ProHoster > Blog > Pangangasiwa > Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device

Isinulat ko ang pagsusuring ito (o, kung gusto mo, isang gabay sa paghahambing) noong ako ay naatasang maghambing ng ilang device mula sa iba't ibang vendor. Bilang karagdagan, ang mga device na ito ay kabilang sa iba't ibang klase. Kailangan kong maunawaan ang arkitektura at katangian ng lahat ng mga device na ito at lumikha ng isang "coordinate system" para sa paghahambing. Ako ay magiging masaya kung ang aking pagsusuri ay makakatulong sa isang tao:

  • Unawain ang mga paglalarawan at pagtutukoy ng mga device sa pag-encrypt
  • Ibahin ang mga katangian ng "papel" sa mga talagang mahalaga sa totoong buhay
  • Higit pa sa karaniwang hanay ng mga vendor at isama sa pagsasaalang-alang ang anumang mga produkto na angkop para sa paglutas ng problema
  • Magtanong ng mga tamang tanong sa panahon ng negosasyon
  • Gumuhit ng mga kinakailangan sa tender (RFP)
  • Unawain kung anong mga katangian ang kailangang isakripisyo kung pipiliin ang isang partikular na modelo ng device

Ano ang maaaring masuri

Sa prinsipyo, ang diskarte ay naaangkop sa anumang mga standalone na device na angkop para sa pag-encrypt ng trapiko sa network sa pagitan ng malalayong mga segment ng Ethernet (cross-site encryption). Iyon ay, "mga kahon" sa isang hiwalay na kaso (okay, isasama rin namin ang mga blades/modules para sa chassis dito), na konektado sa pamamagitan ng isa o higit pang mga Ethernet port sa lokal (campus) Ethernet network na may hindi naka-encrypt na trapiko, at sa pamamagitan ng isa pang (mga) port sa channel/network kung saan ipinapadala ang naka-encrypt na trapiko sa iba pang malalayong segment. Ang ganitong solusyon sa pag-encrypt ay maaaring i-deploy sa isang pribado o operator network sa pamamagitan ng iba't ibang uri ng "transportasyon" (dark fiber, frequency division equipment, switched Ethernet, pati na rin ang "pseudowires" na inilatag sa pamamagitan ng isang network na may ibang routing architecture, kadalasang MPLS ), mayroon o walang teknolohiya ng VPN.

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Network encryption sa isang distributed Ethernet network

Ang mga device mismo ay maaaring alinman dalubhasa (inilaan ng eksklusibo para sa pag-encrypt), o multifunctional (hybrid, convergent), iyon ay, gumaganap din ng iba pang mga function (halimbawa, isang firewall o router). Inuuri ng iba't ibang vendor ang kanilang mga device sa iba't ibang klase/kategorya, ngunit hindi ito mahalaga - ang mahalaga lang ay kung maaari nilang i-encrypt ang cross-site na trapiko, at kung anong mga katangian ang mayroon sila.

Kung sakali, ipaalala ko sa iyo na ang "network encryption", "traffic encryption", "encryptor" ay mga impormal na termino, bagama't madalas itong ginagamit. Malamang na hindi mo mahahanap ang mga ito sa mga regulasyon ng Russia (kabilang ang mga nagpapakilala sa mga GOST).

Mga antas ng pag-encrypt at mga mode ng paghahatid

Bago natin simulan ang paglalarawan ng mga katangian mismo na gagamitin para sa pagsusuri, kailangan muna nating maunawaan ang isang mahalagang bagay, katulad ng "antas ng pag-encrypt". Napansin ko na madalas itong binabanggit sa mga opisyal na dokumento ng vendor (sa mga paglalarawan, manual, atbp.) at sa mga impormal na talakayan (sa mga negosasyon, mga pagsasanay). Ibig sabihin, parang alam na alam ng lahat ang pinag-uusapan natin, pero personal kong nasaksihan ang ilang kalituhan.

Kaya ano ang isang "antas ng pag-encrypt"? Malinaw na pinag-uusapan natin ang bilang ng OSI/ISO reference network model layer kung saan nangyayari ang pag-encrypt. Nabasa namin ang GOST R ISO 7498-2–99 “Teknolohiya ng impormasyon. Pagkakaugnay ng mga bukas na sistema. Pangunahing modelo ng sanggunian. Bahagi 2. Arkitektura ng seguridad ng impormasyon.” Mula sa dokumentong ito ay mauunawaan na ang antas ng serbisyo ng pagiging kumpidensyal (isa sa mga mekanismo para sa pagbibigay ng kung saan ay ang pag-encrypt) ay ang antas ng protocol, ang bloke ng data ng serbisyo ("payload", data ng gumagamit) na kung saan ay naka-encrypt. Tulad ng nakasulat din sa pamantayan, ang serbisyo ay maaaring ibigay pareho sa parehong antas, "sa sarili nitong," at sa tulong ng isang mas mababang antas (ito ay kung paano, halimbawa, ito ay madalas na ipinatupad sa MACsec) .

Sa pagsasagawa, posible ang dalawang mode ng pagpapadala ng naka-encrypt na impormasyon sa isang network (kaagad na naiisip ang IPsec, ngunit ang parehong mga mode ay matatagpuan din sa iba pang mga protocol). SA transportasyon (minsan tinatawag ding native) mode ay naka-encrypt lamang serbisyo block ng data, at ang mga header ay nananatiling "bukas", hindi naka-encrypt (kung minsan ang mga karagdagang field na may impormasyon ng serbisyo ng algorithm ng pag-encrypt ay idinagdag, at ang iba pang mga field ay binago at muling kinakalkula). SA lagusan same mode lahat protocol ang data block (iyon ay, ang packet mismo) ay naka-encrypt at naka-encapsulated sa isang service data block ng pareho o mas mataas na antas, iyon ay, ito ay napapalibutan ng mga bagong header.

Ang antas ng pag-encrypt mismo kasama ng ilang transmission mode ay hindi mabuti o masama, kaya hindi masasabi, halimbawa, na ang L3 sa transport mode ay mas mahusay kaysa sa L2 sa tunnel mode. Marami lang sa mga katangian kung saan sinusuri ang mga device ay nakasalalay sa kanila. Halimbawa, flexibility at compatibility. Upang magtrabaho sa isang network na L1 (bit stream relay), L2 (frame switching) at L3 (packet routing) sa transport mode, kailangan mo ng mga solusyon na naka-encrypt sa pareho o mas mataas na antas (kung hindi, ang impormasyon ng address ay i-encrypt at ang data ay hindi maabot ang nilalayon nitong patutunguhan), at nalampasan ng tunnel mode ang limitasyong ito (bagaman sinasakripisyo ang iba pang mahahalagang katangian).

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Transport at tunnel L2 encryption mode

Ngayon ay magpatuloy tayo sa pagsusuri ng mga katangian.

Pagiging Produktibo

Para sa pag-encrypt ng network, ang pagganap ay isang kumplikado, multidimensional na konsepto. Nangyayari na ang isang tiyak na modelo, habang nakahihigit sa isang katangian ng pagganap, ay mas mababa sa isa pa. Samakatuwid, palaging kapaki-pakinabang na isaalang-alang ang lahat ng mga bahagi ng pagganap ng pag-encrypt at ang kanilang epekto sa pagganap ng network at ang mga application na gumagamit nito. Dito maaari tayong gumuhit ng isang pagkakatulad sa isang kotse, kung saan hindi lamang ang pinakamataas na bilis ay mahalaga, kundi pati na rin ang oras ng pagbilis sa "daan-daan", pagkonsumo ng gasolina, at iba pa. Ang mga kumpanya ng vendor at ang kanilang mga potensyal na customer ay binibigyang pansin ang mga katangian ng pagganap. Bilang panuntunan, niraranggo ang mga device sa pag-encrypt batay sa performance sa mga linya ng vendor.

Malinaw na ang pagganap ay nakadepende kapwa sa pagiging kumplikado ng networking at cryptographic na mga operasyon na isinagawa sa device (kabilang ang kung gaano kahusay ang mga gawaing ito ay maaaring parallelize at pipelined), pati na rin sa pagganap ng hardware at ang kalidad ng firmware. Samakatuwid, ang mga mas lumang modelo ay gumagamit ng mas produktibong hardware; kung minsan ay posible na magbigay ng mga karagdagang processor at memory module. Mayroong ilang mga diskarte sa pagpapatupad ng mga cryptographic function: sa isang general-purpose central processing unit (CPU), application-specific integrated circuit (ASIC), o field-programmable logic integrated circuit (FPGA). Ang bawat diskarte ay may mga kalamangan at kahinaan. Halimbawa, ang CPU ay maaaring maging isang encryption bottleneck, lalo na kung ang processor ay walang mga espesyal na tagubilin upang suportahan ang encryption algorithm (o kung hindi sila ginagamit). Ang mga espesyal na chip ay walang kakayahang umangkop; hindi laging posible na "i-reflash" ang mga ito upang mapabuti ang pagganap, magdagdag ng mga bagong function, o alisin ang mga kahinaan. Bilang karagdagan, ang kanilang paggamit ay nagiging kumikita lamang sa malalaking dami ng produksyon. Iyon ang dahilan kung bakit ang "ginintuang ibig sabihin" ay naging napakapopular - ang paggamit ng FPGA (FPGA sa Russian). Sa mga FPGA ginawa ang tinatawag na mga crypto accelerators - built-in o plug-in na espesyal na mga module ng hardware para sa pagsuporta sa mga cryptographic na operasyon.

Since pinag-uusapan natin network encryption, lohikal na ang pagganap ng mga solusyon ay dapat masukat sa parehong dami tulad ng para sa iba pang mga network device - throughput, porsyento ng pagkawala ng frame at latency. Ang mga halagang ito ay tinukoy sa RFC 1242. Sa pamamagitan ng paraan, walang nakasulat tungkol sa madalas na binabanggit na pagkakaiba-iba ng pagkaantala (jitter) sa RFC na ito. Paano sukatin ang mga dami na ito? Wala akong nakitang pamamaraan na naaprubahan sa anumang mga pamantayan (opisyal o hindi opisyal tulad ng RFC) partikular para sa pag-encrypt ng network. Magiging lohikal na gamitin ang pamamaraan para sa mga network device na nakasaad sa pamantayan ng RFC 2544. Maraming mga vendor ang sumusunod dito - marami, ngunit hindi lahat. Halimbawa, nagpapadala sila ng pansubok na trapiko sa isang direksyon lamang sa halip na pareho, tulad ng inirekomenda pamantayan. Anyway.

Ang pagsukat sa pagganap ng mga network encryption device ay mayroon pa ring sariling mga katangian. Una, tama na isagawa ang lahat ng mga sukat para sa isang pares ng mga aparato: kahit na ang mga algorithm ng pag-encrypt ay simetriko, ang mga pagkaantala at pagkawala ng packet sa panahon ng pag-encrypt at pag-decryption ay hindi nangangahulugang pantay. Pangalawa, makatuwirang sukatin ang delta, ang epekto ng pag-encrypt ng network sa panghuling pagganap ng network, paghahambing ng dalawang mga pagsasaayos: nang walang mga aparatong naka-encrypt at kasama nila. O, tulad ng kaso sa mga hybrid na device, na pinagsasama ang ilang mga function bilang karagdagan sa pag-encrypt ng network, na naka-off at naka-on ang pag-encrypt. Maaaring magkaiba ang impluwensyang ito at depende sa scheme ng koneksyon ng mga device sa pag-encrypt, sa mga operating mode, at panghuli, sa likas na katangian ng trapiko. Sa partikular, maraming mga parameter ng pagganap ang nakasalalay sa haba ng mga packet, kaya naman, upang ihambing ang pagganap ng iba't ibang mga solusyon, ang mga graph ng mga parameter na ito depende sa haba ng mga packet ay kadalasang ginagamit, o ginagamit ang IMIX - ang pamamahagi ng trapiko sa pamamagitan ng packet haba, na tinatayang sumasalamin sa tunay. Kung ihahambing natin ang parehong pangunahing pagsasaayos nang walang pag-encrypt, maaari nating ihambing ang mga solusyon sa pag-encrypt ng network na ipinatupad nang naiiba nang hindi napupunta sa mga pagkakaibang ito: L2 sa L3, store-and-forward ) na may cut-through, dalubhasa sa convergent, GOST sa AES at iba pa.

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Diagram ng koneksyon para sa pagsubok sa pagganap

Ang unang katangian na binibigyang pansin ng mga tao ay ang "bilis" ng aparato ng pag-encrypt, iyon ay bandwidth (bandwidth) ng mga interface ng network nito, bit flow rate. Ito ay tinutukoy ng mga pamantayan ng network na sinusuportahan ng mga interface. Para sa Ethernet, ang karaniwang mga numero ay 1 Gbps at 10 Gbps. Ngunit, tulad ng alam natin, sa anumang network ang maximum na teoretikal throughput (throughput) sa bawat antas nito ay palaging may mas kaunting bandwidth: bahagi ng bandwidth ay "kinakain" ng mga interframe na pagitan, mga header ng serbisyo, at iba pa. Kung ang isang aparato ay may kakayahang tumanggap, magproseso (sa aming kaso, mag-encrypt o mag-decrypting) at magpadala ng trapiko sa buong bilis ng interface ng network, iyon ay, na may pinakamataas na teoretikal na throughput para sa antas na ito ng modelo ng network, kung gayon ito ay sinabi para magtrabaho sa bilis ng linya. Upang gawin ito, kinakailangan na ang aparato ay hindi mawawala o itapon ang mga packet sa anumang laki at sa anumang dalas. Kung ang aparato ng pag-encrypt ay hindi sumusuporta sa operasyon sa bilis ng linya, kung gayon ang maximum na throughput nito ay karaniwang tinukoy sa parehong gigabits bawat segundo (kung minsan ay nagpapahiwatig ng haba ng mga packet - mas maikli ang mga packet, mas mababa ang karaniwang throughput). Napakahalagang maunawaan na ang maximum na throughput ay ang maximum walang lugi (kahit na ang aparato ay maaaring "mag-pump" ng trapiko sa sarili nito sa isang mas mataas na bilis, ngunit sa parehong oras ay nawawala ang ilang mga packet). Gayundin, magkaroon ng kamalayan na ang ilang mga vendor ay sumusukat sa kabuuang throughput sa pagitan ng lahat ng mga pares ng mga port, kaya ang mga numerong ito ay hindi gaanong ibig sabihin kung ang lahat ng naka-encrypt na trapiko ay dumadaan sa isang port.

Saan lalong mahalaga ang pagpapatakbo sa bilis ng linya (o, sa madaling salita, nang walang pagkawala ng packet)? Sa high-bandwidth, high-latency na mga link (tulad ng satellite), kung saan ang isang malaking TCP window size ay dapat itakda upang mapanatili ang mataas na bilis ng transmission, at kung saan ang packet loss ay kapansin-pansing binabawasan ang pagganap ng network.

Ngunit hindi lahat ng bandwidth ay ginagamit upang maglipat ng kapaki-pakinabang na data. Kailangan nating umasa sa tinatawag na mga gastos sa overhead (overhead) bandwidth. Ito ang bahagi ng throughput ng encryption device (bilang isang porsyento o byte bawat packet) na aktuwal na nasayang (hindi magagamit para maglipat ng data ng application). Ang mga gastos sa overhead ay lumitaw, una, dahil sa pagtaas sa laki (dagdag, "pagpupuno") ng field ng data sa mga naka-encrypt na packet ng network (depende sa algorithm ng pag-encrypt at mode ng pagpapatakbo nito). Pangalawa, dahil sa pagtaas ng haba ng mga packet header (tunnel mode, service insertion ng encryption protocol, simulation insertion, atbp. depende sa protocol at mode ng operasyon ng cipher at transmission mode) - kadalasan ang mga overhead na gastos na ito ay ang pinakamahalaga, at sila ay nagbibigay-pansin muna. Pangatlo, dahil sa fragmentation ng mga packet kapag nalampasan ang maximum data unit size (MTU) (kung magagawa ng network na hatiin ang isang packet na lumampas sa MTU sa dalawa, na duplikahin ang mga header nito). Pang-apat, dahil sa paglitaw ng karagdagang serbisyo (kontrol) trapiko sa network sa pagitan ng mga encryption device (para sa key exchange, pag-install ng tunnel, atbp.). Mahalaga ang mababang overhead kung saan limitado ang kapasidad ng channel. Ito ay lalo na maliwanag sa trapiko mula sa maliliit na packet, halimbawa, boses – kung saan ang mga gastos sa overhead ay maaaring “kumain” ng higit sa kalahati ng bilis ng channel!

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Throughput

Sa wakas, meron pa ipinakilala ang pagkaantala – ang pagkakaiba (sa mga fraction ng isang segundo) sa pagkaantala ng network (ang oras na kinakailangan para sa data na dumaan mula sa pagpasok sa network hanggang sa pag-alis nito) sa pagitan ng paghahatid ng data nang wala at may network encryption. Sa pangkalahatan, mas mababa ang latency ("latency") ng network, mas nagiging kritikal ang latency na ipinakilala ng mga encryption device. Ang pagkaantala ay ipinakilala ng mismong operasyon ng pag-encrypt (depende sa algorithm ng pag-encrypt, haba ng block at mode ng pagpapatakbo ng cipher, pati na rin sa kalidad ng pagpapatupad nito sa software), at ang pagproseso ng packet ng network sa device . Ang latency na ipinakilala ay depende sa parehong packet processing mode (pass-through o store-and-forward) at ang pagganap ng platform (ang pagpapatupad ng hardware sa isang FPGA o ASIC ay karaniwang mas mabilis kaysa sa pagpapatupad ng software sa isang CPU). Ang L2 encryption ay halos palaging may mas mababang latency kaysa sa L3 o L4 encryption, dahil sa ang katunayan na ang L3/L4 encryption device ay madalas na pinagsasama-sama. Halimbawa, sa mga high-speed Ethernet encryptors na ipinatupad sa mga FPGA at pag-encrypt sa L2, ang pagkaantala dahil sa operasyon ng pag-encrypt ay napakaliit - minsan kapag pinagana ang pag-encrypt sa isang pares ng mga device, ang kabuuang pagkaantala na ipinakilala ng mga ito ay bumababa pa! Ang mababang latency ay mahalaga kung saan ito ay maihahambing sa pangkalahatang pagkaantala ng channel, kabilang ang pagkaantala ng pagpapalaganap, na humigit-kumulang 5 μs bawat kilometro. Iyon ay, maaari nating sabihin na para sa mga network na nasa urban-scale (sampu-sampung kilometro sa kabuuan), ang mga microsecond ay maaaring magpasya ng maraming. Halimbawa, para sa kasabay na pagtitiklop ng database, high-frequency trading, ang parehong blockchain.

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Ipinakilala ang pagkaantala

Scalability

Maaaring magsama ang malalaking distributed network ng maraming libu-libong node at network device, daan-daang mga segment ng lokal na network. Mahalaga na ang mga solusyon sa pag-encrypt ay hindi nagpapataw ng mga karagdagang paghihigpit sa laki at topology ng ibinahagi na network. Nalalapat ito lalo na sa maximum na bilang ng mga address ng host at network. Ang mga naturang limitasyon ay maaaring makaharap, halimbawa, kapag nagpapatupad ng multipoint na naka-encrypt na topology ng network (na may mga independiyenteng secure na koneksyon, o mga tunnel) o pumipili na pag-encrypt (halimbawa, sa pamamagitan ng protocol number o VLAN). Kung sa kasong ito ang mga address ng network (MAC, IP, VLAN ID) ay ginagamit bilang mga susi sa isang talahanayan kung saan limitado ang bilang ng mga hilera, lilitaw ang mga paghihigpit na ito dito.

Bilang karagdagan, ang mga malalaking network ay madalas na may ilang mga structural layer, kabilang ang pangunahing network, na ang bawat isa ay nagpapatupad ng sarili nitong addressing scheme at sarili nitong patakaran sa pagruruta. Para ipatupad ang diskarteng ito, kadalasang ginagamit ang mga espesyal na format ng frame (gaya ng Q-in-Q o MAC-in-MAC) at mga routing protocol. Upang hindi makahadlang sa pagtatayo ng naturang mga network, ang mga device sa pag-encrypt ay dapat na hawakan nang tama ang mga naturang frame (iyon ay, sa ganitong kahulugan, ang scalability ay nangangahulugang compatibility - higit pa sa ibaba).

Kakayahang umangkop

Dito pinag-uusapan natin ang pagsuporta sa iba't ibang mga pagsasaayos, mga scheme ng koneksyon, mga topolohiya at iba pang mga bagay. Halimbawa, para sa mga lumipat na network batay sa mga teknolohiya ng Carrier Ethernet, nangangahulugan ito ng suporta para sa iba't ibang uri ng mga virtual na koneksyon (E-Line, E-LAN, E-Tree), iba't ibang uri ng serbisyo (parehong sa pamamagitan ng port at VLAN) at iba't ibang mga teknolohiya sa transportasyon (nakalista na sila sa itaas). Ibig sabihin, ang device ay dapat na gumana sa parehong linear ("point-to-point") at multipoint mode, magtatag ng hiwalay na mga tunnel para sa iba't ibang VLAN, at payagan ang out-of-order na paghahatid ng mga packet sa loob ng isang secure na channel. Ang kakayahang pumili ng iba't ibang mga cipher mode (kabilang ang mayroon o walang pagpapatunay ng nilalaman) at iba't ibang mga mode ng paghahatid ng packet ay nagbibigay-daan sa iyo na magkaroon ng balanse sa pagitan ng lakas at pagganap depende sa kasalukuyang mga kondisyon.

Mahalaga rin na suportahan ang parehong mga pribadong network, na ang kagamitan ay pagmamay-ari ng isang organisasyon (o inuupahan dito), at mga network ng operator, na ang iba't ibang mga segment ay pinamamahalaan ng iba't ibang kumpanya. Mabuti kung pinapayagan ng solusyon ang pamamahala sa loob at ng third party (gamit ang modelo ng pinamamahalaang serbisyo). Sa mga network ng operator, ang isa pang mahalagang function ay suporta para sa multi-tenancy (pagbabahagi ng iba't ibang mga customer) sa anyo ng cryptographic na paghihiwalay ng mga indibidwal na customer (mga subscriber) na ang trapiko ay dumadaan sa parehong hanay ng mga encryption device. Karaniwang nangangailangan ito ng paggamit ng magkakahiwalay na hanay ng mga susi at certificate para sa bawat customer.

Kung ang isang device ay binili para sa isang partikular na senaryo, kung gayon ang lahat ng mga tampok na ito ay maaaring hindi napakahalaga - kailangan mo lamang tiyakin na ang aparato ay sumusuporta sa kung ano ang kailangan mo ngayon. Ngunit kung ang isang solusyon ay binili "para sa paglago", upang suportahan din ang mga sitwasyon sa hinaharap, at pipiliin bilang isang "pamantayan ng korporasyon", kung gayon ang kakayahang umangkop ay hindi magiging labis - lalo na isinasaalang-alang ang mga paghihigpit sa interoperability ng mga aparato mula sa iba't ibang mga vendor ( higit pa tungkol dito sa ibaba).

Ang pagiging simple at kaginhawaan

Ang kadalian ng serbisyo ay isa ring multifactorial na konsepto. Tinatayang, maaari nating sabihin na ito ang kabuuang oras na ginugol ng mga espesyalista ng isang partikular na kwalipikasyon na kinakailangan upang suportahan ang isang solusyon sa iba't ibang yugto ng ikot ng buhay nito. Kung walang mga gastos, at ang pag-install, pagsasaayos, at pagpapatakbo ay ganap na awtomatiko, kung gayon ang mga gastos ay zero at ang kaginhawaan ay ganap. Siyempre, hindi ito nangyayari sa totoong mundo. Ang isang makatwirang approximation ay isang modelo "buhol sa isang wire" (bump-in-the-wire), o transparent na koneksyon, kung saan ang pagdaragdag at hindi pagpapagana ng mga encryption device ay hindi nangangailangan ng anumang manu-mano o awtomatikong pagbabago sa configuration ng network. Kasabay nito, ang pagpapanatili ng solusyon ay pinasimple: maaari mong ligtas na i-on at i-off ang function ng pag-encrypt, at kung kinakailangan, "bypass" lamang ang aparato gamit ang isang network cable (iyon ay, direktang ikonekta ang mga port ng kagamitan sa network kung saan ito ay konektado). Totoo, may isang sagabal - ang isang umaatake ay maaaring gawin ang parehong. Upang ipatupad ang prinsipyo ng "node sa isang wire", kinakailangang isaalang-alang hindi lamang ang trapiko layer ng datapero mga layer ng kontrol at pamamahala – dapat na transparent sa kanila ang mga device. Samakatuwid, ang naturang trapiko ay maaaring i-encrypt lamang kapag walang mga tatanggap ng mga ganitong uri ng trapiko sa network sa pagitan ng mga aparato ng pag-encrypt, dahil kung ito ay itinapon o na-encrypt, kung gayon kapag pinagana mo o hindi pinagana ang pag-encrypt, ang pagsasaayos ng network ay maaaring magbago. Ang encryption device ay maaari ding maging transparent sa physical layer signaling. Sa partikular, kapag nawala ang isang signal, dapat nitong ihatid ang pagkawalang ito (iyon ay, patayin ang mga transmitters nito) pabalik-balik (“para sa sarili nito”) sa direksyon ng signal.

Ang suporta sa paghahati ng awtoridad sa pagitan ng seguridad ng impormasyon at mga departamento ng IT, lalo na ang departamento ng network, ay mahalaga din. Dapat suportahan ng solusyon sa pag-encrypt ang modelo ng kontrol sa pag-access at pag-audit ng organisasyon. Ang pangangailangan para sa pakikipag-ugnayan sa pagitan ng iba't ibang mga departamento upang maisagawa ang mga nakagawiang operasyon ay dapat mabawasan. Samakatuwid, mayroong isang kalamangan sa mga tuntunin ng kaginhawahan para sa mga dalubhasang aparato na eksklusibong sumusuporta sa mga function ng pag-encrypt at kasing transparent hangga't maaari sa mga pagpapatakbo ng network. Sa madaling salita, ang mga empleyado ng seguridad ng impormasyon ay dapat na walang dahilan upang makipag-ugnayan sa "mga espesyalista sa network" upang baguhin ang mga setting ng network. At ang mga iyon, sa turn, ay hindi dapat magkaroon ng pangangailangan na baguhin ang mga setting ng pag-encrypt kapag pinapanatili ang network.

Ang isa pang kadahilanan ay ang mga kakayahan at kaginhawahan ng mga kontrol. Dapat silang maging visual, lohikal, magbigay ng import-export ng mga setting, automation, at iba pa. Dapat mong bigyang-pansin kaagad kung anong mga opsyon sa pamamahala ang magagamit (kadalasan ang kanilang sariling kapaligiran sa pamamahala, web interface at command line) at kung anong hanay ng mga function ang mayroon ang bawat isa sa kanila (may mga limitasyon). Ang isang mahalagang function ay suporta out-of-band (out-of-band) na kontrol, iyon ay, sa pamamagitan ng nakalaang control network, at in-band (in-band) na kontrol, iyon ay, sa pamamagitan ng isang karaniwang network kung saan ipinapadala ang kapaki-pakinabang na trapiko. Ang mga tool sa pamamahala ay dapat magpahiwatig ng lahat ng hindi normal na sitwasyon, kabilang ang mga insidente sa seguridad ng impormasyon. Ang mga nakagawian, paulit-ulit na operasyon ay dapat na awtomatikong gumanap. Pangunahing nauugnay ito sa pangunahing pamamahala. Dapat silang mabuo/mapamahagi nang awtomatiko. Ang suporta ng PKI ay isang malaking plus.

Pagkakatugma

Iyon ay, ang pagiging tugma ng device sa mga pamantayan ng network. Bukod dito, nangangahulugan ito hindi lamang mga pamantayang pang-industriya na pinagtibay ng mga awtoritatibong organisasyon tulad ng IEEE, kundi pati na rin ang mga proprietary protocol ng mga pinuno ng industriya, tulad ng Cisco. Mayroong dalawang pangunahing paraan upang matiyak ang pagiging tugma: alinman sa pamamagitan ng transparency, o sa pamamagitan ng tahasang suporta mga protocol (kapag ang isang encryption device ay naging isa sa mga network node para sa isang partikular na protocol at pinoproseso ang control traffic ng protocol na ito). Ang pagiging tugma sa mga network ay nakasalalay sa pagkakumpleto at kawastuhan ng pagpapatupad ng mga control protocol. Mahalagang suportahan ang iba't ibang mga opsyon para sa antas ng PHY (bilis, transmission medium, encoding scheme), Ethernet frames ng iba't ibang format sa anumang MTU, iba't ibang L3 service protocol (pangunahin ang TCP/IP family).

Tinitiyak ang transparency sa pamamagitan ng mga mekanismo ng mutation (pansamantalang binabago ang mga nilalaman ng mga bukas na header sa trapiko sa pagitan ng mga encryptor), paglaktaw (kapag nananatiling hindi naka-encrypt ang mga indibidwal na packet) at indentation ng simula ng pag-encrypt (kapag hindi naka-encrypt ang mga karaniwang naka-encrypt na field ng mga packet).

Paano Suriin at Paghambingin ang Mga Ethernet Encryption Device
Paano tinitiyak ang transparency

Samakatuwid, palaging suriin nang eksakto kung paano ibinibigay ang suporta para sa isang partikular na protocol. Kadalasan ang suporta sa transparent na mode ay mas maginhawa at maaasahan.

Interoperability

Ito rin ay pagiging tugma, ngunit sa ibang kahulugan, lalo na ang kakayahang magtrabaho kasama ng iba pang mga modelo ng mga device sa pag-encrypt, kabilang ang mga mula sa iba pang mga tagagawa. Malaki ang nakasalalay sa estado ng standardisasyon ng mga protocol ng pag-encrypt. Walang karaniwang tinatanggap na mga pamantayan sa pag-encrypt sa L1.

Mayroong 2ae (MACsec) na pamantayan para sa L802.1 encryption sa mga Ethernet network, ngunit hindi ito gumagamit dulo hanggang dulo (end-to-end), at interport, "hop-by-hop" na pag-encrypt, at sa orihinal na bersyon nito ay hindi angkop para sa paggamit sa mga ipinamamahaging network, kaya ang mga proprietary extension nito ay lumitaw na nagtagumpay sa limitasyong ito (siyempre, dahil sa interoperability sa kagamitan mula sa iba pang mga tagagawa). Totoo, noong 2018, ang suporta para sa mga distributed network ay idinagdag sa 802.1ae standard, ngunit wala pa ring suporta para sa GOST encryption algorithm sets. Samakatuwid, ang pagmamay-ari, hindi pamantayang L2 encryption protocol, bilang panuntunan, ay nakikilala sa pamamagitan ng higit na kahusayan (sa partikular, mas mababang bandwidth overhead) at flexibility (ang kakayahang baguhin ang mga algorithm at mode ng pag-encrypt).

Sa mas mataas na antas (L3 at L4) may mga kinikilalang pamantayan, pangunahin ang IPsec at TLS, ngunit dito rin ito ay hindi gaanong simple. Ang katotohanan ay ang bawat isa sa mga pamantayang ito ay isang hanay ng mga protocol, bawat isa ay may iba't ibang bersyon at mga extension na kinakailangan o opsyonal para sa pagpapatupad. Bilang karagdagan, ginusto ng ilang mga tagagawa na gamitin ang kanilang mga proprietary encryption protocol sa L3/L4. Samakatuwid, sa karamihan ng mga kaso hindi ka dapat umasa sa kumpletong interoperability, ngunit ito ay mahalaga na hindi bababa sa pakikipag-ugnayan sa pagitan ng iba't ibang mga modelo at iba't ibang henerasyon ng parehong tagagawa ay natiyak.

Pagkamaaasahan

Para ihambing ang iba't ibang solusyon, maaari mong gamitin ang alinman sa mean time sa pagitan ng mga pagkabigo o availability factor. Kung ang mga numerong ito ay hindi magagamit (o walang tiwala sa kanila), kung gayon ang isang husay na paghahambing ay maaaring gawin. Ang mga device na may maginhawang pamamahala ay magkakaroon ng kalamangan (mas mababang panganib ng mga error sa pagsasaayos), mga dalubhasang encryptor (para sa parehong dahilan), pati na rin ang mga solusyon na may kaunting oras upang matukoy at maalis ang isang pagkabigo, kabilang ang paraan ng "mainit" na backup ng buong node at mga device.

Gastos

Pagdating sa gastos, tulad ng karamihan sa mga solusyon sa IT, makatuwirang ihambing ang kabuuang halaga ng pagmamay-ari. Upang kalkulahin ito, hindi mo kailangang muling likhain ang gulong, ngunit gumamit ng anumang naaangkop na pamamaraan (halimbawa, mula sa Gartner) at anumang calculator (halimbawa, ang isa na ginagamit na sa organisasyon upang kalkulahin ang TCO). Malinaw na para sa isang solusyon sa pag-encrypt ng network, ang kabuuang halaga ng pagmamay-ari ay binubuo ng magdirekta mga gastos sa pagbili o pagrenta ng solusyon mismo, imprastraktura para sa pagho-host ng mga kagamitan at mga gastos sa pag-deploy, pangangasiwa at pagpapanatili (kung nasa bahay man o sa anyo ng mga serbisyo ng third-party), pati na rin hindi direkta mga gastos mula sa downtime ng solusyon (sanhi ng pagkawala ng pagiging produktibo ng end-user). Marahil ay mayroon lamang isang subtlety. Ang epekto sa pagganap ng solusyon ay maaaring isaalang-alang sa iba't ibang paraan: alinman bilang hindi direktang mga gastos na dulot ng pagkawala ng produktibidad, o bilang "virtual" na direktang gastos sa pagbili/pag-upgrade at pagpapanatili ng mga tool sa network na bumabagay sa pagkawala ng pagganap ng network dahil sa paggamit ng pag-encrypt. Sa anumang kaso, ang mga gastos na mahirap kalkulahin nang may sapat na katumpakan ay pinakamainam na iwanan sa pagkalkula: sa ganitong paraan magkakaroon ng higit na kumpiyansa sa panghuling halaga. At, gaya ng dati, sa anumang kaso, makatuwirang ihambing ang iba't ibang device ng TCO para sa isang partikular na senaryo ng kanilang paggamit - totoo o karaniwan.

Ang pagtitiyaga

At ang huling katangian ay ang pagtitiyaga ng solusyon. Sa karamihan ng mga kaso, ang tibay ay maaari lamang masuri nang husay sa pamamagitan ng paghahambing ng iba't ibang solusyon. Dapat nating tandaan na ang mga aparato sa pag-encrypt ay hindi lamang isang paraan, kundi isang bagay din ng proteksyon. Maaaring malantad sila sa iba't ibang banta. Nasa unahan ang mga banta ng paglabag sa pagiging kumpidensyal, pagpaparami at pagbabago ng mga mensahe. Ang mga banta na ito ay maaaring matanto sa pamamagitan ng mga kahinaan ng cipher o ng mga indibidwal na mode nito, sa pamamagitan ng mga kahinaan sa mga protocol ng pag-encrypt (kabilang ang mga yugto ng pagtatatag ng koneksyon at pagbuo/pamamahagi ng mga key). Ang kalamangan ay para sa mga solusyon na nagpapahintulot sa pagbabago ng algorithm ng pag-encrypt o paglipat ng cipher mode (kahit sa pamamagitan ng pag-update ng firmware), mga solusyon na nagbibigay ng pinaka kumpletong pag-encrypt, pagtatago mula sa umaatake hindi lamang sa data ng user, kundi pati na rin sa address at iba pang impormasyon ng serbisyo , pati na rin ang mga teknikal na solusyon na hindi lamang naka-encrypt, ngunit pinoprotektahan din ang mga mensahe mula sa pagpaparami at pagbabago. Para sa lahat ng modernong encryption algorithm, electronic signature, key generation, atbp., na nakalagay sa mga pamantayan, ang lakas ay maaaring ipagpalagay na pareho (kung hindi, maaari kang mawala sa wild ng cryptography). Dapat bang mga GOST algorithm ang mga ito? Ang lahat ay simple dito: kung ang application scenario ay nangangailangan ng FSB certification para sa CIPF (at sa Russia ito ang kadalasang nangyayari; para sa karamihan ng network encryption scenario ito ay totoo), pagkatapos ay pumili lamang kami sa pagitan ng mga sertipikado. Kung hindi, walang saysay ang pagbubukod ng mga device na walang mga sertipiko mula sa pagsasaalang-alang.

Ang isa pang banta ay ang banta ng pag-hack, hindi awtorisadong pag-access sa mga device (kabilang ang pamamagitan ng pisikal na pag-access sa labas at loob ng kaso). Ang pagbabanta ay maaaring isagawa sa pamamagitan ng
mga kahinaan sa pagpapatupad - sa hardware at code. Samakatuwid, ang mga solusyon na may kaunting "attack surface" sa pamamagitan ng network, na may mga enclosure na protektado mula sa pisikal na pag-access (na may mga intrusion sensor, probing protection at awtomatikong pag-reset ng pangunahing impormasyon kapag binuksan ang enclosure), pati na rin ang mga nagpapahintulot sa mga update ng firmware ay magkakaroon. isang kalamangan kung sakaling malaman ang isang kahinaan sa code. May isa pang paraan: kung ang lahat ng mga aparato na inihambing ay may mga sertipiko ng FSB, kung gayon ang klase ng CIPF kung saan inilabas ang sertipiko ay maaaring ituring na isang tagapagpahiwatig ng paglaban sa pag-hack.

Sa wakas, ang isa pang uri ng pagbabanta ay ang mga error sa panahon ng pag-setup at pagpapatakbo, ang kadahilanan ng tao sa pinakadalisay nitong anyo. Nagpapakita ito ng isa pang bentahe ng mga dalubhasang encryptor kumpara sa mga pinagsama-samang solusyon, na kadalasang naglalayong sa mga batikang "espesyalista sa network" at maaaring magdulot ng mga paghihirap para sa "ordinaryo", pangkalahatang mga espesyalista sa seguridad ng impormasyon.

Summing up

Sa prinsipyo, dito posible na magmungkahi ng ilang uri ng mahalagang tagapagpahiwatig para sa paghahambing ng iba't ibang mga aparato, tulad ng

$$display$$K_j=∑p_i r_{ij}$$display$$

kung saan ang p ay ang bigat ng tagapagpahiwatig, at ang r ay ang ranggo ng aparato ayon sa tagapagpahiwatig na ito, at alinman sa mga katangiang nakalista sa itaas ay maaaring hatiin sa mga "atomic" na tagapagpahiwatig. Ang ganitong pormula ay maaaring maging kapaki-pakinabang, halimbawa, kapag naghahambing ng mga panukalang malambot ayon sa mga paunang napagkasunduang panuntunan. Ngunit maaari kang makakuha ng sa pamamagitan ng isang simpleng talahanayan tulad ng

Paglalarawan
Device 1
Device 2
...
Device N

Throughput
+
+

+ + +

Mga overhead
+
++

+ + +

Pag-antala
+
+

++

Scalability
+ + +
+

+ + +

Kakayahang umangkop
+ + +
++

+

Interoperability
++
+

+

Pagkakatugma
++
++

+ + +

Ang pagiging simple at kaginhawaan
+
+

++

pagpaparaya sa kasalanan
+ + +
+ + +

++

Gastos
++
+ + +

+

Ang pagtitiyaga
++
++

+ + +

Ako ay magiging masaya na sagutin ang mga tanong at nakabubuo na pagpuna.

Pinagmulan: www.habr.com

Magdagdag ng komento