Особенности сетевого взаимодействия CNA

Работа с сетевыми протоколами

Вся работа устройства производится на канальном уровне:

Особенности сетевого взаимодействия CNA

Устройство, производит распознавание протоколов сетевого уровня и шифрует пользовательскую информацию в них.

Изначально устройством поддерживаются протоколы IP и канальные Ethernet, PPPoE, но, благодаря системе пользовательских масок, есть возможность настроить устройство для шифрования информации в любом канальном/сетевом протоколе, инкапсулирующим IP.


Режимы работы CNA

В связи с большим количеством сетевых протоколов и неопределенностью требований, в CNA присутствует возможность определения правил работы устройства с неопределенными протоколами. В рамках данных правил допускаются следующие режимы:

  • «Мягкий» режим работы CNA – производится пропуск неопознанных протоколов без шифрования;
  • «Жёсткий» режим работы CNA – производится автоматическая блокировка неопознанных протоколов;
  • «Отладочный» производится блокировка сетевых пакетов, включая текущий, сетевые пакеты блокируются, а пакет сохраняется в специальный отладочный буфер для последующего анализа сетевым администратором и принятия им решение о создании маски для работы с этим протоколом (шифрования, блокировки, передачи без изменений).

Определение настроек защиты данных.

После нахождения IP протокола в ход вступают локальные параметры настройки защиты данных для конкретных удаленных IP адресов. Параметры настройки CNA позволяют строить сложные и надёжные схемы соединения пользователей между собой.

Так, например, в арсенале CNA имеется возможность настройки шифрования: всего поля данных IP дейтаграмм; только поля данных TCP\UDP пакетов; оба варианта сразу – поля данных TCP\UDP пакетов, если они представлены в текущих пакетах IP, а остальные транспортные протоколы («неизвестные» в частном случае) закрываются шифрованием поля данных IP дейтаграммы.

Кроме того, присутствует возможность инкапсуляции дейтаграмм IP в ESP протокол и в дальнейшем производить не только их шифрование, но и защиту с помощью «маркировки» и проверки целостности (имитовставка).

Имитозащита может быть произведена также и для транспортных протоколов UDP и TCP (последний с учетом использования без Proxy).