Почти все преимущества ВОЛС не вызывают сомнений, но тезис о хорошей защищенности волоконно-оптической линии связи требует разъяснений. Определимся, что применительно к ВОЛС это означает невозможность перехвата информации без физического нарушения целостности волоконно-оптической линии и отсутствие паразитных наводок.
В Центре компетенций компании «Открытые технологии» был собран стенд для исследования возможной уязвимости ВОЛС, представляющий собой модель распределенного центра обработки данных. Оптическая магистраль имитировалась кросс-панелью с петлей из разделанного многожильного оптического кабеля для внешней проводки. В качестве перехватчика использовалось пассивное устройство типа «ответвитель-прищепка» FOD 5503. Такое устройство создает микроизгиб в волокне и ответвляет сигнал, который может быть получен через имеющийся патч-корд. В процессе тестирования удалось перехватить сигнал, передаваемый в одном направлении.
Следует отметить, что описанные действия можно выполнить без применения специализированного дорогостоящего инструмента (приемлемая стоимость средств перехвата позволяет их использовать не только организациям, но и частным лицам) и за сравнительно небольшое время. Линии связи остались без разрывов: в процессе подготовки стенда кабель был освобожден лишь от внешних защитных оболочек, а волокна находились в защитном цветном буфере толщиной 250 мкм.
Из результатов эксперимента следует такой вывод: уязвимость ВОЛС доказана на практике. А потому в связи с возможностью компрометации передаваемых данных или их модификации необходимо использовать средства криптографической защиты информации, передаваемой по ВОЛС. Для криптографической защиты следует выбрать средства, которые не вносят существенных временных задержек при криптографическом преобразовании передаваемой/принимаемой информации и обеспечивают шифрование/расшифровку для всего диапазона скоростей передачи данных, характерного для каналов SONET/SDH.
В качестве таких средств были выбраны устройства SafeEnterprise SONET Encryptor компании SafeNet. Они осуществляют шифрование всего трафика SDH на канальном уровне на скорости от ОС-3 (155,5 Мбит/с) до ОС-48 (2,4 Гбит/с). Их применение прозрачно для протоколов вышележащих уровней и, следовательно, не должно вносить существенной задержки в сигнал. Это предположение было решено проверить серией тестов.
Для проведения новой серии испытаний был собран стенд, имитирующий нагрузку на магистраль передачи данных между основным ЦОД и резервным. Оборудование шифрования трафика SafeEnterprise SONET Encryptor OC3/OC12 подключалось к магистрали SDH и обеспечивало прозрачное для конечных устройств шифрование трафика. Для тестирования использовались встроенные средства OS Sun Solaris, которые создавали нагрузку на дисковую подсистему и измеряли ее параметры. Параметры нагрузки варьировались как по видам нагрузки, так и размерам блока передаваемых данных (8 Kбайт и 1 Mбайт). Измерения последовательно проводились для двух конфигураций испытательного стенда: канал 100 Мбит/c с шифрованием и канал с той же пропускной способностью без шифрования.
Сравнение результатов тестов позволило сделать такой вывод: использование аппаратуры шифрования уменьшает пропускную способность канала на 2,46–4,32% при операциях чтения данных с диска и не более чем на 6,15% при операциях записи данных на диск. Таким образом, применение устройств канального шифрования SafeEnterprise SONET Encryptor OC3/OC12 незначительно уменьшает пропускную способность канала SDH (снижение производительности при шифровании по протоколу IPSec составляет, по разным оценкам, от 7 до 30%). Устройства шифрования компании SafeNet позволяют осуществлять криптографическую защиту передаваемых данных без изменения схемы IP-адресации и маршрутизации.
Алексей Филатенков (afilatenkov@ot.ru) — заместитель начальника отдела информационной безопасности компании «Открытые технологии»