29 ноября мы провели испытание защищенного канала на участке Москва — Санкт-Петербург. Для защиты канала связи использовалось средство крипто-имитозащиты на скорости 100 Гбит отечественного производителя ООО «Системы практической безопасности». Как это было —расскажем в нашем посте.
Современные тенденции и требования регуляторов вызвали заинтересованность Заказчиков в защите трафика посредством криптографических средств с использованием отечественной криптографии. Особенно актуально вопрос стоит для отраслей КИИ — здравоохранение, наука, транспорт, связь, финансы, топливно-энергетический комплекс, горнодобывающая, металлургическая, химическая, оборонная, ракетно-космическая промышленность.
Наибольший интерес вызывают системы оказывающие минимальное влияние на существующие ИТ инфраструктуры в плане задержек сигнала и уменьшения полосы пропуская, т.е. с возможностью сохранять параметры сети для сервисов неизменными.
В свете удовлетворения потребностей Заказчиков, были проведены испытания решения Квазар 100 от компании «СПБ». Испытания проводились на действующей магистральной сети.
Для испытаний был собран стенд:
В ЦОДах ПАО «МТС» Москвы и Санкт-Петербурга были установлены модули шифрования «Квазар-100» и подключены в сеть передачи данных связывающую два ЦОДа.
Из ЦОДа в Москве поверенным анализатором трафика канал нагружался и анализировался.
Длина трассы 976 км. DWDM уплотнение. Линия некогерентная, с компенсаторами дисперсии.
Модель — Квазар 100
Производительность — 100Gbit Ethernet (без зависимости от размера клиентского фрейма)
Формат — DCI 1U
Электропитание — 220 В
Класс СКЗИ — КС3
Криптографический алгоритм — ГОСТ Р 34.12-2015 (блочный шифр «Кузнечик»)
Режим шифрования — ГОСТ Р 34.13-2015 (режим гаммирования)
Режим выработки имитовставки — ГОСТ Р 34.13-2015
Ключи — Парные
Сертификат ФСБ — № СФ/124-4128 от 02.09.2021 г.
Viavi MTS5800-100G
На площадке в Москве был установлен анализатор трафика (генерация и анализ трафика), в Санкт-Петербурге был организован оптический заворот.
Испытания проводились по методике RFC 2544 для размеров кадра от 64 до 9600.
Для оценки влияния СКЗИ «Квазар-100» на канал связи был протестирован без установки шифросредства на линию связи, а затем с установкой.
Результаты
Пропускная способность снизилась примерно на 0,001%.
Задержка RTT увеличилась на 22,7 микросекунды. Это 5,675 микросекунды на одно устройство, что хоть и немного больше заявленного производителем значения в технических характеристиках (5 микросекунд), но не имеет существенного влияния. Для примера, за 5 микросекунд луч света проходит 1 км по оптическому волокну.
Испытания на инфраструктуре МТС показали готовность осуществлять защищённую передачу данных на скоростях магистральных каналов с ничтожной потерей пропускной способности и минимальными задержками.
Такие накладные расходы на шифрование и имитозащиту позволяют защищать данные без пересмотра параметров сервисов, работающих на каналах связи.
Отрадно отметить, что данные результаты показал отечественный продукт, использующий криптографический алгоритм последнего поколения — блочный шифр «Кузнечик» ГОСТ Р 34.12-2015.
Для получения дополнительной информации vyacheslav.gavrilov@mts.ru
Вячеслав Гаврилов, руководитель направления кибербезопасности продуктовых решений МТС
Современные тенденции и требования регуляторов вызвали заинтересованность Заказчиков в защите трафика посредством криптографических средств с использованием отечественной криптографии. Особенно актуально вопрос стоит для отраслей КИИ — здравоохранение, наука, транспорт, связь, финансы, топливно-энергетический комплекс, горнодобывающая, металлургическая, химическая, оборонная, ракетно-космическая промышленность.
Наибольший интерес вызывают системы оказывающие минимальное влияние на существующие ИТ инфраструктуры в плане задержек сигнала и уменьшения полосы пропуская, т.е. с возможностью сохранять параметры сети для сервисов неизменными.
В свете удовлетворения потребностей Заказчиков, были проведены испытания решения Квазар 100 от компании «СПБ». Испытания проводились на действующей магистральной сети.
Для испытаний был собран стенд:
В ЦОДах ПАО «МТС» Москвы и Санкт-Петербурга были установлены модули шифрования «Квазар-100» и подключены в сеть передачи данных связывающую два ЦОДа.
Из ЦОДа в Москве поверенным анализатором трафика канал нагружался и анализировался.
Параметры стенда:
ВОЛС:
Длина трассы 976 км. DWDM уплотнение. Линия некогерентная, с компенсаторами дисперсии.
СКЗИ:
Модель — Квазар 100
Производительность — 100Gbit Ethernet (без зависимости от размера клиентского фрейма)
Формат — DCI 1U
Электропитание — 220 В
Класс СКЗИ — КС3
Криптографический алгоритм — ГОСТ Р 34.12-2015 (блочный шифр «Кузнечик»)
Режим шифрования — ГОСТ Р 34.13-2015 (режим гаммирования)
Режим выработки имитовставки — ГОСТ Р 34.13-2015
Ключи — Парные
Сертификат ФСБ — № СФ/124-4128 от 02.09.2021 г.
Анализатор трафика:
Viavi MTS5800-100G
На площадке в Москве был установлен анализатор трафика (генерация и анализ трафика), в Санкт-Петербурге был организован оптический заворот.
Испытания проводились по методике RFC 2544 для размеров кадра от 64 до 9600.
Для оценки влияния СКЗИ «Квазар-100» на канал связи был протестирован без установки шифросредства на линию связи, а затем с установкой.
Результаты
Пропускная способность снизилась примерно на 0,001%.
Задержка RTT увеличилась на 22,7 микросекунды. Это 5,675 микросекунды на одно устройство, что хоть и немного больше заявленного производителем значения в технических характеристиках (5 микросекунд), но не имеет существенного влияния. Для примера, за 5 микросекунд луч света проходит 1 км по оптическому волокну.
Испытания на инфраструктуре МТС показали готовность осуществлять защищённую передачу данных на скоростях магистральных каналов с ничтожной потерей пропускной способности и минимальными задержками.
Такие накладные расходы на шифрование и имитозащиту позволяют защищать данные без пересмотра параметров сервисов, работающих на каналах связи.
Отрадно отметить, что данные результаты показал отечественный продукт, использующий криптографический алгоритм последнего поколения — блочный шифр «Кузнечик» ГОСТ Р 34.12-2015.
Для получения дополнительной информации vyacheslav.gavrilov@mts.ru
Вячеслав Гаврилов, руководитель направления кибербезопасности продуктовых решений МТС