ProHoster > Blog > administratë > Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet

E shkrova këtë përmbledhje (ose, nëse preferoni, një udhëzues krahasimi) kur më ngarkuan të krahasoja disa pajisje nga shitës të ndryshëm. Përveç kësaj, këto pajisje i përkisnin klasave të ndryshme. Më duhej të kuptoja arkitekturën dhe karakteristikat e të gjitha këtyre pajisjeve dhe të krijoja një "sistem koordinativ" për krahasim. Do të jem i lumtur nëse rishikimi im ndihmon dikë:

  • Kuptoni përshkrimet dhe specifikimet e pajisjeve të enkriptimit
  • Dalloni karakteristikat "letër" nga ato që janë vërtet të rëndësishme në jetën reale
  • Shkoni përtej grupit të zakonshëm të shitësve dhe përfshini në konsideratë çdo produkt që është i përshtatshëm për zgjidhjen e problemit
  • Bëni pyetjet e duhura gjatë negociatave
  • Hartoni kërkesat e tenderit (RFP)
  • Kuptoni se cilat karakteristika do të duhet të sakrifikohen nëse zgjidhet një model i caktuar pajisjeje

Çfarë mund të vlerësohet

Në parim, qasja është e zbatueshme për çdo pajisje të pavarur të përshtatshme për enkriptimin e trafikut të rrjetit midis segmenteve të largëta të Ethernetit (kriptimi ndër-site). Kjo do të thotë, "kuti" në një rast të veçantë (në rregull, ne do të përfshijmë gjithashtu tehe/module për shasinë këtu), të cilat janë të lidhura nëpërmjet një ose më shumë porteve Ethernet me rrjetin lokal Ethernet (kampusi) me trafik të pakriptuar, dhe përmes një tjetër port(a) në kanal/rrjet përmes të cilit trafiku tashmë i koduar transmetohet në segmente të tjera të largëta. Një zgjidhje e tillë enkriptimi mund të vendoset në një rrjet privat ose operatori përmes llojeve të ndryshme të "transportit" (fibër e errët, pajisje për ndarjen e frekuencës, Ethernet me komutim, si dhe "pseudowires" të vendosura përmes një rrjeti me një arkitekturë të ndryshme rrugëtimi, më shpesh MPLS ), me ose pa teknologji VPN.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Kriptimi i rrjetit në një rrjet Ethernet të shpërndarë

Vetë pajisjet mund të jenë ose e specializuar (i destinuar ekskluzivisht për enkriptim), ose shumëfunksional (hibrid, konvergjente), domethënë, duke kryer edhe funksione të tjera (për shembull, një mur zjarri ose ruter). Shitësit e ndryshëm i klasifikojnë pajisjet e tyre në klasa/kategori të ndryshme, por kjo nuk ka rëndësi - e vetmja gjë e rëndësishme është nëse ata mund të enkriptojnë trafikun ndër-site dhe çfarë karakteristikash kanë.

Për çdo rast, ju kujtoj se "kriptimi i rrjetit", "kriptimi i trafikut", "enkriptuesi" janë terma informalë, megjithëse përdoren shpesh. Me shumë mundësi nuk do t'i gjeni në rregulloret ruse (përfshirë ato që prezantojnë GOST).

Nivelet e kriptimit dhe mënyrat e transmetimit

Para se të fillojmë të përshkruajmë vetë karakteristikat që do të përdoren për vlerësim, së pari do të duhet të kuptojmë një gjë të rëndësishme, përkatësisht "nivelin e kriptimit". Vura re se shpesh përmendet si në dokumentet zyrtare të shitësve (në përshkrime, manuale, etj.) ashtu edhe në diskutime joformale (në negociata, trajnime). Domethënë, duket se të gjithë e dinë shumë mirë se për çfarë po flasim, por personalisht kam qenë dëshmitar i një konfuzioni.

Pra, çfarë është një "nivel kriptimi"? Është e qartë se ne po flasim për numrin e shtresës së modelit të rrjetit referencë OSI/ISO në të cilën ndodh enkriptimi. Ne lexojmë GOST R ISO 7498-2-99 "Teknologjia e informacionit. Ndërlidhja e sistemeve të hapura. Modeli bazë i referencës. Pjesa 2. Arkitektura e sigurisë së informacionit." Nga ky dokument mund të kuptohet se niveli i shërbimit të konfidencialitetit (një nga mekanizmat për sigurimin e të cilit është enkriptimi) është niveli i protokollit, blloku i të dhënave të shërbimit (“payload”, të dhënat e përdoruesit) i të cilit është i koduar. Siç është shkruar edhe në standard, shërbimi mund të ofrohet si në të njëjtin nivel, "më vete", dhe me ndihmën e një niveli më të ulët (kjo është mënyra se si, për shembull, zbatohet më shpesh në MACsec) .

Në praktikë, dy mënyra të transmetimit të informacionit të koduar përmes një rrjeti janë të mundshme (IPsec vjen menjëherë në mendje, por të njëjtat mënyra gjenden edhe në protokolle të tjera). NË transporti Modaliteti (nganjëherë i quajtur edhe vendas) është vetëm i koduar shërbimi blloku i të dhënave, dhe titujt mbeten "të hapur", të pakriptuar (nganjëherë shtohen fusha shtesë me informacionin e shërbimit të algoritmit të kriptimit, dhe fusha të tjera modifikohen dhe rillogariten). NË tuneli e njëjta mënyrë të gjitha protokoll blloku i të dhënave (d.m.th., vetë paketa) është i koduar dhe i kapsuluar në një bllok të të dhënave të shërbimit të nivelit të njëjtë ose më të lartë, domethënë është i rrethuar nga tituj të rinj.

Vetë niveli i kriptimit në kombinim me disa mënyra transmetimi nuk është as i mirë as i keq, kështu që nuk mund të thuhet, për shembull, se L3 në modalitetin e transportit është më i mirë se L2 në modalitetin e tunelit. Është vetëm se shumë nga karakteristikat me të cilat vlerësohen pajisjet varen prej tyre. Për shembull, fleksibiliteti dhe pajtueshmëria. Për të punuar në një rrjet L1 (rele transmetimi bit), L2 (ndërrimi i kornizës) dhe L3 (drejtimi i paketave) në modalitetin e transportit, ju nevojiten zgjidhje që kodojnë në të njëjtin ose nivel më të lartë (përndryshe informacioni i adresës do të kodohet dhe të dhënat do të nuk arrin destinacionin e synuar), dhe modaliteti i tunelit e kapërcen këtë kufizim (ndonëse duke sakrifikuar karakteristika të tjera të rëndësishme).

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Mënyrat e kriptimit të transportit dhe tunelit L2

Tani le të kalojmë në analizimin e karakteristikave.

prodhimtari

Për enkriptimin e rrjetit, performanca është një koncept kompleks, shumëdimensional. Ndodh që një model i caktuar, ndonëse superior në një karakteristikë të performancës, është inferior në një tjetër. Prandaj, është gjithmonë e dobishme të merren parasysh të gjithë komponentët e performancës së kriptimit dhe ndikimi i tyre në performancën e rrjetit dhe aplikacioneve që e përdorin atë. Këtu mund të nxjerrim një analogji me një makinë, për të cilën është e rëndësishme jo vetëm shpejtësia maksimale, por edhe koha e nxitimit në "qindra", konsumi i karburantit, etj. Kompanitë shitëse dhe klientët e tyre potencialë i kushtojnë vëmendje të madhe karakteristikave të performancës. Si rregull, pajisjet e kriptimit renditen në bazë të performancës në linjat e shitësve.

Është e qartë se performanca varet si nga kompleksiteti i rrjetit dhe operacionet kriptografike të kryera në pajisje (duke përfshirë sa mirë këto detyra mund të paralelizohen dhe tubohen), si dhe nga performanca e harduerit dhe cilësia e firmuerit. Prandaj, modelet më të vjetra përdorin pajisje më produktive; ndonjëherë është e mundur ta pajisni atë me procesorë shtesë dhe module memorie. Ekzistojnë disa qasje për zbatimin e funksioneve kriptografike: në një njësi të përpunimit qendror me qëllime të përgjithshme (CPU), qark të integruar specifik për aplikacionin (ASIC) ose qark të integruar logjik të programueshëm në terren (FPGA). Çdo qasje ka të mirat dhe të këqijat e saj. Për shembull, CPU mund të bëhet një pengesë enkriptimi, veçanërisht nëse procesori nuk ka udhëzime të specializuara për të mbështetur algoritmin e kriptimit (ose nëse ato nuk përdoren). Çipat e specializuar nuk kanë fleksibilitet; nuk është gjithmonë e mundur t'i "rifreskoni" ato për të përmirësuar performancën, për të shtuar funksione të reja ose për të eliminuar dobësitë. Për më tepër, përdorimi i tyre bëhet fitimprurës vetëm me vëllime të mëdha prodhimi. Kjo është arsyeja pse "mesatarja e artë" është bërë kaq popullore - përdorimi i FPGA (FPGA në Rusisht). Është në FPGA që bëhen të ashtuquajturit përshpejtues kripto - module të specializuara harduerike të integruara ose plug-in për mbështetjen e operacioneve kriptografike.

Meqë po flasim për rrjeti kriptimi, është logjike që performanca e zgjidhjeve duhet të matet në të njëjtat sasi si për pajisjet e tjera të rrjetit - xhiros, përqindja e humbjes së kornizës dhe vonesa. Këto vlera janë të përcaktuara në RFC 1242. Nga rruga, asgjë nuk është shkruar për variacionin e vonesës së përmendur shpesh (jitter) në këtë RFC. Si të maten këto sasi? Nuk kam gjetur një metodologji të miratuar në asnjë standard (zyrtar ose jozyrtar si RFC) posaçërisht për enkriptimin e rrjetit. Do të ishte logjike të përdoret metodologjia për pajisjet e rrjetit të sanksionuara në standardin RFC 2544. Shumë shitës e ndjekin atë - shumë, por jo të gjithë. Për shembull, ata dërgojnë trafikun testues vetëm në një drejtim në vend të të dyve, si p.sh rekomandohet standarde. Gjithsesi.

Matja e performancës së pajisjeve të enkriptimit të rrjetit ka ende karakteristikat e veta. Së pari, është e saktë të kryhen të gjitha matjet për një palë pajisje: megjithëse algoritmet e enkriptimit janë simetrik, vonesat dhe humbjet e paketave gjatë kriptimit dhe deshifrimit nuk do të jenë domosdoshmërisht të barabarta. Së dyti, ka kuptim të matet delta, ndikimi i kriptimit të rrjetit në performancën përfundimtare të rrjetit, duke krahasuar dy konfigurime: pa pajisje kriptimi dhe me to. Ose, siç është rasti me pajisjet hibride, të cilat kombinojnë disa funksione përveç enkriptimit në rrjet, me enkriptim të fikur dhe të ndezur. Ky ndikim mund të jetë i ndryshëm dhe varet nga skema e lidhjes së pajisjeve të enkriptimit, nga mënyrat e funksionimit dhe së fundi, nga natyra e trafikut. Në veçanti, shumë parametra të performancës varen nga gjatësia e paketave, prandaj, për të krahasuar performancën e zgjidhjeve të ndryshme, shpesh përdoren grafikët e këtyre parametrave në varësi të gjatësisë së paketave, ose përdoret IMIX - shpërndarja e trafikut sipas paketave. gjatësi, që përafërsisht pasqyron atë realen. Nëse krahasojmë të njëjtin konfigurim bazë pa kriptim, mund të krahasojmë zgjidhjet e enkriptimit të rrjetit të zbatuara ndryshe pa hyrë në këto dallime: L2 me L3, ruaje-dhe-përcjell ) me prerje, e specializuar me konvergjente, GOST me AES etj.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Diagrami i lidhjes për testimin e performancës

Karakteristika e parë që njerëzit i kushtojnë vëmendje është "shpejtësia" e pajisjes së enkriptimit, d.m.th gjerësia e brezit (gjerësia e brezit) e ndërfaqeve të saj të rrjetit, shpejtësia e rrjedhës së bitit. Përcaktohet nga standardet e rrjetit që mbështeten nga ndërfaqet. Për Ethernet, numrat e zakonshëm janë 1 Gbps dhe 10 Gbps. Por, siç e dimë, në çdo rrjet maksimumi teorik xhiros (përdorimi) në secilin prej niveleve të tij ka gjithmonë më pak gjerësi brezi: një pjesë e gjerësisë së brezit "hahet" nga intervalet e intervalit, kokat e shërbimit, etj. Nëse një pajisje është e aftë të marrë, përpunojë (në rastin tonë, të enkriptojë ose deshifrojë) dhe të transmetojë trafik me shpejtësinë e plotë të ndërfaqes së rrjetit, pra me shpejtësinë maksimale teorike për këtë nivel të modelit të rrjetit, atëherë thuhet për të punuar me shpejtësinë e linjës. Për ta bërë këtë, është e nevojshme që pajisja të mos humbasë ose hedhë paketat në çdo madhësi dhe në çdo frekuencë. Nëse pajisja e enkriptimit nuk mbështet funksionimin me shpejtësinë e linjës, atëherë xhiroja maksimale e saj zakonisht specifikohet në të njëjtat gigabit për sekondë (ndonjëherë duke treguar gjatësinë e paketave - sa më të shkurtra të jenë paketat, aq më i ulët është zakonisht xhiroja). Është shumë e rëndësishme të kuptohet se xhiroja maksimale është maksimumi asnjë humbje (edhe nëse pajisja mund të "pompojë" trafikun përmes vetes me një shpejtësi më të madhe, por në të njëjtën kohë duke humbur disa pako). Gjithashtu, kini parasysh se disa shitës matin xhiron totale midis të gjitha çifteve të porteve, kështu që këta numra nuk do të thonë shumë nëse i gjithë trafiku i koduar kalon përmes një porti të vetëm.

Ku është veçanërisht e rëndësishme të operoni me shpejtësinë e linjës (ose, me fjalë të tjera, pa humbje të paketës)? Në lidhjet me gjerësi bande të lartë, me vonesë të lartë (siç është sateliti), ku duhet të vendoset një madhësi e madhe dritareje TCP për të mbajtur shpejtësi të larta transmetimi dhe ku humbja e paketave redukton në mënyrë dramatike performancën e rrjetit.

Por jo e gjithë gjerësia e brezit përdoret për të transferuar të dhëna të dobishme. Ne duhet të llogarisim me të ashtuquajturat shpenzimet e përgjithshme gjerësia e brezit (lart). Kjo është pjesa e xhiros së pajisjes së enkriptimit (si përqindje ose bajt për paketë) që në fakt harxhohet (nuk mund të përdoret për të transferuar të dhënat e aplikacionit). Kostot e përgjithshme lindin, së pari, për shkak të një rritje në madhësinë (shtimi, "mbushja") e fushës së të dhënave në paketat e rrjetit të koduar (në varësi të algoritmit të kriptimit dhe mënyrës së funksionimit të tij). Së dyti, për shkak të rritjes së gjatësisë së titujve të paketave (modaliteti i tunelit, futja e shërbimit të protokollit të enkriptimit, futja e simulimit, etj. në varësi të protokollit dhe mënyrës së funksionimit të kodit dhe mënyrës së transmetimit) - zakonisht këto kosto të përgjithshme janë më e rëndësishmja, dhe së pari i kushtojnë vëmendje. Së treti, për shkak të fragmentimit të paketave kur tejkalohet madhësia maksimale e njësisë së të dhënave (MTU) (nëse rrjeti është në gjendje të ndajë një paketë që tejkalon MTU-në në dysh, duke dublikuar kokat e saj). Së katërti, për shkak të shfaqjes së trafikut shtesë të shërbimit (kontrollit) në rrjet midis pajisjeve të enkriptimit (për shkëmbimin e çelësave, instalimin e tunelit, etj.). Shpenzimet e ulëta janë të rëndësishme kur kapaciteti i kanalit është i kufizuar. Kjo është veçanërisht e dukshme në trafikun nga paketat e vogla, për shembull, zëri - ku kostot e përgjithshme mund të "hanë" më shumë se gjysmën e shpejtësisë së kanalit!

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
kapacitet

Së fundi, ka më shumë vonesa e futur – diferenca (në fraksione të sekondës) në vonesën e rrjetit (koha që i duhet të dhënave për të kaluar nga hyrja në rrjet në daljen prej tij) ndërmjet transmetimit të të dhënave pa dhe me kriptim rrjeti. Në përgjithësi, sa më i ulët të jetë vonesa (“latenca”) e rrjetit, aq më kritik bëhet vonesa e futur nga pajisjet e kriptimit. Vonesa futet nga vetë operacioni i enkriptimit (në varësi të algoritmit të kriptimit, gjatësisë së bllokut dhe mënyrës së funksionimit të shifrës, si dhe në cilësinë e zbatimit të tij në softuer), dhe përpunimi i paketës së rrjetit në pajisje . Vonesa e futur varet nga mënyra e përpunimit të paketave (përcjellja ose ruajtja dhe përcjellja) dhe performanca e platformës (zbatimi i harduerit në një FPGA ose ASIC është përgjithësisht më i shpejtë se zbatimi i softuerit në një CPU). Kriptimi L2 pothuajse gjithmonë ka vonesë më të ulët se enkriptimi L3 ose L4, për shkak të faktit se pajisjet e kriptimit L3/L4 shpesh konvergjohen. Për shembull, me enkriptuesit Ethernet me shpejtësi të lartë të implementuar në FPGA dhe me enkriptim në L2, vonesa për shkak të operacionit të kriptimit është jashtëzakonisht e vogël - ndonjëherë kur enkriptimi aktivizohet në një palë pajisje, vonesa totale e futur prej tyre madje zvogëlohet! Vonesa e ulët është e rëndësishme kur është e krahasueshme me vonesat e përgjithshme të kanalit, duke përfshirë vonesën e përhapjes, e cila është afërsisht 5 μs për kilometër. Kjo do të thotë, mund të themi se për rrjetet në shkallë urbane (dhjetëra kilometra), mikrosekonda mund të vendosin shumë. Për shembull, për riprodhimin sinkron të bazës së të dhënave, tregtimin me frekuencë të lartë, i njëjti blockchain.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Vonesa e futur

Shkallëzueshmëria

Rrjetet e mëdha të shpërndara mund të përfshijnë mijëra nyje dhe pajisje rrjeti, qindra segmente të rrjetit lokal. Është e rëndësishme që zgjidhjet e enkriptimit të mos vendosin kufizime shtesë në madhësinë dhe topologjinë e rrjetit të shpërndarë. Kjo vlen kryesisht për numrin maksimal të adresave të hostit dhe rrjetit. Kufizime të tilla mund të hasen, për shembull, kur zbatohet një topologji rrjeti e koduar me shumë pika (me lidhje të pavarura të sigurta ose tunele) ose kriptim selektiv (për shembull, me numrin e protokollit ose VLAN). Nëse në këtë rast adresat e rrjetit (MAC, IP, VLAN ID) përdoren si çelësa në një tabelë në të cilën numri i rreshtave është i kufizuar, atëherë këto kufizime shfaqen këtu.

Përveç kësaj, rrjetet e mëdha shpesh kanë disa shtresa strukturore, duke përfshirë rrjetin bazë, secila prej të cilave zbaton skemën e vet të adresimit dhe politikën e vet të rrugëtimit. Për të zbatuar këtë qasje, shpesh përdoren formate të veçanta të kornizës (të tilla si Q-in-Q ose MAC-in-MAC) dhe protokollet e rrugëzimit. Për të mos penguar ndërtimin e rrjeteve të tilla, pajisjet e kriptimit duhet të trajtojnë saktë korniza të tilla (d.m.th., në këtë kuptim, shkallëzueshmëria do të thotë përputhshmëri - më shumë për atë më poshtë).

Lakueshmëri

Këtu bëhet fjalë për mbështetjen e konfigurimeve të ndryshme, skemave të lidhjeve, topologjive dhe gjëra të tjera. Për shembull, për rrjetet e ndërruara të bazuara në teknologjitë Carrier Ethernet, kjo do të thotë mbështetje për lloje të ndryshme lidhjesh virtuale (E-Line, E-LAN, E-Tree), lloje të ndryshme shërbimesh (si nga porti ashtu edhe nga VLAN) dhe teknologji të ndryshme transporti. (ata janë renditur tashmë më lart). Kjo do të thotë, pajisja duhet të jetë në gjendje të funksionojë si në modalitetin linear ("pikë-në-pikë") dhe në shumë pika, të krijojë tunele të veçanta për VLAN të ndryshëm dhe të lejojë shpërndarjen jashtë rendit të paketave brenda një kanali të sigurt. Aftësia për të zgjedhur mënyra të ndryshme të shifrimit (përfshirë me ose pa vërtetim të përmbajtjes) dhe mënyra të ndryshme të transmetimit të paketave ju lejon të vendosni një ekuilibër midis fuqisë dhe performancës në varësi të kushteve aktuale.

Është gjithashtu e rëndësishme të mbështeten si rrjetet private, pajisjet e të cilave janë në pronësi të një organizate (ose i janë dhënë me qira), ashtu edhe rrjetet e operatorëve, segmente të ndryshme të të cilave menaxhohen nga kompani të ndryshme. Është mirë nëse zgjidhja lejon menaxhimin si brenda ashtu edhe nga një palë e tretë (duke përdorur një model shërbimi të menaxhuar). Në rrjetet e operatorëve, një funksion tjetër i rëndësishëm është mbështetja për shumë qira (ndarje nga klientë të ndryshëm) në formën e izolimit kriptografik të klientëve individualë (abonentëve) trafiku i të cilëve kalon përmes të njëjtit grup të pajisjeve të kriptimit. Kjo zakonisht kërkon përdorimin e grupeve të veçanta të çelësave dhe certifikatave për çdo klient.

Nëse një pajisje blihet për një skenar specifik, atëherë të gjitha këto veçori mund të mos jenë shumë të rëndësishme - thjesht duhet të siguroheni që pajisja mbështet atë që ju nevojitet tani. Por nëse një zgjidhje blihet "për rritje", për të mbështetur edhe skenarët e ardhshëm, dhe zgjidhet si "standardi i korporatës", atëherë fleksibiliteti nuk do të jetë i tepërt - veçanërisht duke marrë parasysh kufizimet në ndërveprimin e pajisjeve nga shitës të ndryshëm ( më shumë për këtë më poshtë).

Thjeshtësia dhe komoditeti

Lehtësia e shërbimit është gjithashtu një koncept multifaktorial. Përafërsisht, mund të themi se kjo është koha totale e shpenzuar nga specialistë të një kualifikimi të caktuar që kërkohet për të mbështetur një zgjidhje në faza të ndryshme të ciklit të saj jetësor. Nëse nuk ka kosto dhe instalimi, konfigurimi dhe funksionimi janë plotësisht automatike, atëherë kostot janë zero dhe komoditeti është absolut. Sigurisht, kjo nuk ndodh në botën reale. Një përafrim i arsyeshëm është një model "nyjë në një tel" (bump-in-the-wire), ose lidhje transparente, në të cilën shtimi dhe çaktivizimi i pajisjeve të enkriptimit nuk kërkon ndonjë ndryshim manual ose automatik në konfigurimin e rrjetit. Në të njëjtën kohë, mirëmbajtja e zgjidhjes është thjeshtuar: mund të aktivizoni dhe çaktivizoni me siguri funksionin e enkriptimit, dhe nëse është e nevojshme, thjesht "anashkaloni" pajisjen me një kabllo rrjeti (d.m.th., lidhni drejtpërdrejt ato porte të pajisjeve të rrjetit në të cilat ishte e lidhur). Vërtetë, ka një pengesë - një sulmues mund të bëjë të njëjtën gjë. Për të zbatuar parimin "nyja në një tel", është e nevojshme të merret parasysh jo vetëm trafiku shtresa e të dhënavePor nivelet e kontrollit dhe menaxhimit – pajisjet duhet të jenë transparente ndaj tyre. Prandaj, një trafik i tillë mund të kodohet vetëm kur nuk ka marrës të këtyre llojeve të trafikut në rrjet midis pajisjeve të enkriptimit, pasi nëse ai hidhet ose kodohet, atëherë kur aktivizoni ose çaktivizoni enkriptimin, konfigurimi i rrjetit mund të ndryshojë. Pajisja e enkriptimit mund të jetë gjithashtu transparente ndaj sinjalizimit të shtresës fizike. Në veçanti, kur një sinjal humbet, ai duhet ta transmetojë këtë humbje (d.m.th., të fikë transmetuesit e tij) përpara dhe mbrapa ("për veten") në drejtim të sinjalit.

Mbështetja në ndarjen e autoritetit ndërmjet departamenteve të sigurisë së informacionit dhe IT-së, në veçanti departamentit të rrjetit, është gjithashtu e rëndësishme. Zgjidhja e enkriptimit duhet të mbështesë modelin e kontrollit të aksesit dhe auditimit të organizatës. Nevoja për ndërveprim ndërmjet departamenteve të ndryshme për të kryer operacione rutinë duhet të minimizohet. Prandaj, ka një avantazh përsa i përket komoditetit për pajisjet e specializuara që mbështesin ekskluzivisht funksionet e enkriptimit dhe janë sa më transparente të jetë e mundur për operacionet e rrjetit. E thënë thjesht, punonjësit e sigurisë së informacionit nuk duhet të kenë arsye të kontaktojnë "specialistët e rrjetit" për të ndryshuar cilësimet e rrjetit. Dhe ata, nga ana tjetër, nuk duhet të kenë nevojë të ndryshojnë cilësimet e kriptimit kur mirëmbajnë rrjetin.

Një faktor tjetër janë aftësitë dhe komoditeti i kontrolleve. Ato duhet të jenë vizuale, logjike, të ofrojnë import-eksportim të cilësimeve, automatizim etj. Duhet t'i kushtoni vëmendje menjëherë se cilat opsione të menaxhimit janë të disponueshme (zakonisht mjedisi i tyre i menaxhimit, ndërfaqja në internet dhe linja e komandës) dhe çfarë grupi funksionesh ka secila prej tyre (ka kufizime). Një funksion i rëndësishëm është mbështetja jashtë brezit kontrolli (jashtë brezit), domethënë përmes një rrjeti të dedikuar kontrolli, dhe në brez kontrolli (në brez), domethënë përmes një rrjeti të përbashkët përmes të cilit transmetohet trafiku i dobishëm. Mjetet e menaxhimit duhet të sinjalizojnë të gjitha situatat jonormale, duke përfshirë incidentet e sigurisë së informacionit. Operacionet rutinë, të përsëritura duhet të kryhen automatikisht. Kjo lidhet kryesisht me menaxhimin kyç. Ato duhet të gjenerohen/shpërndahen automatikisht. Mbështetja e PKI është një plus i madh.

Pajtueshmëri

Kjo është, përputhshmëria e pajisjes me standardet e rrjetit. Për më tepër, kjo do të thotë jo vetëm standarde industriale të miratuara nga organizata autoritare si IEEE, por edhe protokolle të pronarit të liderëve të industrisë, si Cisco. Ekzistojnë dy mënyra kryesore për të siguruar përputhshmërinë: ose përmes transparenca, ose përmes mbështetje të qartë protokollet (kur një pajisje enkriptimi bëhet një nga nyjet e rrjetit për një protokoll të caktuar dhe përpunon trafikun e kontrollit të këtij protokolli). Pajtueshmëria me rrjetet varet nga plotësia dhe korrektësia e zbatimit të protokolleve të kontrollit. Është e rëndësishme të mbështeten opsione të ndryshme për nivelin PHY (shpejtësia, mediumi i transmetimit, skema e kodimit), kornizat Ethernet të formateve të ndryshme me çdo MTU, protokollet e ndryshme të shërbimit L3 (kryesisht familja TCP/IP).

Transparenca sigurohet përmes mekanizmave të mutacionit (ndryshimi i përkohshëm i përmbajtjes së titujve të hapur në trafikun midis enkriptuesve), kapërcimi (kur paketat individuale mbeten të pakriptuara) dhe futja e fillimit të kriptimit (kur fushat e paketave të koduara normalisht nuk janë të koduara).

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Si sigurohet transparenca

Prandaj, gjithmonë kontrolloni saktësisht se si ofrohet mbështetja për një protokoll të caktuar. Shpesh mbështetja në modalitetin transparent është më e përshtatshme dhe e besueshme.

Ndërveprimi

Kjo është gjithashtu pajtueshmëri, por në një kuptim tjetër, domethënë aftësia për të punuar së bashku me modele të tjera të pajisjeve të enkriptimit, duke përfshirë ato nga prodhues të tjerë. Shumë varet nga gjendja e standardizimit të protokolleve të kriptimit. Thjesht nuk ka standarde të pranuara përgjithësisht të kriptimit në L1.

Ekziston një standard 2ae (MACsec) për enkriptimin L802.1 në rrjetet Ethernet, por ai nuk përdor nga fundi në fund (nga fundi në fund), dhe interport, kriptimi "hop-by-hop" dhe në versionin e tij origjinal është i papërshtatshëm për t'u përdorur në rrjetet e shpërndara, kështu që janë shfaqur zgjerimet e tij të pronarit që e kapërcejnë këtë kufizim (natyrisht, për shkak të ndërveprimit me pajisjet nga prodhuesit e tjerë). Vërtetë, në vitin 2018, mbështetja për rrjetet e shpërndara u shtua në standardin 802.1ae, por ende nuk ka mbështetje për grupet e algoritmeve të kriptimit GOST. Prandaj, protokollet pronësore, jo standarde të enkriptimit L2, si rregull, dallohen nga efikasiteti më i madh (në veçanti, sipërfaqja më e ulët e gjerësisë së bandës) dhe fleksibiliteti (aftësia për të ndryshuar algoritmet dhe mënyrat e kriptimit).

Në nivelet më të larta (L3 dhe L4) ekzistojnë standarde të njohura, kryesisht IPsec dhe TLS, por edhe këtu nuk është aq e thjeshtë. Fakti është se secili prej këtyre standardeve është një grup protokollesh, secili me versione dhe zgjerime të ndryshme të kërkuara ose opsionale për zbatim. Përveç kësaj, disa prodhues preferojnë të përdorin protokollet e tyre të enkriptimit në L3/L4. Prandaj, në shumicën e rasteve nuk duhet të mbështeteni në ndërveprim të plotë, por është e rëndësishme që të paktën të sigurohet ndërveprimi midis modeleve të ndryshme dhe gjeneratave të ndryshme të të njëjtit prodhues.

Seriozitet

Për të krahasuar zgjidhje të ndryshme, mund të përdorni ose kohën mesatare midis dështimeve ose faktorin e disponueshmërisë. Nëse këto shifra nuk janë të disponueshme (ose nuk ka besim në to), atëherë mund të bëhet një krahasim cilësor. Pajisjet me menaxhim të përshtatshëm do të kenë një avantazh (më pak rrezik të gabimeve të konfigurimit), enkriptues të specializuar (për të njëjtën arsye), si dhe zgjidhje me kohë minimale për të zbuluar dhe eliminuar një dështim, duke përfshirë mjetet e rezervimit "të nxehtë" të nyjeve të tëra dhe pajisje.

Kosto

Kur bëhet fjalë për koston, si me shumicën e zgjidhjeve të TI-së, ka kuptim të krahasohet kostoja totale e pronësisë. Për ta llogaritur atë, nuk duhet të rishpikni rrotën, por përdorni ndonjë metodologji të përshtatshme (për shembull, nga Gartner) dhe çdo kalkulator (për shembull, ai që përdoret tashmë në organizatë për të llogaritur TCO). Është e qartë se për një zgjidhje të enkriptimit të rrjetit, kostoja totale e pronësisë përbëhet nga e drejtpërdrejtë kostot e blerjes ose marrjes me qira të vetë zgjidhjes, infrastrukturës për pajisjet e pritjes dhe kostot e vendosjes, administrimit dhe mirëmbajtjes (qoftë në shtëpi ose në formën e shërbimeve të palëve të treta), si dhe indirekte kostot nga ndërprerja e zgjidhjeve (të shkaktuara nga humbja e produktivitetit të përdoruesit fundor). Ndoshta ka vetëm një hollësi. Ndikimi i performancës së zgjidhjes mund të konsiderohet në mënyra të ndryshme: ose si kosto indirekte të shkaktuara nga produktiviteti i humbur, ose si kosto direkte "virtuale" të blerjes/përmirësimit dhe mirëmbajtjes së mjeteve të rrjetit që kompensojnë humbjen e performancës së rrjetit për shkak të përdorimit të enkriptimi. Në çdo rast, shpenzimet që janë të vështira për t'u llogaritur me saktësi të mjaftueshme janë më mirë të lihen jashtë llogaritjes: në këtë mënyrë do të ketë më shumë besim në vlerën përfundimtare. Dhe, si zakonisht, në çdo rast, ka kuptim të krahasohen pajisje të ndryshme nga TCO për një skenar specifik të përdorimit të tyre - real ose tipik.

qëndrueshmëri

Dhe karakteristika e fundit është këmbëngulja e zgjidhjes. Në shumicën e rasteve, qëndrueshmëria mund të vlerësohet vetëm në mënyrë cilësore duke krahasuar zgjidhje të ndryshme. Duhet të kujtojmë se pajisjet e kriptimit nuk janë vetëm një mjet, por edhe një objekt mbrojtjeje. Ata mund të jenë të ekspozuar ndaj kërcënimeve të ndryshme. Në ballë janë kërcënimet për shkeljen e konfidencialitetit, riprodhimin dhe modifikimin e mesazheve. Këto kërcënime mund të realizohen nëpërmjet dobësive të kodit ose mënyrave të tij individuale, nëpërmjet dobësive në protokollet e kriptimit (përfshirë në fazat e krijimit të një lidhjeje dhe të gjenerimit/shpërndarjes së çelësave). Avantazhi do të jetë për zgjidhjet që lejojnë ndryshimin e algoritmit të kriptimit ose ndërrimin e modalitetit të shifrimit (të paktën përmes një përditësimi të firmuerit), zgjidhje që ofrojnë kriptim më të plotë, duke fshehur nga sulmuesi jo vetëm të dhënat e përdoruesit, por edhe adresën dhe informacione të tjera shërbimi. , si dhe zgjidhje teknike që jo vetëm enkriptojnë, por edhe mbrojnë mesazhet nga riprodhimi dhe modifikimi. Për të gjitha algoritmet moderne të enkriptimit, nënshkrimet elektronike, gjenerimin e çelësave, etj., të cilat janë të përfshira në standarde, forca mund të supozohet të jetë e njëjtë (përndryshe thjesht mund të humbni në natyrën e kriptografisë). A duhet të jenë këto domosdoshmërisht algoritme GOST? Gjithçka është e thjeshtë këtu: nëse skenari i aplikimit kërkon certifikim FSB për CIPF (dhe në Rusi kjo është më shpesh rasti; për shumicën e skenarëve të enkriptimit të rrjetit kjo është e vërtetë), atëherë ne zgjedhim vetëm midis atyre të certifikuar. Nëse jo, atëherë nuk ka kuptim të përjashtohen pajisjet pa certifikata nga shqyrtimi.

Një kërcënim tjetër është kërcënimi i hakerimit, aksesi i paautorizuar në pajisje (përfshirë aksesin fizik jashtë dhe brenda kasës). Kërcënimi mund të kryhet përmes
dobësitë në implementim - në harduer dhe kod. Prandaj, zgjidhjet me një "sipërfaqe sulmi" minimale përmes rrjetit, me rrethime të mbrojtura nga aksesi fizik (me sensorë të ndërhyrjes, mbrojtje sondë dhe rivendosje automatike të informacionit kryesor kur mbyllja hapet), si dhe ato që lejojnë përditësimet e firmuerit do të kenë një avantazh në rast se një dobësi në kod bëhet e njohur. Ekziston një mënyrë tjetër: nëse të gjitha pajisjet që krahasohen kanë certifikata FSB, atëherë klasa CIPF për të cilën është lëshuar certifikata mund të konsiderohet një tregues i rezistencës ndaj hakimit.

Së fundi, një lloj tjetër kërcënimi janë gabimet gjatë konfigurimit dhe funksionimit, faktori njerëzor në formën e tij më të pastër. Kjo tregon një avantazh tjetër të enkriptuesve të specializuar ndaj zgjidhjeve të konvergjuara, të cilat shpesh synojnë "specialistët e rrjetit" me përvojë dhe mund të shkaktojnë vështirësi për specialistët e përgjithshëm të sigurisë së informacionit "të zakonshëm".

Duke përmbledhur

Në parim, këtu do të ishte e mundur të propozohej një lloj treguesi integral për krahasimin e pajisjeve të ndryshme, diçka e tillë

$$display$$K_j=∑p_i r_{ij}$$display$$

ku p është pesha e treguesit, dhe r është renditja e pajisjes sipas këtij treguesi, dhe çdo nga karakteristikat e listuara më sipër mund të ndahet në tregues "atomikë". Një formulë e tillë mund të jetë e dobishme, për shembull, kur krahasohen propozimet e tenderit sipas rregullave të dakorduara paraprakisht. Por ju mund t'ia dilni me një tavolinë të thjeshtë si

Karakterizim
Pajisja 1
Pajisja 2
...
Pajisja N

kapacitet
+
+

+ + +

Shpenzimet e përgjithshme
+
++

+ + +

vonesë
+
+

++

Shkallëzueshmëria
+ + +
+

+ + +

Lakueshmëri
+ + +
++

+

Ndërveprimi
++
+

+

Pajtueshmëri
++
++

+ + +

Thjeshtësia dhe komoditeti
+
+

++

toleranca ndaj gabimeve
+ + +
+ + +

++

Kosto
++
+ + +

+

qëndrueshmëri
++
++

+ + +

Do të jem i lumtur t'u përgjigjem pyetjeve dhe kritikave konstruktive.

Burimi: www.habr.com

Shto një koment