan xaaladaha aan caadiga ahayn, oo ay ku jiraan shilalka amniga macluumaadka. Hawlgallada joogtada ah, soo noqnoqda waa in si toos ah loo sameeyaa. Tani waxay ugu horayn la xiriirtaa maamulka muhiimka ah. Waa in si toos ah loo soo saaro/la qaybiyaa. Taageerada PKI waa faa'iido weyn.

waafaqid

Taasi waa, ku habboonaanta aaladda heerarka shabakadda. Intaa waxaa dheer, waxaan ula jeednaa ma aha oo kaliya heerarka warshadaha ee ay qaateen hay'adaha awoodda leh sida IEEE, laakiin sidoo kale borotokoolka lahaanshaha ee hoggaamiyeyaasha warshadaha, sida Cisco. Waxaa jira laba siyaabood oo muhiim ah oo lagu hubinayo iswaafajinta: midkoodna daahfurnaan, ama la maro taageero cad hab-maamuuska (marka aaladda sirtu noqoto mid ka mid ah noodhka shabakada ee hab-maamuus gaar ah oo socodsiiya taraafikada borotokoolkan). La jaanqaadka shabakadaha waxay kuxirantahay dhamaystirka iyo saxnaanta fulinta nidaamyada xakamaynta. Waa muhiim in la taageero fursadaha kala duwan ee heerka PHY (xawaaraha, dhexdhexaadinta gudbinta, nidaamka codaynta), xargaha Ethernet ee qaabab kala duwan leh MTU kasta, nidaamyada adeegga L3 ee kala duwan (gaar ahaan qoyska TCP/IP).

Daah-furnaanta waxaa lagu hubiyaa hababka isbeddelka (si ku meel gaar ah beddelka waxa ku jira madax-furan ee taraafikada u dhexeeya encryptors), ka boodka (marka baakadaha gaarka ah ay sii jiraan kuwa aan qarsoodi ahayn) iyo soo gelida bilowga sirta (marka baakadaha sida caadiga ah sir laguma qarinayo).

Sida loo qiimeeyo oo loo barbar dhigo Ethernet Encryption Devices
Sida daahfurnaanta loo hubiyo

Sidaa darteed, had iyo jeer hubi sida saxda ah ee taageerada borotokool gaar ah loo bixiyo. Inta badan taageerada qaabka hufan ayaa ah mid ku habboon oo la isku halleyn karo.

wada shaqayn

Tani sidoo kale waa waafaqid, laakiin si ka duwan, taas oo ah awoodda ay ula shaqeeyaan noocyada kale ee aaladaha sirta ah, oo ay ku jiraan kuwa soo saarayaasha kale. Inta badan waxay kuxirantahay heerka halbeega borotokoolka sirta Si fudud ma jiraan heerar sir ah oo guud ahaan la aqbalay L1.

Waxaa jira halbeega 2ae (MACsec) ee L802.1 sirta shabakadaha Ethernet, laakiin ma isticmaalo dhamaad-ilaa-dhammaad (dhamaadka-ilaa-dhamaadka), iyo isdhexgalka, "hop-by-hop" encryption, iyo in version asalka ah waa mid aan ku habooneyn in loo isticmaalo shabakadaha la qaybiyey, sidaas darteed kordhinteeda lahaanshaha ayaa u muuqatay in ay ka gudubtay xaddidan (dabcan, sababtoo ah isdhexgalka qalabka kale ee soo saarayaasha). Run, sanadka 2018, taageerada shabakadaha la qaybiyey ayaa lagu daray heerka 802.1ae, laakiin weli ma jirto wax taageero ah oo loo yaqaan 'GOST encryption algorithm sets'. Sidaa darteed, lahaanshaha, borotokoolka qarsoodiga ah ee L2 ee aan caadiga ahayn, sida caadiga ah, waxaa lagu kala saaraa waxtarka weyn (gaar ahaan, kor u kaca bandwidth hoose) iyo dabacsanaanta (awoodda lagu beddelo algorithms sirta iyo hababka).

Heerarka sare (L3 iyo L4) waxaa jira heerar la aqoonsan yahay, oo ay ugu horreeyaan IPsec iyo TLS, laakiin halkan sidoo kale ma fududa. Xaqiiqdu waxay tahay in mid kasta oo ka mid ah halbeegyadani ay yihiin hab-maamuusyo, mid walbana leh noocyo iyo kordhin kala duwan ayaa loo baahan yahay ama ikhtiyaar u ah hirgelinta. Intaa waxaa dheer, warshadeeyayaasha qaarkood waxay door bidaan inay isticmaalaan borotokoolka sirta gaarka ah ee L3/L4. Sidaa darteed, inta badan kiisaska waa inaadan ku xisaabtamin wadashaqeyn buuxda, laakiin waxaa muhiim ah in ugu yaraan isdhexgalka ka dhexeeya moodooyinka kala duwan iyo jiilalka kala duwan ee isla soo saaraha la hubiyo.

Halaynta

Si loo barbar dhigo xalal kala duwan, waxaad isticmaali kartaa waqti celcelis ahaan u dhexeeya guuldarrada ama qodobka helitaanka. Haddii tirooyinkan aan la heli karin (ama aysan jirin kalsooni iyaga), ka dibna isbarbardhigga tayada ayaa la samayn karaa. Aaladaha leh maaraynta ku habboon waxay yeelan doonaan faa'iido (khatarta yar ee khaladaadka qaabeynta), encryptors khaas ah (sabab la mid ah), iyo sidoo kale xalalka waqtiga ugu yar si loo ogaado loogana takhaluso fashilka, oo ay ku jiraan hab "kulul" kaydinta qanjidhada oo dhan iyo qalabka.

qiimaha

Markay timaaddo kharashka, sida inta badan xalalka IT-ga, waxay macno samaynaysaa in la barbardhigo wadarta qiimaha lahaanshaha. Si aad u xisaabiso, uma baahnid inaad dib u soo kiciso giraangiraha, laakiin isticmaal hab kasta oo ku habboon (tusaale ahaan, Gartner) iyo xisaabiye kasta (tusaale ahaan, kan hore loogu isticmaalay ururka si loo xisaabiyo TCO). Way caddahay in xalka sirta shabakada, wadarta qiimaha lahaanshaha ka kooban yahay toos ah kharashyada iibsashada ama kiraynta xalka laftiisa, kaabayaasha martigelinta qalabka iyo kharashyada geynta, maamulka iyo dayactirka (ha ahaato guriga dhexdiisa ama qaabka adeegyada cid saddexaad), iyo sidoo kale dadban kharashyada ka imanaya wakhtiga dhimista ee xalka (oo ay sababto luminta wax soo saarka isticmaalaha dhamaadka). Waxay u badan tahay inuu jiro hal qarsoodi oo keliya. Saamaynta waxqabadka xalka waxaa loo tixgelin karaa siyaabo kala duwan: ama sida kharashyada aan tooska ahayn ee ay keento wax soo saarka lumay, ama "kharashka" tooska ah ee iibsashada / hagaajinta iyo ilaalinta qalabka shabakada ee magdhowga luminta waxqabadka shabakada sababtoo ah isticmaalka sir Si kastaba ha ahaatee, kharashyada ay adag tahay in la xisaabiyo si sax ah oo ku filan ayaa si fiican looga tagay xisaabinta: habkan waxaa jiri doona kalsooni dheeraad ah qiimaha ugu dambeeya. Iyo, sida caadiga ah, kiis kasta, waxay macno u leedahay in la barbardhigo aaladaha kala duwan ee TCO xaalad gaar ah oo isticmaalkooda - mid dhab ah ama mid caadi ah.

Xoog

Sifada u dambaysana waa ku adkaysiga xalka. Xaaladaha intooda badan, cimri dhererka waxaa lagu qiimeyn karaa oo kaliya si tayo leh marka la barbardhigo xalalka kala duwan. Waa in aan xasuusannaa in aaladaha sirta ah aysan ahayn hab kaliya, laakiin sidoo kale waa shay ilaalin ah. Waxa laga yaabaa inay la kulmaan hanjabaado kala duwan. Safka hore waxaa ka mid ah hanjabaadaha ku xadgudubka sirta, taranka iyo beddelka fariimaha. Hanjabaadahan waxa lagu xaqiijin karaa baylahda cipher ama hababkeeda gaarka ah, iyada oo loo marayo baylahda hab-maamuuska sirta ah (ay ku jiraan marxaladaha samaynta xidhiidhka iyo abuurista/qaybinta furayaasha). Faa'iidada waxay noqon doontaa xalalka u oggolaanaya beddelka algorithm sirta ama beddelka habka cipher (ugu yaraan iyada oo loo marayo cusboonaysiinta firmware), xalalka bixiya sirta ugu dhammaystiran, ka qarinta weeraryahan maaha oo keliya xogta isticmaalaha, laakiin sidoo kale cinwaanka iyo macluumaadka kale ee adeegga. , iyo sidoo kale xalal farsamo oo aan kaliya qarsoodi ahayn, laakiin sidoo kale ka ilaaliya fariimaha taranka iyo wax ka beddelka. Dhammaan algorithms-ka qarsoodiga ah ee casriga ah, saxeexyada elektaroonigga ah, jiilka muhiimka ah, iwm., kuwaas oo ku qoran heerarka, xoogga waxaa loo qaadan karaa inay isku mid yihiin (haddii kale waxaad si fudud u lumin kartaa duurjoogta cryptography). Miyay kuwani daruuri tahay inay noqdaan algorithms GOST? Wax walba waa sahlan yihiin halkan: haddii xaaladda codsigu u baahan tahay shahaadada FSB ee CIPF (iyo Ruushka tani inta badan waa kiiska; inta badan xaaladaha sirta shabakada tani waa run), ka dibna waxaan dooraneynaa kaliya inta u dhaxaysa kuwa la xaqiijiyay. Haddii aysan ahayn, markaa ma jirto wax dhib ah oo ka baxsan qalabka iyada oo aan shahaadooyin la tixgelin.

Khatarta kale waa khatarta jabsiga, gelitaanka aan la oggolayn ee aaladaha (oo ay ku jirto gelitaanka jirka ee dibadda iyo gudaha kiiska). Khatarta waxaa lagu fulin karaa iyada oo loo marayo
nuglaanshaha fulinta - ee hardware iyo code. Sidaa darteed, xalalka ugu yar "oogada weerarka" iyada oo loo sii marayo shabakada, oo leh xirmo laga ilaaliyo gelitaanka jirka (oo leh dareemayaasha faragelinta, ilaalinta baaritaanka iyo dib u habeyn toos ah ee macluumaadka muhiimka ah marka xiritaanka la furo), iyo sidoo kale kuwa u oggolaanaya cusbooneysiinta firmware-ka ayaa yeelan doona. faa'iido haddii ay dhacdo in nuglaansho kood la ogaado. Waxaa jira hab kale: haddii dhammaan aaladaha la barbar dhigo ay haystaan ​​shahaadooyin FSB, markaa fasalka CIPF ee shahaadada loo soo saaray waxaa loo tixgelin karaa tilmaame iska caabin ah jabsiga.

Ugu dambeyntii, nooc kale oo khatar ah waa khaladaadka inta lagu jiro dejinta iyo hawlgalka, qodobka aadanaha ee qaabka ugu saafiga ah. Tani waxay tusinaysaa faa'iido kale oo ay leeyihiin sireyaal khaas ah oo ka sarreeya xalalka la isku daray, kuwaas oo inta badan loogu talagalay "khabiirada shabakadaha" ee xilliyeed waxayna u keeni karaan dhibaatooyin "caadi ah", khabiirada amniga macluumaadka guud.

Si loo soo koobo

Mabda 'ahaan, halkan waxaa suurtagal ah in la soo jeediyo nooc ka mid ah tilmaamayaasha muhiimka ah ee isbarbardhigga qalabka kala duwan, wax la mid ah

$$muujin$$K_j=∑p_i r_{ij}$$muujin$$

halka p uu yahay miisaanka tusaha, rna uu yahay darajada qalabka sida ku cad tusahaan, mid kasta oo ka mid ah sifooyinka kor ku xusan waxaa loo qaybin karaa tilmaamayaasha "atomic". Qaaciddada noocaan ah waxay noqon kartaa mid faa'iido leh, tusaale ahaan, marka la barbardhigo soo jeedinta hindisada iyadoo la raacayo xeerar horay loogu heshiiyey. Laakiin waxaad ku heli kartaa miiska fudud sida

Характеристика
Qalabka 1
Qalabka 2
...
Qalabka N

Bandwidth
+
+

+++

Dusha sare
+
++

+++

Dib u dhac
+
+

++

Miisaanka
+++
+

+++

Fududeyn
+++
++

+

wada shaqayn
++
+

+

waafaqid
++
++

+++

Fududnaanta iyo ku habboonaanta
+
+

++

dulqaadka qaladka
+++
+++

++

qiimaha
++
+++

+

Xoog
++
++

+++

Waxaan ku farxi doonaa inaan ka jawaabo su'aalaha iyo dhaleeceynta wax dhisaysa.

Source: www.habr.com

Add a comment