Lokalny mostek

Krakowska ABA opracowała urządzenie przeznaczone do bezpiecznego łączenia sieci lokalnych

Krakowska ABA opracowała urządzenie przeznaczone do bezpiecznego łączenia sieci lokalnych.

ABA SecureBridge służy do tworzenia szyfrowanych połączeń między sieciami LAN poprzez dowolną sieć komputerową (LAN lub WAN) wykorzystującą proto-kół IP. Urządzenie może być stosowane do zabezpieczenia transmisji pomiędzy wydzielonymi fragmentami szkieletów sieci korporacyjnych lub łączenia oddziałowych sieci LAN poprzez sieci rozległe. Podstawowa różnica pomiędzy SecureBridge a routerem szyfrującym dotyczy warstwy sieciowej, w której działają urządzenia - most funkcjonuje w warstwie drugiej, router zaś w warstwie trzeciej.

"Połączenie dwóch sieci LAN za pośrednictwem SecureBridge następuje w warstwie łącza danych i nie jest uzależnione od protokołów warstw wyższych. Jednocześnie ABA SecureBridge spełnia wymagania standardu IEEE 802.1D" - tłumaczy Tomasz Barbaszewski, prezes firmy ABA. Według niego urządzenie nie jest jednak alternatywą dla szyfratora OPTIMUS ABA IPsec Gateway, ponieważ nie dysponuje certyfikatem wydanym przez ABW.

W drugiej warstwie

Wykorzystanie urządzenia działającego w drugiej warstwie sieciowej sprawia, że nie są potrzebne modyfikacje programów użytkowych. Nie ma konieczności dokonywania zmian w konfiguracji łączonych sieci ani wprowadzania dodatkowych adresów czy domyślnych bram. Działanie ABA SecureBridge pozostaje niezauważalne dla użytkowników - jest niezależne od protokołów warstwy sieciowej (np. TCP/IP, IPX/SXP czy AppleTalk). Pozwala to na przekazywanie wszystkich transmisji sieciowych, w tym także ruchu rozgłoszeniowego (broadcast).

W wersji standardowej ABA SecureBridge jest wyposażony w dwa interfejsy Fast Ethernet - jeden służy do podłączenia segmentu sieci Ethernet, drugi powinien być podłączony do urządzenia transmisyjnego, np. routera lub urządzenia radiowego wykorzystującego protokół IP.

Urządzenie podłączane do sieci LAN jest rozpoznawane jako Ethernet Bridge. Wiąże się to z automatycznym utworzeniem tablicy lokalnie dostępnych adresów MAC. Jeśli urządzenie odbierze ramkę, która jest przeznaczona dla adresu niedostępnego lokalnie, kompresuje ją, następnie szyfruje i umieszcza dane w pakiecie IP i wysyła go za pomocą interfejsu sieciowego do drugiego urządzenia SecureBridge, gdzie odbywa się proces odwrotny. Dzięki takiej konstrukcji nie ma konieczności uzgadniania schematów adresacji IP po obu stronach mostu - adresy w obu lokalizacjach mogą się dublować. Jeśli w sieci pracuje urządzenie firewall, konieczne jest otwarcie portu o numerze 5000 dla TCP lub UDP zależnie od wybranego protokołu transmisji.

Poziom kompresji ramek Ethernet może być ustalany zgodnie ze specyfiką posiadanego łącza. Dostępnych jest dziewięć poziomów kompresji. Administrator może wybrać enkapsulację danych w pakietach UDP lub TCP. Urządzenia ABA pozwalają ponadto na ograniczenie pasma, które będzie wykorzystywane do transmisji danych między łączonymi sieciami LAN, co jest przydatne, jeśli łącze wykorzystywane przez most jest równolegle stosowane np. jako łącze do Internetu.

Zero administracji

Mostem bezpieczniej - ABA SecureBridge tworzy bepieczny pomost między sieciami LANMaksymalna wydajność ABA SecureBridge sięga ok. 70 b/s i nie wprowadza zauważalnych opóźnień w sieci Fast Ethernet. Urządzenie ma prosty mechanizm QoS (Quality of Service), który pozwala na zdefiniowanie maksymalnego pasma wykorzystywanego przez most. Jak twierdzi producent, urządzenia SecureBridge nie wymagają w trakcie eksploatacji żadnych czynności administracyjnych. "Wepnij do sieci i zapomnij" - reklamuje swój produkt Tomasz Barbaszewski.

Uwierzytelnienie urządzeń jest dokonywane przy użyciu haseł wprowadzonych do obu urządzeń przez administratora (Shared Secret Authentication). Urządzenia uwierzytelniają się wzajemnie za pomocą mechanizmu Challenge- Response.

Transmisja danych pomiędzy parą urządzeń jest szyfrowana z wykorzystaniem algorytmu blokowego o długości klucza sesji 128 bitów z algorytmem szyfrującym Blowfish. O zastosowaniu tego algorytmu zadecydowała jego wydajność na sprzęcie PC. "Blowfish wymaga średnio jedynie 18 cyklów zegarowych do zaszyfrowania jednego bajta, a więc o wiele mniej niż inne algorytmy: RC5, DES, IDEA czy 3DES" - wyjaśnia Tomasz Barbaszewski.

Podczas prac projektowych nad ABA SecureBridge zwracano szczególną uwagę na zabezpieczanie połączeń w sieciach szkieletowych. Dlatego wydajność szyfrowania ma bardzo istotne znaczenie. Z tego względu zastosowano klucz sesji o długości 128 bitów. Zdaniem inżynierów ABA - optymalny pod względem prędkości szyfrowania i poziomu bezpieczeństwa.

Czarna skrzynka

ABA SecureBridge wykorzystuje typową platformę sprzętową stosowaną do budowy standardowych komputerów PC. Urządzenie nie jest wyposażane w monitor, klawiaturę ani mysz. Nie ma także żadnych napędów. Działa pod kontrolą systemu operacyjnego Embedded Linux rezydującego w pamięci Flash o pojemności 8 MB.

Sterowanie parametrami pracy SecureBridge odbywa się za pośrednictwem terminalu znakowego lub komputera pracującego w trybie emulacji terminalu znakowego podłączonego do portu RS232.

ABA oferuje produkt w dwóch wersjach. Pierwsza - Standard to typowy komputer PC wyposażony w odpowiednie oprogramowanie. Jego cena wynosi ok. 2,6 tys. zł. Ponad dwukrotnie droższa jest wersja przeznaczona do montażu w szafie przemysłowej (urządzenie zajmuje 1U). ABA wykorzystała specjalizowaną platformę sprzętową tajwańskiej firmy Iwill (stosowaną m.in. na potrzeby dedykowanych urządzeń oferowanych przez Symanteca). Główną zaletą tej wersji jest jej wysoka niezawodność.

Cena wynosi 5,4 tys. zł.