Тесты проходили в рамках мероприятий по предоставлению в 2022 году услуг защищенной передачи данных на магистральных сетях МТС. Интерес к защите трафика при помощи криптографических средств с использованием отечественного оборудования связан с современными тенденциями и требованиями регуляторов
Эта тема особенно актуальна для отраслей критической информационной инфраструктуры (здравоохранение, наука, транспорт, связь, финансы и другие сферы промышленности), для которых необходимы системы, оказывающие минимальное влияние на существующие IT-инфраструктуры – в плане задержек сигнала и уменьшения полосы пропускания, то есть с возможностью сохранять неизменные параметры сети для сервисов.
Для испытаний в московском и питерских ЦОДах мы установили модули шифрования «Квазар-100» и подключили в сеть передачи данных, связывающую два центра. На площадке в Москве был также установлен анализатор трафика, который проверял канал; оттуда канал нагружался и анализировался. В Санкт-Петербурге был организован оптический заворот.
Анализатор трафика
Viavi MTS5800-100G
Испытания проводились по методике RFC 2544 для размеров кадра 64 – 9600 байт. Для оценки влияния «Квазар-100» на канал связи тестирование сперва проходило без установки шифросредства на линию связи, а затем – с его установкой.
Результаты
Испытания показали готовность осуществлять защищенную передачу данных на скоростях магистральных каналов с минимальной потерей пропускной способности – около 0,001%.
Задержка RTT увеличилась на 22,7 микросекунды, то есть 5,675 микросекунды на одно устройство. Это, хоть и немного больше заявленного производителем значения в технических характеристиках (5 микросекунд), не имеет существенного влияния. Например, за 5 микросекунд луч света проходит 1 км по оптическому волокну.
Такие накладные расходы на шифрование и имитозащиту позволяют защищать данные без пересмотра параметров сервисов, работающих на каналах связи.
Автор — Вячеслав Гаврилов, руководитель направления кибербезопасности продуктовых решений МТС.
Комментарии (10)
DYa
29.12.2021 17:19Здравствуйте, выражаю Вам благодарность за Вашу статью!
Не могли ли вы поделиться техническими характеристиками устройства шифрования? Что это: криптошлюз, криптомаршрутиазтор, межсетевой экран с функцией криптозащиты? Или это закрытая информация?
Dzzzen
30.12.2021 14:08https://systempb.ru/catalog/produkty/kvazar-100/
Квазар L1VPN работает на уровне фреймов, IP-адреса он не маршрутизирует и не фильтрует, поэтому такой быстрый.
info_habr Автор
30.12.2021 17:06Здравствуйте!
Информация открыта. Ссылка на СКЗИ https://systempb.ru/catalog/produkty/kvazar-100/
сертификат https://systempb.ru/documets/%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%20%D1%81%D0%BE%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B8%D1%8F%20%D0%A4%D0%A1%D0%91%20%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%A1%D0%A4_124-4128%20%D0%BE%D1%82%2002.09.2021.pdf
и вот даташит https://dropmefiles.com/dIgui
pavel-stepanov
30.12.2021 16:56Я бы на IMIX еще посмотрел, как чипы справляются
MarkevichKirill
30.12.2021 19:16Так весь же спектр пакетов показали. Ну и на 64 байта молотит без просадки. На сайте есть полные отчёты под катом:
MarkevichKirill
30.12.2021 16:56Добрый день!
ТХ Вы можете посмотреть на сайте продуктов компании производителя https://skzi.ru/catalog/kvazar-100/vmsh-tr/
По сути, это телеком оборудование, преобразователь протоколов локальных сетей в протокол передачи по оптическим каналам связи, с функцией шифрования.
ky0
Так, окей. Везде теперь такие ставить будете или чего? Что там по цене в сравнении с зарубежными решениями аналогичной функциональности?
apkotelnikov
Ну с аналогичными зарубежными туго, совсем туго. Тут ГОСТ и сертификат ФСБ и, формально, у нас можно использовать только ГОСТовое шифрование. С точки зрения удобства использования для шифрования тех же ПДН при репликации между ЦОДами, на порядки удобнее континентов и иже с ним. В Российских реалиях для шифрования трафика в рамках ethernet канала точка-точка практически идеальное решение.
info_habr Автор
По установке. Любой проект с использованием магистрального оборудования прорабатывается индивидуально. Это не массмаркет.
Зарубежные решения не поставляют решения с отечественной криптографией. А на отечественном рынке, это пока единственное решение работающее на таких скоростях.