Усиление защиты сетей с помощью аппаратного шифрования

Несмотря на выделение значительных средств, направленных на защиту данных, сохранение конфиденциальной информации от внешних угроз является первоочередной целью компаний. Злоумышленники совершенствуют свои средства перехвата передаваемых данных путем внедрения в сети специальных устройств либо анализа Wi-Fi трафика. Надежным средством противодействия таким угрозам является шифрование данных.

Компания Cisco предлагает целый ряд маршрутизаторов, роутеров, точек доступа, сетевых экранов, шифрование в которых реализовано на аппаратном уровне. Важно, что использование данной функции защищает не только трафик в сети от анализа и перехвата, но и гарантирует защиту от взлома самого устройства.

Оборудование Cisco использует следующие условные обозначения для устройств с шифрованием – приставка K7 говорит, что устройство работает под управлением IOS с вырезанными функциями аппаратного шифрования NPE (NO PAYLOAD ENCRYPTION). Приставка K8 свидетельствует о наличии шифрования с использованием слабых ключей до 56 бит с поддержкой IPSEC VPN на уровне AES, DES. Однако их слабые ключи могут быть взломаны современными средствами. Гарантированную защиту обеспечивают устройства с приставкой K9.

Алгоритмы шифрования CISCO K9

В оборудовании Cisco K9 используются криптостойкие алгоритмы шифрования, которые обеспечивают максимальную защиту сети. Обычно используется алгоритм 3DES (Triple DES), последние модели устройств могут включать алгоритм AES, который является более быстрой модификацией последнего.

Для шифрования используется ключ RSA-240, что гарантирует его взломостойкость на современном уровне развития вычислительных систем. Чтобы его взломать, необходима затратить не менее 4000 вычислительных лет. Теоретически, полный перебор ключа может быть произведен, однако защищаемая информация к тому времени станет неактуальной. Увеличение сложности ключа увеличивает его взломостойкость, однако и уменьшает производительность.

Конечно, абсолютной защиты от взлома не существует, следует выбрать компромиссный вариант, который зависит от времени актуальности шифруемой информации, производительности и надежности.
Устройство шифрует не только проходящий через него пользовательский трафик, но и управленческий, включая файл конфигурации и настроек. Также защищается сетевое подключение от перехвата данных.

Покупка и лицензирование

При приобретении маршрутизатора либо сетевого экрана с приставкой K9 за рубежом с целью дальнейшей перепродажи вам необходимо будет дополнительно приобрести специальную лицензию в ФСБ. Однако покупка оборудования в магазине на территории РФ не накладывает каких-либо ограничений на право его использования.

Определитесь, какие именно функции в устройстве вам необходимы. Политика лицензирования Cisco такова, что на рынке можно найти две практически одинаковые модели, отличающиеся лишь версией прошивки.
Например, Wi-Fi роутеры CISCO871W-G-J-K9 и CISCO861-K9 отличаются лишь объемом флеш-памяти, однако значительной разницей в стоимости.

Подключаем лицензию K9 на оборудование K8

Если у вас имеется маршрутизатор Cisco K8, и вы хотите повысить защищенность вашей сети, то вовсе не обязательно приобретать новое оборудование, вполне официально на него можно установить лицензию Cisco K9 и использовать алгоритм шифрования 3DES.

Для этого зарегистрируйтесь на официальном сайте Cisco, перейдите в раздел «Product License Registration», далее во вкладке «Get Other Licenses» выбираем IPS, Crypto, Other, затем тип лицензии «Crypto ASA 3DES/AES License».

Crypto ASA 3DES/AES License

На следующем шаге нужно ввести серийный номер устройства. Он указывается на корпусе либо можно узнать командой в консоли «Show version» либо «Show Serial».

Crypto ASA 3DES/AES License

Через несколько часов на ваш почтовый ящик придет ключ активации, который нужно активировать через консоль устройства командой ciscoasa# [код активации из письма]. После активации следует перезагрузить устройство.

06 Февраля 2020 г.