NWOcs 25 мая 2012 в 18:08

Поточное шифрование на скорости 10 Гбит/c? Да. Параллельно

7 мин

12K

Блог компании НеоБИТИнформационная безопасность*

Комментарии 21

yumitsu 25 мая 2012 в 19:01

Я почему-то первым делом вспомнил СОРМ.

bondbig 25 мая 2012 в 22:11

Еще в июле 2011 года появились железки, которые ГОСТ шифруют на 12Гбит/с. На одном устройстве.
А уж про канальное шифрование на всяческих AES-256 на скоростях до 100Гбит/с я вообще молчу.

VicTun 26 мая 2012 в 12:42

Что за железки?

bondbig 27 мая 2012 в 10:13

по п1 — стоуны, например.
по п2 — QCrypt

NWOcs 27 мая 2012 в 16:22

Если вы про www.stonesoft.com/, то насколько я знаю, именно ГОСТ у них до 3 Гбит/с. Или что-то упустил?

bondbig 27 мая 2012 в 18:52

это аккуратно написано на сайте, но в реальной жизни работает вполне себе до 10 и более гигабит.

amarao 25 мая 2012 в 22:41

Уважаемый, вы бы аккуратнее словами «дата-центр» и «DDoS раскидывались. Шифрование от DDoS поможет не больше, чем витамины от холеры. В дата-центр приходит трафик, причём разнородный. Обычно шифрование реализуется на прикладном уровне (так проще выстаивать отношения доверия), а ситуации, когда нужно шифровать весь трафик site-to-site — редкость и скорее относятся к махровому энтерпрайзу.

NWOcs 27 мая 2012 в 16:25

Про DDoS это было в контексте использования Crossbeam вообще, а не к шифрованию конкретно.
А подобное шифрование можно реализовывать, допустим, для VPN.

xiWera 26 мая 2012 в 00:01

Эээ, а причем тут «цпу хотплаг» и неравномерная загрузка?! :-O

NWOcs 27 мая 2012 в 16:44

Проблема в том, что прерывания обрабатываются одним ядром.
Вот здесь можно прочитать про это и решение этого:
www.alexonlinux.com/smp-affinity-and-proper-interrupt-handling-in-linux

xiWera 28 мая 2012 в 02:25

да, а хотплаг то причем? :)

kyprizel 26 мая 2012 в 02:57

т.е. связка bigip + checkpoint перестает работать, когда:
• вы хотите легко и непринужденно переконфигурировать настройки средств защиты (изменить правила межсетевого экрана, добавить IP-адреса в VPN и пр.);
• вы хотите незаметно добавить еще один экземпляр средства защиты;
• у вас падает один или, что еще хуже, сразу несколько экземпляров средств защиты.

а если падает один ваш ящик, который колбасит 10Гб/с, то это всё продолжает работать?

платформа, безусловно, перспективная, но в чем смысл использовать ее под банальное программное шифрование ГОСТом, который в железе очень быстр.

NWOcs 27 мая 2012 в 16:49

Её вообще не имеет смысла использовать для чего-то одного. Если вам нужна одна СОВ, так её и ставьте отдельно, если одна шифровалка, то её одну. А вот если вы хотите решение для интегрирования шифровалки, СОВ, МЭ и всего другого, то она как раз для вас.

Dipodidae 13 июн 2012 в 17:46

Модульная архитектура и должна в какой-то степени предохранять от полного выпадения железки из работы, но конечно от полного пропадания по питанию не защищает.

javamain 26 мая 2012 в 05:29

Мне всегда было интересно, а кто покупатель таких штук?

Maratyszcza 26 мая 2012 в 06:09

Любой процессор с AES-NI может шифровать 10 ГБит/с не особо напрягаясь.

amarao 26 мая 2012 в 08:18

Ну, если честно, 1.5ГБ/с — это не «не напрягаясь». Четверть пропускной способности только copypaste в память съест.

NWOcs 27 мая 2012 в 16:31

Ну, до ГОСТ-NI нам ещё далеко.

Maratyszcza 27 мая 2012 в 18:44

А вам шашечки или ехать?

merlin-vrn 27 мая 2012 в 18:51

> многие производители сильно модифицируют ядро Linux для своего аппаратного обеспечения, не предоставляя исходные тексты для возможности пересборки. И Crossbeam в их числе

В GPL violations уже сообщили?

0din 20 мар 2013 в 19:36

А вы не пробовали то же самое сделать на сервере, например с CPU Intel Xeon E5 серии и сетевыми адаптерами Intel I350 или Х520 серий? При этом «прибив» жестко очеди сетевой карты к нужному ядру и посмотреть на результат.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий