ProHoster > Blog > administratë > Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet

E shkrova këtë vlerësim (ose, nëse preferoni, një udhëzues krahasimi) kur më ngarkuan me krahasimin e disa pajisjeve nga shitës të ndryshëm. Për më tepër, këto pajisje i përkisnin klasave të ndryshme të produkteve. Më është dashur të kuptoj arkitekturën dhe specifikimet e të gjitha këtyre pajisjeve dhe të krijoj një "kornizë" për krahasim. Do të isha i lumtur nëse vlerësimi im do të ndihmonte dikë.

  • Kuptoni përshkrimet dhe specifikimet e pajisjeve të enkriptimit
  • Dalloni midis karakteristikave "në letër" dhe atyre që janë vërtet të rëndësishme në jetën reale.
  • Shko përtej grupit të zakonshëm të shitësve dhe përfshi në konsideratë çdo produkt të përshtatshëm për zgjidhjen e detyrës në fjalë.
  • Bërja e pyetjeve të duhura në negociata
  • Përgatitni RFP-të
  • Kuptoni se cilat karakteristika do të duhet të sakrifikoni nëse zgjidhni një model të caktuar pajisjeje

Çfarë mund të vlerësohet

Në parim, kjo qasje është e zbatueshme për çdo pajisje të pavarur të përshtatshme për enkriptimin e trafikut të rrjetit midis segmenteve të largëta të Ethernet-it (enkriptim ndër-vendesh). Këto janë "kuti" në një kuti të veçantë (në rregull, ne do të përfshijmë edhe modulet e shasisë këtu), të cilat janë të lidhura nëpërmjet një ose më shumë portave Ethernet me një rrjet lokal (kampus) Ethernet me trafik të pakriptuar, dhe nëpërmjet një porte/portash të tjera me një kanal/rrjet nëpërmjet të cilit trafiku i enkriptuar transmetohet në segmente të tjera të largëta. Një zgjidhje e tillë enkriptimi mund të vendoset në një rrjet privat ose operatori nëpërmjet llojeve të ndryshme të "transportimit" (fibër e errët, pajisje multipleksimi me ndarje frekuence, rrjete Ethernet të ndërruara, si dhe "pseudo-tela" të vendosura nëpërmjet një rrjeti me një arkitekturë të ndryshme rrugëzimi, më shpesh MPLS), duke përdorur teknologjinë VPN ose pa të.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Enkriptimi i rrjetit në një rrjet të shpërndarë Ethernet

Vetë pajisjet mund të jenë ose i specializuar (i destinuar ekskluzivisht për enkriptim), ose shumëfunksional (hibrid, konvergjent), domethënë, pajisje që kryejnë edhe funksione të tjera (për shembull, një firewall ose router). Shitësit e ndryshëm i klasifikojnë pajisjet e tyre në klasa/kategori të ndryshme, por kjo është e parëndësishme - ajo që ka rëndësi është nëse ata mund të enkriptojnë trafikun ndërfaqësor dhe çfarë karakteristikash kanë.

Për çdo rast, më lejoni t'ju kujtoj se "enkriptimi i rrjetit", "enkriptimi i trafikut" dhe "enkriptues" janë terma joformalë, megjithëse përdoren shpesh. Me shumë mundësi nuk do t'i hasni në dokumentet rregullatore ruse (përfshirë ato që prezantojnë standardet GOST).

Nivelet e enkriptimit dhe mënyrat e transmetimit

Para se të fillojmë të përshkruajmë karakteristikat që do të përdoren për vlerësim, duhet të sqarojmë së pari një gjë të rëndësishme: "niveli i enkriptimit". Kam vënë re se përmendet shpesh si në dokumentet zyrtare të shitësve (përshkrime, manuale, etj.) ashtu edhe në diskutime joformale (në negociata, seanca trajnimi). Ndërsa të gjithë duket se e dinë se çfarë po diskutohet, personalisht kam qenë dëshmitar i njëfarë konfuzioni.

Pra, çfarë është saktësisht një "shtresë enkriptimi"? Me sa duket, po flasim për numrin e shtresës së modelit të referencës së rrjetit OSI/ISO ku ndodh enkriptimi. Le të shohim GOST R ISO 7498-2–99 "Teknologjia e informacionit. Ndërlidhja e Sistemeve të Hapura. Modeli bazë i referencës. Pjesa 2: Arkitektura e sigurisë së informacionit". Nga ky dokument, mund të kuptojmë se shtresa e shërbimit të konfidencialitetit (një nga mekanizmat për të siguruar që është enkriptimi) është shtresa e protokollit, blloku i të dhënave të shërbimit të së cilës ("ngarkesa", të dhënat e përdoruesit) është i enkriptuar. Siç pohon edhe standardi, ky shërbim mund të ofrohet ose në të njëjtën shtresë, brenda vendit, ose përmes një shtrese më të ulët (kjo është, për shembull, mënyra se si zbatohet më shpesh në MACsec).

Në praktikë, ekzistojnë dy mënyra të mundshme për transmetimin e informacionit të koduar përmes një rrjeti (IPsec më vjen menjëherë në mendje, por të njëjtat mënyra gjenden edhe në protokolle të tjera). transport (ndonjëherë quhet edhe native) modaliteti është i enkriptuar vetëm shërbim bllok të dhënash, dhe kokat mbeten "të hapura", të pakriptuara (ndonjëherë shtohen fusha shtesë me informacion shërbimi të algoritmit të enkriptimit, dhe fushat e tjera modifikohen, rillogariten). tunel e njëjta modalitet gjatë gjithë kohës protokoll Blloku i të dhënave (domethënë vetë paketa) është i enkriptuar dhe i enkapsuluar në një bllok të të dhënave të shërbimit të të njëjtit nivel ose më të lartë, domethënë, është i përshtatur me koka të reja.

Vetë niveli i enkriptimit, i kombinuar me një mënyrë të caktuar transmetimi, nuk është as i mirë as i keq, kështu që është e pamundur të thuhet, për shembull, se L3 në modalitetin e transportit është më i mirë se L2 në modalitetin e tunelit. Thjesht shumë karakteristika me të cilat vlerësohen pajisjet varen prej tyre, të tilla si fleksibiliteti dhe përputhshmëria. Funksionimi i rrjetit që përfshin L1 (transmetimin e bitstream-it), L2 (ndërrimin e kornizave) dhe L3 (rrugimin e paketave) në modalitetin e transportit kërkon zgjidhje me enkriptim në të njëjtin nivel ose më të lartë (përndryshe, informacioni i adresimit do të enkriptohet dhe të dhënat nuk do të arrijnë në destinacionin e tyre). Modaliteti i tunelit e kapërcen këtë kufizim (megjithëse në kurriz të karakteristikave të tjera të rëndësishme).

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Modalitetet e enkriptimit L2 të transportit dhe tunelit

Tani le të kalojmë në analizimin e karakteristikave.

prodhimtari

Për enkriptimin e rrjetit, performanca është një koncept kompleks dhe shumëdimensional. Nuk është e pazakontë që një model i caktuar të shkëlqejë në një karakteristikë performance, por të performojë dobët në një tjetër. Prandaj, është gjithmonë e dobishme të merren në konsideratë të gjithë komponentët e performancës së enkriptimit dhe ndikimi i tyre në performancën e rrjetit dhe aplikacioneve që e përdorin atë. Kjo mund të krahasohet me një makinë, ku jo vetëm shpejtësia maksimale është e rëndësishme, por edhe koha e përshpejtimit në 60 mph, konsumi i karburantit e kështu me radhë. Shitësit dhe klientët e tyre potencialë i kushtojnë vëmendje të madhe karakteristikave të performancës. Në mënyrë tipike, shitësit i rendisin linjat e produkteve të pajisjeve të enkriptimit bazuar në performancë.

Është e qartë se performanca varet nga kompleksiteti i operacioneve të rrjetit dhe kriptografisë të kryera në pajisje (duke përfshirë se sa mirë këto detyra i përshtaten paralelizimit dhe tubacionit), si dhe performancës së harduerit dhe cilësisë së firmware-it. Prandaj, modelet e nivelit të lartë përdorin harduer më të fuqishëm, ndonjëherë me mundësinë për ta përmirësuar atë me procesorë dhe module memorie shtesë. Ekzistojnë disa qasje për zbatimin e funksioneve kriptografike: në një njësi qendrore përpunimi (CPU) me qëllim të përgjithshëm, një qark të integruar specifik për aplikacionin (ASIC) ose një matricë portash të programueshme në terren (FPGA). Çdo qasje ka pro dhe kundër. Për shembull, një CPU mund të bëhet një pengesë e enkriptimit, veçanërisht nëse procesorit i mungojnë udhëzime të specializuara për të mbështetur algoritmin e enkriptimit (ose nëse ato nuk përdoren). Çipave të specializuar u mungon fleksibiliteti dhe nuk është gjithmonë e mundur t'i rifreskoni ato për të përmirësuar performancën, për të shtuar veçori të reja ose për të rregulluar dobësitë. Për më tepër, përdorimi i tyre është me kosto efektive vetëm në prodhimin me vëllim të lartë. Kjo është arsyeja pse "mesatarja e artë" - përdorimi i FPGA-ve (ose FPGA-ve në rusisht) - është bërë kaq popullor. FPGA-të përdoren për të ndërtuar të ashtuquajturit përshpejtues kriptosh - module harduerike të specializuara të integruara ose të lidhshme që mbështesin operacionet kriptografike.

Meqenëse po flasim konkretisht për rrjet Nëse po flasim për enkriptimin, është logjike që performanca e zgjidhjeve të matet duke përdorur të njëjtat parametra si pajisjet e tjera të rrjetit: throughput, frame loss dhe latencë. Këta parametra janë përcaktuar në RFC 1242. Rastësisht, ky RFC nuk përmend asgjë në lidhje me luhatjen e përmendur shpesh. Si duhet të maten këta parametra? Nuk kam gjetur ndonjë metodologji specifike për enkriptimin e rrjetit të miratuar në ndonjë standard (zyrtar ose jozyrtar, siç janë RFC-të). Do të ishte logjike të përdoret metodologjia për pajisjet e rrjetit e vendosur në RFC 2544. Shumë shitës e ndjekin atë - shumë, por jo të gjithë. Për shembull, ata dërgojnë trafik testimi vetëm në një drejtim në vend të të dyve, si në rekomandohet standard. Epo mirë.

Matja e performancës së pajisjeve të enkriptimit të rrjetit ka konsideratat e veta specifike. Së pari, është e rëndësishme të kryhen të gjitha matjet në një palë pajisjesh: edhe pse algoritmet e enkriptimit janë simetrike, vonesa dhe humbja e paketave gjatë enkriptimit dhe dekriptimit nuk janë domosdoshmërisht të barabarta. Së dyti, ka kuptim të matet delta - ndikimi i enkriptimit të rrjetit në performancën e përgjithshme të rrjetit - duke krahasuar dy konfigurime: me dhe pa pajisje enkriptimi. Ose, siç është rasti me pajisjet hibride që kombinojnë disa funksione përveç enkriptimit të rrjetit, me enkriptimin të çaktivizuar dhe të aktivizuar. Ky ndikim mund të ndryshojë dhe varet nga skema e lidhjes së pajisjes së enkriptimit, mënyrat e tyre të funksionimit dhe, së fundmi, natyra e trafikut. Në veçanti, shumë parametra të performancës varen nga gjatësia e paketës, prandaj grafikët e këtyre parametrave kundrejt gjatësisë së paketës përdoren shpesh për të krahasuar performancën e zgjidhjeve të ndryshme, ose IMIX - një shpërndarje e trafikut sipas gjatësisë së paketës që pasqyron përafërsisht trafikun real. Nëse krahasojmë të njëjtin konfigurim bazë pa enkriptim, mund të krahasojmë zgjidhjet e enkriptimit të rrjetit të implementuara në mënyra të ndryshme pa u thelluar në ndryshimet: L2 vs. L3, ruaj-dhe-forward vs. cut-through, i specializuar vs. i konvergjuar, GOST vs. AES, e kështu me radhë.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Diagrami i lidhjes për testimin e performancës

Karakteristika e parë që njerëzit i kushtojnë vëmendje është "shpejtësia" e pajisjes së enkriptimit, domethënë, gjerësia e brezit (gjerësia e brezit) të ndërfaqeve të rrjetit të saj, shkalla e bit-it. Përcaktohet nga standardet e rrjetit të mbështetura nga ndërfaqet. Për Ethernet, shifrat e zakonshme janë 1 Gbps dhe 10 Gbps. Por, siç e dimë, në çdo rrjet, maksimumi teorik xhiros (prodhueshmëria) në secilën prej shtresave të saj është gjithmonë më e vogël se gjerësia e brezit: një pjesë e gjerësisë së brezit "hahet" nga intervalet ndërkorniza, kokat e shërbimit e kështu me radhë. Nëse një pajisje është e aftë të marrë, përpunojë (në rastin tonë, të enkriptojë ose dekriptojë) dhe të transmetojë trafik me shpejtësinë e plotë të ndërfaqes së rrjetit, domethënë, me xhiros maksimale teorike për këtë shtresë të modelit të rrjetit, atëherë thuhet se është funksionale. me shpejtësinë e linjësKjo kërkon që pajisja të mos humbasë ose hidhë paketa, pavarësisht nga madhësia ose frekuenca e tyre. Nëse pajisja e enkriptimit nuk mbështet funksionimin me shpejtësi linje, rendimenti i saj maksimal zakonisht specifikohet në gigabit për sekondë (ndonjëherë me gjatësinë e paketës - sa më të shkurtra të jenë paketat, aq më i ulët është rendimenti). Është thelbësore të kuptohet se rendimenti maksimal është maksimumi. asnjë humbje (Edhe nëse pajisja mund të "pompojë" trafikun përmes vetes me një shpejtësi më të lartë, ajo prapë do të humbasë disa paketa.) Është gjithashtu e rëndësishme të theksohet se disa shitës matin rendimentin total midis të gjitha çifteve të portave, kështu që këto shifra kanë pak vlerë nëse i gjithë trafiku i enkriptuar kalon përmes një porte të vetme.

Ku është veçanërisht i rëndësishëm funksionimi me shpejtësi linje (ose, me fjalë të tjera, funksionimi pa humbje paketash)? Në lidhjet me gjerësi të lartë bande dhe latencë të lartë (siç është sateliti), ku mbajtja e shpejtësive të larta të transmetimit kërkon një madhësi të madhe të dritares TCP dhe ku humbja e paketave e zvogëlon ndjeshëm performancën e rrjetit.

Por jo i gjithë brezi i brezit përdoret për të transmetuar të dhëna të dobishme. Duhet të marrim parasysh të ashtuquajturën kostot e përgjithshme Mbingarkesë. Kjo është pjesa e xhiros së pajisjes së enkriptimit (si përqindje ose në bajt për paketë) që në mënyrë efektive shpërdorohet (nuk mund të përdoret për të transmetuar të dhëna të aplikacionit). Mbingarkesa lind, së pari, nga madhësia e rritur (mbushja) e fushës së të dhënave në paketat e rrjetit të enkriptuara (në varësi të algoritmit të enkriptimit dhe mënyrës së tij të funksionimit). Së dyti, nga gjatësia e rritur e kokave të paketave (modaliteti i tunelit, mbingarkesa e protokollit të enkriptimit, mbushja e imitimit, etj., në varësi të mënyrës së funksionimit të protokollit dhe shifrës dhe mënyrës së transmetimit) - këto mbingarkesa janë zakonisht më të rëndësishmet dhe janë të parat që adresohen. Së treti, nga fragmentimi i paketave kur tejkalohet njësia maksimale e transmetimit (MTU) (nëse rrjeti është i aftë të ndajë një paketë që tejkalon MTU në dy, duke dyfishuar kokat e saj). Së katërti, për shkak të shfaqjes së trafikut shtesë të shërbimit (kontrollit) midis pajisjeve të enkriptimit (për shkëmbimin e çelësave, krijimin e tunelit, etj.) në rrjet. Mbingarkesa e ulët është e rëndësishme aty ku gjerësia e brezit të kanalit është e kufizuar. Kjo është veçanërisht e vërtetë për trafikun e paketave të vogla, siç është zëri, ku mbingarkesa mund të konsumojë më shumë se gjysmën e gjerësisë së brezit të kanalit!

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
kapacitet

Së fundi, ka më shumë vonesë futjeje – ndryshimi (në fraksione sekonde) në vonesën e rrjetit (koha që duhet që të dhënat të udhëtojnë nga hyrja në rrjet deri në daljen prej tij) midis transmetimit të të dhënave me dhe pa enkriptimin e rrjetit. Në përgjithësi, sa më e ulët të jetë vonesa e rrjetit, aq më kritike bëhet vonesa e futur nga pajisjet e enkriptimit. Vonesa futet nga vetë operacioni i enkriptimit (i cili varet nga algoritmi i enkriptimit, gjatësia e bllokut dhe mënyra e funksionimit të shifrës, si dhe cilësia e zbatimit të softuerit të tij) dhe përpunimi i paketës së rrjetit në pajisje. Vonesa e futur varet si nga mënyra e përpunimit të paketës (fund-në-fund ose ruaj-dhe-përpara) ashtu edhe nga performanca e platformës (zbatimi i harduerit në FPGA ose ASIC është zakonisht më i shpejtë se zbatimi i softuerit në një CPU). Enkriptimi L2 pothuajse gjithmonë ka vonesë më të ulët të futur krahasuar me enkriptimin L3 ose L4: kjo për shkak të faktit se pajisjet që enkriptojnë në L3/L4 shpesh zbatohen si konvergjente. Për shembull, enkoderët Ethernet me shpejtësi të lartë të implementuar në FPGA dhe që enkriptojnë në nivelin L2 kanë një vonesë shumë të vogël për shkak të enkriptimit - ndonjëherë, aktivizimi i enkriptimit në një palë pajisjesh madje zvogëlon vonesën totale që ato sjellin! Vonesa e ulët është e rëndësishme kur është e krahasueshme me vonesat totale të kanalit, duke përfshirë vonesën e përhapjes së sinjalit, e cila është afërsisht 5 μs për kilometër. Kjo do të thotë që për rrjetet në shkallë qyteti (dhjetëra kilometra të gjera), mikrosekondat mund të bëjnë gjithë ndryshimin. Për shembull, kjo vlen për replikimin sinkron të bazës së të dhënave, tregtimin me frekuencë të lartë dhe blockchain.

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Vonesa e futur

Shkallëzueshmëria

Rrjetet e mëdha të shpërndara mund të përfshijnë mijëra nyje dhe pajisje rrjeti, si dhe qindra segmente të rrjetit lokal. Është e rëndësishme që zgjidhjet e enkriptimit të mos vendosin kufizime shtesë në madhësinë dhe topologjinë e rrjetit të shpërndarë. Kjo kryesisht ka të bëjë me numrin maksimal të adresave të nyjeve dhe rrjetit. Kufizime të tilla mund të hasen, për shembull, kur zbatohet një topologji shumëpikëshe e një rrjeti të enkriptuar (me lidhje të sigurta të pavarura ose tunele) ose enkriptim selektiv (për shembull, sipas numrit të protokollit ose VLAN). Nëse adresat e rrjetit (MAC, IP, ID e VLAN) përdoren si çelësa në një tabelë me një numër të kufizuar rreshtash, këto kufizime bëhen të dukshme.

Për më tepër, rrjetet e mëdha shpesh kanë shtresa të shumëfishta strukturore, duke përfshirë një rrjet kryesor, secila duke zbatuar skemën e vet të adresimit dhe politikën e rrugëzimit. Për të zbatuar këtë qasje, shpesh përdoren formate të specializuara të kornizave (si Q-in-Q ose MAC-in-MAC) dhe protokolle të zbulimit të rrugëve. Për të shmangur pengimin e ndërtimit të rrjeteve të tilla, pajisjet e enkriptimit duhet t'i trajtojnë këto korniza në mënyrë korrekte (d.m.th., shkallëzueshmëria në këtë kuptim do të thotë përputhshmëri - më shumë për këtë më poshtë).

Lakueshmëri

Kjo i referohet mbështetjes për konfigurime të ndryshme, skema lidhjeje, topologji dhe veçori të tjera. Për shembull, për rrjetet e ndërruara bazuar në teknologjitë Carrier Ethernet, kjo do të thotë mbështetje për lloje të ndryshme lidhjesh virtuale (E-Line, E-LAN, E-Tree), lloje të ndryshme shërbimesh (si të bazuara në portë ashtu edhe të bazuara në VLAN) dhe teknologji të ndryshme transporti (të listuara më sipër). Kjo do të thotë që pajisja duhet të jetë në gjendje të funksionojë si në modalitete lineare ("pikë-në-pikë") ashtu edhe në shumë pika, të krijojë tunele të ndara për VLAN të ndryshme dhe të lejojë shpërndarjen e paketave jashtë renditjes brenda një kanali të sigurt. Mundësia për të zgjedhur modalitete të ndryshme të enkriptimit (duke përfshirë me ose pa vërtetim të përmbajtjes) dhe modalitete të ndryshme të transmetimit të paketave lejon një ekuilibër midis sigurisë dhe performancës në varësi të kushteve aktuale.

Mbështetja si për rrjetet private, ku pajisjet janë në pronësi (ose janë me qira) nga një organizatë e vetme, ashtu edhe për rrjetet e operatorëve, ku segmente të ndryshme menaxhohen nga kompani të ndryshme, është gjithashtu e rëndësishme. Është e dobishme nëse zgjidhja mund të menaxhohet si brenda kompanisë ashtu edhe nga një palë e tretë (duke përdorur një model shërbimi të menaxhuar). Një tjetër veçori e rëndësishme në rrjetet e operatorëve është mbështetja për shumë-qiramarrje (përdorim i përbashkët nga klientë të ndryshëm) në formën e izolimit kriptografik të klientëve individualë (pajtimtarëve) trafiku i të cilëve kalon nëpër të njëjtin grup pajisjesh enkriptimi. Kjo zakonisht kërkon përdorimin e grupeve të veçanta të çelësave dhe certifikatave për secilin klient.

Nëse një pajisje po blihet për një skenar specifik, të gjitha këto aftësi mund të mos jenë aq të rëndësishme - thjesht duhet të siguroheni që pajisja mbështet atë që nevojitet tani. Megjithatë, nëse një zgjidhje po blihet për përdorim në të ardhmen, duke përfshirë mbështetjen e skenarëve të ardhshëm, dhe po zgjidhet si një "standard korporativ", fleksibiliteti është një aset i vlefshëm - veçanërisht duke pasur parasysh kufizimet e ndërveprimit midis pajisjeve nga shitës të ndryshëm (më shumë për këtë më poshtë).

Thjeshtësi dhe komoditet

Lehtësia e mirëmbajtjes është gjithashtu një koncept shumëfaktorial. Në vija të trasha, është koha totale e shpenzuar nga specialistët me një kualifikim të caktuar të nevojshëm për të mbështetur një zgjidhje në faza të ndryshme të ciklit të saj jetësor. Nëse nuk ka kosto dhe instalimi, konfigurimi dhe funksionimi janë plotësisht të automatizuara, atëherë kostot janë zero dhe lehtësia e përdorimit është absolute. Sigurisht, kjo nuk ndodh në botën reale. Një përafrim i arsyeshëm është një model. "nyjë në një tel" (bump-in-the-wire), ose lidhja transparente, lejon shtimin dhe çaktivizimin e pajisjeve të enkriptimit pa kërkuar ndonjë ndryshim manual ose automatik në konfigurimin e rrjetit. Kjo thjeshton mirëmbajtjen: ju mund ta aktivizoni dhe çaktivizoni lehtësisht funksionin e enkriptimit dhe, nëse është e nevojshme, thjesht ta "anashkaloni" pajisjen me një kabllo rrjeti (domethënë, të lidhni direkt portat e pajisjeve të rrjetit me të cilat ishte lidhur). Megjithatë, ekziston një pengesë: një sulmues mund të bëjë të njëjtën gjë. Për të zbatuar parimin "bump-in-the-wire", është e nevojshme të merret në konsideratë jo vetëm trafiku shtresa e të dhënavePor shtresat e kontrollit dhe menaxhimit – pajisjet duhet të jenë transparente për to. Prandaj, një trafik i tillë mund të enkriptohet vetëm kur nuk ka marrës të këtij lloji trafiku në rrjet midis pajisjeve të enkriptimit, pasi heqja dorë ose enkriptimi i tij mund të ndryshojë konfigurimin e rrjetit kur aktivizohet ose çaktivizohet enkriptimi. Një pajisje enkriptimi mund të jetë gjithashtu transparente ndaj sinjalizimit në shtresën fizike. Në mënyrë specifike, nëse një sinjal humbet, ajo duhet ta transmetojë këtë humbje (domethënë, të fikë transmetuesit e saj) para dhe mbrapa ("në emër të saj") në drejtim të sinjalit.

Mbështetja për ndarjen e pushteteve midis departamenteve të sigurisë së informacionit dhe IT-së, veçanërisht departamentit të rrjetit, është gjithashtu e rëndësishme. Zgjidhja e enkriptimit duhet të mbështesë modelin e vendosur të menaxhimit të aksesit dhe auditimit të organizatës. Nevoja për bashkëveprim midis departamenteve të ndryshme për operacione rutinë duhet të minimizohet. Prandaj, për sa i përket komoditetit, pajisjet e dedikuara që mbështesin ekskluzivisht funksionet e enkriptimit dhe janë sa më transparente të jetë e mundur për operacionet e rrjetit janë të preferueshme. Thënë thjesht, stafi i sigurisë së informacionit nuk duhet të ketë arsye për të kontaktuar teknikët e rrjetit për të ndryshuar cilësimet e rrjetit. Dhe ata, nga ana tjetër, nuk duhet të kenë nevojë të ndryshojnë cilësimet e enkriptimit kur mirëmbajnë rrjetin.

Një faktor tjetër janë aftësitë dhe përdorshmëria e mjeteve të menaxhimit. Ato duhet të jenë të qarta, logjike, të mbështesin importimin/eksportin e cilësimeve, automatizimin e kështu me radhë. Është e rëndësishme të merren menjëherë në konsideratë opsionet e disponueshme të menaxhimit (zakonisht një mjedis menaxhimi vendas, një ndërfaqe web ose një linjë komande) dhe funksionalitetin e secilit (mund të ketë kufizime). Një veçori e rëndësishme është mbështetja. jashtë brezit kontroll (jashtë brezit), domethënë, përmes një rrjeti të dedikuar kontrolli, dhe brenda brezit Menaxhim (brenda brezit), domethënë, nëpërmjet një rrjeti të përbashkët që mbart trafik të dobishëm. Mjetet e menaxhimit duhet të sinjalizojnë të gjitha situatat anormale, duke përfshirë incidentet e sigurisë së informacionit. Operacionet rutinë dhe të përsëritura duhet të kryhen automatikisht. Kjo vlen kryesisht për menaxhimin e çelësave. Ato duhet të gjenerohen dhe shpërndahen automatikisht. Mbështetja PKI është një plus i madh.

Pajtueshmëri

Domethënë, përputhshmëria e pajisjes me standardet e rrjetit. Kjo i referohet jo vetëm standardeve industriale të miratuara nga organizata autoritative si IEEE, por edhe protokolleve të patentuara nga liderët e industrisë, siç është Cisco. Ekzistojnë dy mënyra themelore për të siguruar përputhshmërinë: ose përmes transparenca, ose përmes mbështetje e qartë protokollet (kur pajisja e enkriptimit bëhet një nga nyjet e rrjetit për një protokoll të caktuar dhe përpunon trafikun e kontrollit të atij protokolli). Pajtueshmëria me rrjetet varet nga plotësia dhe korrektësia e zbatimit të protokolleve të kontrollit. Është e rëndësishme të mbështeten opsione të ndryshme të nivelit PHY (shpejtësia, mediumi i transmetimit, skema e kodimit), kornizat Ethernet të formateve të ndryshme me çdo MTU dhe protokolle të ndryshme shërbimi L3 (kryesisht familja TCP/IP).

Transparenca arrihet nëpërmjet mutacionit (ndryshimi i përkohshëm i përmbajtjes së titujve të qartë në trafikun midis enkriptuesve), anashkalimit (ku paketat individuale lihen të paenkriptuara) dhe mbushjes së fillimit të enkriptimit (ku fushat e paketave të enkriptuara normalisht nuk janë të enkriptuara).

Si të vlerësoni dhe krahasoni pajisjet e enkriptimit Ethernet
Si sigurohet transparenca

Prandaj, gjithmonë sqaroni se si ofrohet saktësisht mbështetja për një protokoll të caktuar. Mbështetja transparente është shpesh më e përshtatshme dhe e besueshme.

Ndërveprimi

Edhe kjo është përputhshmëri, por në një kuptim tjetër: aftësia për të punuar me modele të tjera të pajisjeve të enkriptimit, duke përfshirë ato nga prodhues të tjerë. Shumë varet nga gjendja e standardizimit të protokollit të enkriptimit. Thjesht nuk ka standarde të pranuara përgjithësisht të enkriptimit për L1.

Për enkriptimin L2 në rrjetet Ethernet ekziston një standard 802.1ae (MACsec), por nuk përdor përmes (nga fillimi në fund), dhe interport, enkriptim hop-by-hop, dhe në versionin e tij origjinal, është i papërshtatshëm për përdorim në rrjetet e shpërndara. Prandaj, kanë dalë zgjerime pronësore që e kapërcejnë këtë kufizim (natyrisht, përmes ndërveprimit me pajisjet nga prodhues të tjerë). Megjithëse mbështetja për rrjetet e shpërndara iu shtua standardit 802.1ae në vitin 2018, atij ende i mungon mbështetja për suitat e algoritmeve të enkriptimit GOST. Prandaj, protokollet pronësore, jo-standarde të enkriptimit L2 janë zakonisht më efikase (konkretisht, me mbingarkesë më të ulët të bandwidth-it) dhe më fleksibile (duke lejuar ndërrimin e algoritmeve dhe mënyrave të enkriptimit).

Në nivele më të larta (L3 dhe L4), ekzistojnë standarde të njohura, kryesisht IPsec dhe TLS, por edhe këtu gjërat nuk janë kaq të thjeshta. Secili prej këtyre standardeve është një grup protokollesh, secili me versione të ndryshme dhe zgjerime të detyrueshme ose opsionale. Për më tepër, disa prodhues preferojnë të përdorin protokollet e tyre të enkriptimit pronësor në L3/L4. Prandaj, në shumicën e rasteve, nuk duhet të pritet ndërveprim i plotë, por është e rëndësishme të sigurohet të paktën ndërveprimi midis modeleve të ndryshme dhe brezave të ndryshëm nga i njëjti prodhues.

Seriozitet

Për të krahasuar zgjidhje të ndryshme, mund të përdorni ose kohën mesatare midis dështimeve (MTBF) ose disponueshmërinë. Nëse këto shifra nuk janë të disponueshme (ose nuk janë të besueshme), mund të bëhet një krahasim cilësor. Pajisjet me menaxhim të lehtë (rrezik më i ulët i gabimeve të konfigurimit), enkoderët e specializuar (për të njëjtën arsye) dhe zgjidhjet me kohë minimale të zbulimit të dështimeve dhe rikuperimit, duke përfshirë kopjen rezervë të nyjeve dhe të tëra pajisjeve në gatishmëri të nxehtë, do të jenë të dobishme.

Kosto

Sa i përket kostos, si me shumicën e zgjidhjeve të IT-së, është e dobishme të krahasohet kostoja totale e pronësisë. Për ta llogaritur atë, nuk keni nevojë të shpikni rrotën nga e para; mund të përdorni çdo metodologji të përshtatshme (për shembull, nga Gartner) dhe çdo kalkulator (për shembull, atë që organizata juaj përdor tashmë për të llogaritur TCO-në). Natyrisht, për një zgjidhje të enkriptimit të rrjetit, kostoja totale e pronësisë përbëhet nga: drejt shpenzimet për blerjen ose marrjen me qira të vetë zgjidhjes, për infrastrukturën për strehimin e pajisjeve dhe kostot e vendosjes, administrimit dhe mirëmbajtjes (qoftë vetë ose përmes shërbimeve të palëve të treta), si dhe i tërthortë Kostot nga ndërprerjet e zgjidhjes (të shkaktuara nga humbja e produktivitetit të përdoruesit fundor). Ndoshta ka vetëm një paralajmërim. Ndikimi i performancës së zgjidhjes mund të llogaritet në mënyra të ndryshme: ose si kosto indirekte të shkaktuara nga humbja e produktivitetit, ose si kosto direkte "virtuale" për blerjen/përmirësimin dhe mirëmbajtjen e pajisjeve të rrjetit për të kompensuar humbjen e performancës së rrjetit për shkak të enkriptimit. Sidoqoftë, kostot që janë të vështira për t'u llogaritur me saktësi të mjaftueshme është më mirë të përjashtohen nga llogaritja: kjo do të rrisë besimin në shifrën përfundimtare. Dhe, si gjithmonë, krahasimi i pajisjeve të ndryshme sipas TCO-së ka kuptim për një skenar specifik përdorimi - real ose tipik.

qëndrueshmëri

Karakteristika e fundit është forca e zgjidhjes. Në shumicën e rasteve, forca mund të vlerësohet në mënyrë cilësore vetëm duke krahasuar zgjidhje të ndryshme. Duhet të kujtojmë se pajisjet e enkriptimit nuk janë vetëm mjete, por edhe objekt mbrojtjeje. Ato mund të ekspozohen ndaj kërcënimeve të ndryshme. Kryesoret midis tyre janë kërcënimet ndaj konfidencialitetit, riprodhimit dhe modifikimit të mesazheve. Këto kërcënime mund të realizohen përmes dobësive në shifër ose në mënyrat e tij individuale, ose përmes dobësive në protokollet e enkriptimit (duke përfshirë në fazat e krijimit të lidhjes dhe gjenerimit/shpërndarjes së çelësit). Përparësi do t'u jepen zgjidhjeve që lejojnë ndryshimin e algoritmit të enkriptimit ose ndërrimin e mënyrës së shifrës (të paktën përmes një përditësimi të firmware-it), zgjidhjeve që ofrojnë enkriptimin më të plotë, duke fshehur nga sulmuesit jo vetëm të dhënat e përdoruesit, por edhe adresën dhe informacione të tjera të shërbimit, si dhe zgjidhjeve që jo vetëm enkriptojnë, por edhe mbrojnë mesazhet nga riprodhimi dhe modifikimi. Forca mund të supozohet të jetë e njëjtë për të gjithë algoritmet moderne të enkriptimit, nënshkrimet dixhitale, gjenerimin e çelësave dhe algoritmet e tjera të përfshira në standarde (përndryshe, dikush thjesht mund të humbasë në xhunglën kriptografike). A duhet domosdoshmërisht që këto të jenë algoritme në përputhje me GOST? Është e thjeshtë: nëse aplikacioni kërkon certifikim nga FSB për mjetet e mbrojtjes së informacionit kriptografik (dhe në Rusi, ky është rasti më i shpeshtë - për shumicën e skenarëve të enkriptimit të rrjetit, është), atëherë ne zgjedhim vetëm ato të certifikuara. Nëse jo, atëherë nuk ka kuptim të përjashtohen pajisjet pa certifikim nga shqyrtimi.

Një kërcënim tjetër është hakimi, qasja e paautorizuar në pajisje (duke përfshirë qasjen fizike nga jashtë dhe brenda kutisë). Kërcënimi mund të realizohet përmes
Dobësitë në zbatim - në harduer dhe kod. Prandaj, një avantazh do t'u jepet zgjidhjeve me një sipërfaqe minimale sulmi përmes rrjetit, mbylljeve të mbrojtura nga qasja fizike (me sensorë ndërhyrjeje, mbrojtje kundër hetimit dhe rivendosje automatike të informacionit kyç kur mbyllja hapet), si dhe atyre që lejojnë përditësimet e firmware-it nëse zbulohet një dobësi në kod. Një qasje tjetër: nëse të gjitha pajisjet që krahasohen janë të certifikuara nga FSB, atëherë klasa e mjetit të mbrojtjes së informacionit kriptografik për të cilën është lëshuar certifikata mund të përdoret si një tregues i rezistencës ndaj hakerimit.

Së fundmi, një lloj tjetër kërcënimi janë gabimet e konfigurimit dhe operacioneve - gabimi njerëzor në formën e tij më të pastër. Këtu enkriptuesit e dedikuar dëshmohen të jenë një tjetër avantazh ndaj zgjidhjeve të konvergjuara, të cilat shpesh synojnë profesionistë të rrjetit me përvojë dhe mund të paraqesin sfida për specialistët "e rregullt" të sigurisë së informacionit për qëllime të përgjithshme.

Duke përmbledhur

Në parim, dikush mund të propozojë këtu një lloj treguesi integral për krahasimin e pajisjeve të ndryshme, diçka si

$$shfaq$$K_j=∑p_i r_{ij}$$shfaq$$

ku p është pesha e treguesit dhe r është renditja e pajisjes për këtë tregues. Çdo nga karakteristikat e mësipërme mund të ndahet në tregues "atomikë". Një formulë e tillë mund të jetë e dobishme, për shembull, kur krahasohen propozimet e tenderit sipas rregullave të paracaktuara. Megjithatë, një tabelë e thjeshtë si

Karakterizim
Pajisja 1
Pajisja 2
...
Pajisja N

kapacitet
+
+

+ + +

Shpenzime të përgjithshme
+
++

+ + +

vonesë
+
+

++

Shkallëzueshmëria
+ + +
+

+ + +

Lakueshmëri
+ + +
++

+

Ndërveprimi
++
+

+

Pajtueshmëri
++
++

+ + +

Thjeshtësi dhe komoditet
+
+

++

toleranca ndaj gabimeve
+ + +
+ + +

++

Kosto
++
+ + +

+

qëndrueshmëri
++
++

+ + +

Do të jem i lumtur t'u përgjigjem pyetjeve dhe kritikave konstruktive.

Burimi: www.habr.com

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster