22 октября, понедельник 15:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Wi-Fi в банке

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Wi-Fi в банке

    Уважаемые коллеги!
    Хочется послушать Ваше мнение относительно Wi-Fi в банке. Именно с позиции информационной безопасности. Есть ли какие-нибудь документы, регламентирующие необходимые условия для осуществления такого проекта? Требования? Или подобное?
    Начальство требует дать заключение по безопасности такого проекта и необходимых условий для его внедрения именно с позиции инф.безопасности.

  • #2
    Рассмотрите другую альтернативу, более безопасную - передачу данных через бытовую сеть. Безопасность Wi-Fi с точки зрения конфиденциальности обеспечить можно, но вот действие внешних факторов (вопрос доступности)- здесь будет на первом месте.

    Комментарий


    • #3
      Сообщение от МЯУка Посмотреть сообщение
      Уважаемые коллеги!
      Хочется послушать Ваше мнение относительно Wi-Fi в банке. Именно с позиции информационной безопасности. Есть ли какие-нибудь документы, регламентирующие необходимые условия для осуществления такого проекта? Требования? Или подобное?
      Начальство требует дать заключение по безопасности такого проекта и необходимых условий для его внедрения именно с позиции инф.безопасности.
      Достаточно информации по уязвимости протоколов беспроводных сетей можете найти на сайте www.itsec.ru.
      Для эффективной защиты беспроводной сети могу предложить Вам использовать наше средство: СЗИ "VPN "Панцирь" для ОС Windows 2000/XP/2003/Vista".
      Если есть интерес, напишите мне на адрес info@npp-itb.spb.ru, сброшу соответствующую информацию.

      Комментарий


      • #4
        Сообщение от А Щеглов Посмотреть сообщение
        Достаточно информации по уязвимости протоколов беспроводных сетей можете найти на сайте www.itsec.ru.
        Для эффективной защиты беспроводной сети могу предложить Вам использовать наше средство: СЗИ "VPN "Панцирь" для ОС Windows 2000/XP/2003/Vista".
        Если есть интерес, напишите мне на адрес info@npp-itb.spb.ru, сброшу соответствующую информацию.
        Пора переименовывать "панцирь" в "затычку" - очень соответствует по смыслу известной пословице. Андрей Юрьевич, ваш совет можно было бы воспринять всерьез, если бы вы продемонровали знание проблем беспроводных сетей, стандартные методы их решения и преимущество вашего продукта по сравнению с этими решениями.

        По существу вопроса. Нормативных документов, запрещающих беспроводные решения, нет. Проблем две:
        1. Отказоустойчивость
        2. Управление доступом и конфиденциальность

        По отказоустойчивости - беспроводные технологии уязвимы для методов РЭБ. Если нарушитель хочет сделать вам бяку, он может забить диапазон частот, и сеть потеряет связность. При этом он, кстати, почти не нарушит закон - разве что нарушит ограничения на мощность передаитчика. Стоит ли вам этого опасаться или нет - решать вам. Я бы отнес такую угрозу к маловероятным, но критичные элементы сети делал бы на проводных решениях.

        По конфиденциаольности и управлению доступом - если нарушитель сможет подключить к вашей сети свое устройство, у него появляется масса интересных возможностей. В домашних условиях от этого вполне защищает WPA с прешаренным ключом, но в условиях корпоративной сети это не работает (утечка ключа ч одной машины компрометирует всю сеть). Значит, придется разворачивать полноценную инфраструктуру IEEE 802.1x (т.е. разворачивать RADIUS, интегрировать его с AD и т.п.). Решение стандартное, но несколько более сложное и дорогое, чем кажется на первый взгляд.

        Как вариант можно ограничиться и WPA-PSK, и по совету г-га Щеглова потратить дополнительно долларов по 100 на каждое рабочее место для построения самопального VPNа поверх беспроводной сети

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          Пора переименовывать "панцирь" в "затычку" - очень соответствует по смыслу известной пословице. Андрей Юрьевич, ваш совет можно было бы воспринять всерьез, если бы вы продемонровали знание проблем беспроводных сетей, стандартные методы их решения и преимущество вашего продукта по сравнению с этими решениями.

          "Панцирь" - это линейка продуктов. Один из них - это СЗИ "VPN "Панцирь", о которой я сказал - это наша новая разработка, завершается тестирование. Защита должна обеспечиваться в комплексе, а применение отдельных специализированных средств, а уж тем более, решение задач средствами приложений - это и есть те самые "затычки", о которых Вы говорите.
          По поводу демонстрации моих знаний - хотите "услышать лекцию" на эту тему на форуме, либо сомневаетесь в их наличии?


          По существу вопроса. Нормативных документов, запрещающих беспроводные решения, нет. Проблем две:
          1. Отказоустойчивость
          2. Управление доступом и конфиденциальность

          По отказоустойчивости - беспроводные технологии уязвимы для методов РЭБ. Если нарушитель хочет сделать вам бяку, он может забить диапазон частот, и сеть потеряет связность. При этом он, кстати, почти не нарушит закон - разве что нарушит ограничения на мощность передаитчика. Стоит ли вам этого опасаться или нет - решать вам. Я бы отнес такую угрозу к маловероятным, но критичные элементы сети делал бы на проводных решениях.

          В этой части могу с Вами согласиться - теоретически возможны данные атаки на отказ в обслуживании.

          По конфиденциаольности и управлению доступом - если нарушитель сможет подключить к вашей сети свое устройство, у него появляется масса интересных возможностей. В домашних условиях от этого вполне защищает WPA с прешаренным ключом, но в условиях корпоративной сети это не работает (утечка ключа ч одной машины компрометирует всю сеть). Значит, придется разворачивать полноценную инфраструктуру IEEE 802.1x (т.е. разворачивать RADIUS, интегрировать его с AD и т.п.). Решение стандартное, но несколько более сложное и дорогое, чем кажется на первый взгляд.

          Вот о таких стандартных решениях и о их уязвимости уже сказано много - ссылку я оставил, не поленитесь, посмотрите, там есть отдельный раздел Wi-Fi.

          Как вариант можно ограничиться и WPA-PSK, и по совету г-га Щеглова потратить дополнительно долларов по 100 на каждое рабочее место для построения самопального VPNа поверх беспроводной сети
          Не понимаю подобной иронии. В конечном счете, любое решение самопально, если за него кто-то отвечает.

          Комментарий


          • #6
            Сообщение от malotavr Посмотреть сообщение
            Пора переименовывать "панцирь" в "затычку" - очень соответствует по смыслу известной пословице.
            И еще. Мы уже обсуждали эту тему на одном из форумов. Откуда у Вас такой негатив к тем, кто пытается что-либо создать (даже в том случае, если у него не все получается), и такой нигилизм собственно к возможности создания чего-либо кем-либо (по крайней мере, нами, возможно я не так понял)?
            Я уже высказывался на эту тему - проще же ничего не делать, ограничиться обсуждениями проблем информационной безопасности и сделать вывод о бесперспективности их решения (это абстрактно, не в Ваш адрес).

            Комментарий


            • #7
              имхо Проблему доступности использование VPN (… любого VPN ) - не решит. А в остальном использование Wi-Fi вполне безопасно.

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Пора переименовывать "панцирь" в "затычку" - очень соответствует по смыслу известной пословице. Андрей Юрьевич, ваш совет можно было бы воспринять всерьез, если бы вы продемонровали знание проблем беспроводных сетей, стандартные методы их решения и преимущество вашего продукта по сравнению с этими решениями.
                Ай-яй-яй, как не хорошо переходить на личности, г-н малотавр! Интересно, себя вы наверно считаете знающим абсолютно все?
                Может быть стоит быть корректнее в своих оценках кто бы не был ваш оппонент?

                Сообщение от malotavr Посмотреть сообщение
                По отказоустойчивости - беспроводные технологии уязвимы для методов РЭБ. Если нарушитель хочет сделать вам бяку, он может забить диапазон частот, и сеть потеряет связность.
                Господи! А еще марсиане могут высадиться на крышу и злодей может перерезать эзернет. У вас есть конкретные примеры когда в банках враги ставили постановщики помех? Если нет, то чего выдумывать страшилки?

                Сообщение от malotavr Посмотреть сообщение
                При этом он, кстати, почти не нарушит закон - разве что нарушит ограничения на мощность передаитчика.
                можно подумать что таинственный враг будет заглядывать в нормы МККР и думать - а свой ли диапазон я занимаю?

                Сообщение от malotavr Посмотреть сообщение
                По конфиденциаольности и управлению доступом - если нарушитель сможет подключить к вашей сети свое устройство, у него появляется масса интересных возможностей.
                Есть простой способ этому противодействовать - называется фильтрация MAC адресов. Реализовано почти в любом девайсе WI-FI. Очень просто и достаточно эффективно.

                Комментарий


                • #9
                  Сообщение от Berrimor Посмотреть сообщение
                  Есть простой способ этому противодействовать - называется фильтрация MAC адресов. Реализовано почти в любом девайсе WI-FI. Очень просто и достаточно эффективно.
                  К сожалению, в беспроводных сетях MAC-адрес легко подменяется. Дело осложняется и тем что в них отсутсвует конфликт MAC-адресов.
                  Что касается РЭБ, то источниками помех могут быть и wi-fi точки провайдеров или просто расположенные рядом, работающие на тех же каналах и имеющие достаточную мощность. При развертывании надо грамотно подходить к вопросу учитывая загруженность диапазона, выбирать каналы учитывая интерференцию волн.
                  Как возможный вариант, можно выбрать решения Cisco либо Aruba по беспроводным сетям, где есть механизмы управления производительностью и IDS

                  Комментарий


                  • #10
                    Сообщение от kreol Посмотреть сообщение
                    К сожалению, в беспроводных сетях MAC-адрес легко подменяется. Дело осложняется и тем что в них отсутсвует конфликт MAC-адресов.
                    О! Я так и знал, что ответ будет в таком стиле.
                    ТЕОРЕТИЧЕСКИ - все страшно просто.
                    Можете на практике продемонстрировать КАК вы войдете в защищенную сеть, благо таких сетей в Москве море?

                    Сообщение от kreol Посмотреть сообщение
                    Что касается РЭБ, то источниками помех могут быть и wi-fi точки провайдеров или просто расположенные рядом, работающие на тех же каналах и имеющие достаточную мощность.
                    Источниками ПОМЕХ может быть что угодно, включая зажигание автомобилей. Мы не об этом, а о ГЕНЕРАТОРЕ помех.

                    Сообщение от kreol Посмотреть сообщение
                    При развертывании надо грамотно подходить к вопросу учитывая загруженность диапазона, выбирать каналы учитывая интерференцию волн.
                    Наверно имелось в виду отражение? И как же "выбирать каналы" по вашему?

                    Комментарий


                    • #11
                      Добрый вечер уважаемой аудитории,

                      в двух словах хочется прокомментировать все вышеизложенное.

                      По отказоустойчивости - беспроводные технологии уязвимы для методов РЭБ. Если нарушитель хочет сделать вам бяку, он может забить диапазон частот, и сеть потеряет связность. При этом он, кстати, почти не нарушит закон - разве что нарушит ограничения на мощность передаитчика. Стоит ли вам этого опасаться или нет - решать вам. Я бы отнес такую угрозу к маловероятным, но критичные элементы сети делал бы на проводных решениях.


                      Все зависит от типа передатчика помех. Если говорить про WiFi, то в данном случае нужно сгенерировать помеху в диапазоне 2.4 ГГц шириной чуть более 60 Мгц(для подавления 3 х частотных каналов) с достаточным уровнем мощности ( как минимум, 100 мВт). Это достаточно проблематично сделать,чтобы не вызвать интерес контролирующих органов. Конечно, можно использовать точки доступа в качестве источника помехи. Но с этим уже умеют бороться - если используется централизованная архитектура WiFi сети, оборудование умеет не только обнаруживать местоположение источника помехи,но и подавлять его по команде с центра управления.

                      По конфиденциаольности и управлению доступом - если нарушитель сможет подключить к вашей сети свое устройство, у него появляется масса интересных возможностей. В домашних условиях от этого вполне защищает WPA с прешаренным ключом, но в условиях корпоративной сети это не работает (утечка ключа ч одной машины компрометирует всю сеть). Значит, придется разворачивать полноценную инфраструктуру IEEE 802.1x (т.е. разворачивать RADIUS, интегрировать его с AD и т.п.). Решение стандартное, но несколько более сложное и дорогое, чем кажется на первый взгляд.


                      Совершенно верно отмечено про ААА. Я бы даже сказал, что возможно использовать WPA2. А методы аутентификации абонента могут быть различными - не обязательно использовать прешаренный ключ, есть хардтокены, например, есть банальный логин-пароль. Кстати, есть прекрасное и безопасное решение аутентификации пользователя в системе на базе ЕAP - FAST.

                      Так что отсутствие безопасности WiFi сетей-миф. Нужно выбирать правильное оборудование, правильную архитектуру и правильно его настраивать-)

                      Извините, если вмешался.

                      Комментарий


                      • #12
                        Большое спасибо, коллеги!
                        у меня еще вопрос к вам насчет такого пункта:
                        - включение режима скрытия сетевого идентификатора SSID
                        Скажите, насколько это необходимо, как мера безопасности, ну и вообще, хочется услышать ваше мнение насчет этого

                        Комментарий


                        • #13
                          Скажите, насколько это необходимо, как мера безопасности, ну и вообще, хочется услышать ваше мнение насчет этого

                          имхо На безопасность это не повлияет.

                          Комментарий


                          • #14
                            Сообщение от Berrimor Посмотреть сообщение
                            Ай-яй-яй, как не хорошо переходить на личности, г-н малотавр! Интересно, себя вы наверно считаете знающим абсолютно все?
                            Может быть стоит быть корректнее в своих оценках кто бы не был ваш оппонент?
                            В предложении обосновать свое утверждение есть что-то некорректное? Оппонент предлагает использовать определенный продукт. Я представил, как бы я мог использовать этот продукт для защиты беспроводного сегмента, и увидел маccу проблем и ни одного преимущества.

                            Беспроводной сегмент на 100 машин, пытаемся защитить его панцирем. Внутри сегмента прекрасно бегает панцирный VPN. Но этим рабочим станциям нужно общаиться с серверами, которые стоят в проводном сегменте. На серверах может быть "экзотическая" ось типа Solaris, AIX, FreeBSD, Z OS, Панцирь туда не поставишь. Будем искать для них особые решения? у Панциря VPN самопальный - судя по статьям автора, это не IPSec, не TLS, не PPTP, о совместимости с другими VPN решениями разработчики даже не заикаются.

                            Ладно, забыли, ставим на границе беспроводного сегмента "криптошлюз" - отдельную виндовую машинку с Панцирем и используем ее в качестве маршрутизатора между беспроводным и проводным сегментами. А что мы будем делать с беспроводными устройствами, на которые Панцирь поставить нельзя? Их много: наладонники и смартфоны, гостевые ноутбуки, принтеры и МФУ, IP-телефоны, оборудование для конференцсвязи, камеры видеонаблюдения и т.п. Их побоку? Запретить только потому, что Панцирь не может их защитить? При этом все они поддерживают WPA/WPA2, на которых можно очень эффективно строить защиту.

                            По стоимости - на каждое защищаемое рабочее место вам нужно потратить около $100, т.е. как минимум $10000 на сам беспроводной сегмент плюс лицензии на сервера. При этом взаимно совместимых решений для IEE 802.1x масса - от бесплатного OpenRADIUS и AAA в Windows 2003 Server до достаточно дорогих решений от Cisco, IBM, HP.

                            Ну и почему я должен всерьез воспринимать предложение "поставить наше СЗИ"?

                            Сообщение от Berrimor Посмотреть сообщение
                            Господи! А еще марсиане могут высадиться на крышу и злодей может перерезать эзернет. У вас есть конкретные примеры когда в банках враги ставили постановщики помех? Если нет, то чего выдумывать страшилки?
                            "Раньше в грозу я сидел дома и любовался с балкона на конкурс мокрых маек… Теперь я в ужосе кода слышу ее звуки.. Мосх посещает только одна мысль, - "Лишь бы около работы не епнуло, опять прийдется завтра сервера и локаль поднимать" (c) bash.org.ru

                            У беспроводной сети есть уязвимость - неконтролируемая среда передачи, на которую могут свободно воздействовать нарушители и внешние природные/тезнические факторы. Вы (как и я) можете считать такую угрозу маловероятной, но вы обязаны ее учитывать при проектировании сети.

                            Сообщение от Berrimor Посмотреть сообщение
                            Есть простой способ этому противодействовать - называется фильтрация MAC адресов. Реализовано почти в любом девайсе WI-FI. Очень просто и достаточно эффективно.
                            Есть еще более "простой" способ - называется "disable SSID broadcast". Почти на каждом форуме по беспроводным сетям находится "специалсит", который заявляет: "А че вы паритесь? У меня броадкаст отключен, SSID никто не знает и подключиться не сможет". Ваше предложение из той же серии. Хотя в документации по безопасности беспроводных сетей всегда пишут, что фильтрация MAC, отключение броадкаста и WEP неприемлемы даже для защиты домашней сети. Для домашней сети рекомендуют WPA-PSK, для корпоративной - IEEE 8021.x.

                            Представьте, что у вас уволился мальчик из хелпдеска. МАС адреса нескольких машин он знает, SSID и кодовую фразу к PSK - тоже. Что делать будете? Побежите по всем рабочим местам менять кодовую фразу? В случае c IEEE 8021.x вы просто лочите его учетку и все.

                            Комментарий


                            • #15
                              Сообщение от МЯУка Посмотреть сообщение
                              Большое спасибо, коллеги!
                              у меня еще вопрос к вам насчет такого пункта:
                              - включение режима скрытия сетевого идентификатора SSID
                              Скажите, насколько это необходимо, как мера безопасности, ну и вообще, хочется услышать ваше мнение насчет этого
                              Отключение SSID broadcast сделает менее удобным подключение к беспроводной сети (нужно вбивать SSID ручками). При этом к защите эта опция почти ничего не добавляет: при отключенной аутентификации нарушитель получает SSID прослушиванием трафика, а при включенной защите секретом является на SSID, а прешаренный ключ, закрытый ключ EAP-TLS или пароль.

                              Если у вас не предполагается подключение "гостевых устройств", броадкаст можно отключить "для лучшей лучшести". Если предполагается - отклюение скорее мешает, чем помогает.
                              Последний раз редактировалось malotavr; 08.08.2008, 13:39.

                              Комментарий


                              • #16
                                Сообщение от malotavr Посмотреть сообщение
                                Пора переименовывать "панцирь" в "затычку" - очень соответствует по смыслу известной пословице. Андрей Юрьевич, ваш совет можно было бы воспринять всерьез, если бы вы продемонровали знание проблем беспроводных сетей, стандартные методы их решения и преимущество вашего продукта по сравнению с этими решениями.
                                1. Данное утверждение трудно воспринять в качестве предложения обосновать свое решение, особенно его первая часть, не правда ли?
                                2. Я и не собирался обосновывать свое решение, я лишь предложил нашему коллеге по форуму с ним познакомиться. Если бы у него возникли вопросы, я бы мог их обсуждать. В противном случае, не вижу смысла "...демонстрировать знание проблем беспроводных сетей...", а уж тем более - на форуме, эти проблемы и без моего участия хорошо известны (публикаций на эту тему множество).
                                3. В части Вашего представления о нашей разработке VPN "Панцирь". Есть о чем поспорить, но, честно говоря, особого смысла не вижу, т.к. у Вас априори отрицательное отношение ко всему, что я делаю, увы.

                                Комментарий


                                • #17
                                  Сообщение от А Щеглов Посмотреть сообщение
                                  И еще. Мы уже обсуждали эту тему на одном из форумов. Откуда у Вас такой негатив к тем, кто пытается что-либо создать (даже в том случае, если у него не все получается)...
                                  Я уважительно отношусь к инженерам, конструирующим автомобили модельного ряда ВАЗ. Но то, что "производитель пытался что-то создать, но у него не все получилось" - не аргумент в пользу того, чтобы пересесть на Калину с чуть более дорогой иномарки. Уж извините - потребителя в первую очередь интересует, соответствует ли продукт его требованиям.

                                  На мой взгляд, Панцирь не может самостоятельно обеспечить комплексную защиту беспроводной сети. Аргументы я привел. Вы либо знаете про проблемы, с которыми придется столкнуться вашему потенциальному потребителю, либо не знаете. Если знаете - тогда предлагать воспользоваться Панцирем просто некрасиво. Если не знаете - тогда, прежде, чем предлагать решение, попробуйте для себя разрисовать условия применения вашего продукта, и сами поймете его недостатки.

                                  Есть и другой вариант - я могу просто недооценивать ваш продукт. Отсюда и предложение: расскажите, с какими проблемами придется столкнуться автору темы, как эти проблемы решить с помощью Панциря и чем это решение лучше специализированного решения. А пока что создается впечатление, что вы по-поводу и без повода пытаетесь напомнить про существование вашего продукта.

                                  Сообщение от А Щеглов Посмотреть сообщение
                                  ...и такой нигилизм собственно к возможности создания чего-либо кем-либо (по крайней мере, нами, возможно я не так понял)?
                                  Как бы помягче сказать... Мир не вертится вокруг "Панциря". Если человеку нужно решить определенную задачу, он ищет решение именно этой задачи, а не думает над тем, как бы исхитриться и применить ваш продукт

                                  Страшно подумать - над защитой беспроводных сетей работают тысячи специалистов. Технология защиты достаточно "вылизана" и описана в открытых стандартах. Есть десятки реализаций, совместимых между собой, причем некоторые из них - открыты.

                                  Сообщение от А Щеглов Посмотреть сообщение
                                  Я уже высказывался на эту тему - проще же ничего не делать, ограничиться обсуждениями проблем информационной безопасности и сделать вывод о бесперспективности их решения
                                  Как вы можете заметить, на этом форуме обычно обсуждаются вопросы "как на практике решить вот такую заддачу", "какое решение лучше" и "а имеет ли смысл эту задачу решать". Третий вопрос вполне имеет право на существованиие - мы не гостайну защищаем.

                                  Комментарий


                                  • #18
                                    Сообщение от А Щеглов Посмотреть сообщение
                                    1. Данное утверждение трудно воспринять в качестве предложения обосновать свое решение, особенно его первая часть, не правда ли?
                                    Я не вправе указывать вам, как именно продвигать ваш продукт на рынке, но метод, используемый вами, мне не нравится. Если не вдаваться в детали, то кажется, что ваши продукты и комплексную защиту приложений обеспечивает, и полный контроль действий пользователя выполняют, и ultimate VPN строят, и требования по защите ПД выполняют. И каждый раз при обсуждении деталей выясняется, что это не так. Так что извините, сравнение обидное, но достаточно точное.

                                    Сообщение от А Щеглов Посмотреть сообщение
                                    2. Я и не собирался обосновывать свое решение, я лишь предложил нашему коллеге по форуму с ним познакомиться.
                                    Тогда постарайтесь формулировать свои фразы точнее. А то у вас в одном предложении встречаются и "Панцирь", и "эффективная защита беспроводных сетей". У человека, который не умеет читать ваши мысли, может сложться впечатление, будто вы утверждаете, что с помощью Панциря можно эффективно защищать беспроводные сети. С другой стороны, здравый смысл (и то, что человек об этом продукте знает из ваших же статей), утверждают обратное. Отсюда и просьба обосновать свое предложение.

                                    Сообщение от А Щеглов Посмотреть сообщение
                                    Если бы у него возникли вопросы, я бы мог их обсуждать.
                                    Скажите, пожалуйста, в своей оценке применимости Панциря к защите беспроводгного сегмента я где-нибудь ошибся?

                                    Сообщение от А Щеглов Посмотреть сообщение
                                    3. В части Вашего представления о нашей разработке VPN "Панцирь". Есть о чем поспорить, но, честно говоря, особого смысла не вижу, т.к. у Вас априори отрицательное отношение ко всему, что я делаю, увы.
                                    Это не так. У меня, как у потенциального потребителя, есть определенное представление о функциональных возможностях вашего продукта. Судя по тому, что я знаю о вашем продукте из ваших публикаций, этот продукт не может решить все те задачи защиты беспроводной сети, которые решают стандартные средства. Я могу ошибаться, поэтому вопрос в предыдущем пункте задан абсолютно серьезно.

                                    Комментарий


                                    • #19
                                      На: Есть и другой вариант - я могу просто недооценивать ваш продукт. Отсюда и предложение: расскажите, с какими проблемами придется столкнуться автору темы, как эти проблемы решить с помощью Панциря и чем это решение лучше специализированного решения. А пока что создается впечатление, что вы по-поводу и без повода пытаетесь напомнить про существование вашего продукта.

                                      А почему Вы считаете, что я не готов ответить на вопросы автора темы? Как раз, я ему и предложил ко мне обратиться. Почему Вы считаете, что обсуждение этих вопросов будет интересно всем участникам форума? Как раз я и не навязываю обсуждения наших продуктов, разве не так? Так в чем Вы меня пытаетесь обвинить?

                                      На: Как бы помягче сказать... Мир не вертится вокруг "Панциря". Если человеку нужно решить определенную задачу, он ищет решение именно этой задачи, а не думает над тем, как бы исхитриться и применить ваш продукт.

                                      Правильно, семейство "Панцирь" - это одно из возможных решений, кому-то нравится, кому-то, нет. О чем речь?

                                      На: Как вы можете заметить, на этом форуме обычно обсуждаются вопросы "как на практике решить вот такую заддачу", "какое решение лучше" и "а имеет ли смысл эту задачу решать". Третий вопрос вполне имеет право на существованиие - мы не гостайну защищаем.

                                      К сожалению, как я заметил, на этом форуме очень часто (конечно же,не всегда и далеко не всеми, но часто) обсуждаются вопросы не как защитить информацию и обеспечить безопасность, а, наоборот, как бы ее не защищать. Или я не прав?

                                      Комментарий


                                      • #20
                                        Сообщение от А Щеглов Посмотреть сообщение
                                        А почему Вы считаете, что я не готов ответить на вопросы автора темы? Как раз, я ему и предложил ко мне обратиться. Почему Вы считаете, что обсуждение этих вопросов будет интересно всем участникам форума? Как раз я и не навязываю обсуждения наших продуктов, разве не так? Так в чем Вы меня пытаетесь обвинить?
                                        Мне же этот вопрос интересен Или на мои вопросы вы отвечать отказываетесь, потому что я "предубежден" и "нелоялен"?

                                        Сообщение от А Щеглов Посмотреть сообщение
                                        Правильно, семейство "Панцирь" - это одно из возможных решений, кому-то нравится, кому-то, нет. О чем речь?
                                        При чем здесь "нравится"-"не нравится". Оно либо является решением, либо нет. Проблемы, которые не позволяют назвать его "возможным решением" я обозначил. Покажите, пожалуйста, в чем я ошибаюсь.

                                        Сообщение от А Щеглов Посмотреть сообщение
                                        К сожалению, как я заметил, на этом форуме очень часто (конечно же,не всегда и далеко не всеми, но часто) обсуждаются вопросы не как защитить информацию и обеспечить безопасность, а, наоборот, как бы ее не защищать. Или я не прав?
                                        Конечно, неправы Вопрос "как не защищать" на моей памяти не обсуждался ни разу. Обсуждались вопросы "как не делать ненужное".

                                        Комментарий


                                        • #21
                                          2А Щеглов
                                          Почему Вы считаете, что обсуждение этих вопросов будет интересно всем участникам форума?
                                          Почему вы считаете что реклама Панцыря интересна всем участникам форума?

                                          Мне например интересны ваши доводы.
                                          malotavr привел достаточно доводов, интересно послушать другую сторону.

                                          Комментарий


                                          • #22
                                            Сообщение от barmalei Посмотреть сообщение
                                            2А Щеглов


                                            Почему вы считаете что реклама Панцыря интересна всем участникам форума?

                                            Мне например интересны ваши доводы.
                                            malotavr привел достаточно доводов, интересно послушать другую сторону.
                                            1. Я не считаю что реклама Панциря (лучше через "и")интересна всем участникам форума, я предложил познакомиться с конкретными материалами конкретному лицу, что же вы все "передергиваете"?
                                            2. Чтобы что-то обсуждать (говорить о каких-либо доводах), сначала нужно это что-то рассмотреть. Если бы я рекламировал систему, я бы это что-то пытался рассматривать, что, заметьте, я не делал (это, к слову, о рекламе). Если хотите, я Вам вышлю соответствующий материал (что я и предложил коллеге в начале форума на ее вопрос). Будем считать, что этим я еще раз, не побоюсь этого слова, разрекламирую нашу систему.

                                            Комментарий


                                            • #23
                                              А Щеглов

                                              Ну вам же уже задали конкретные вопросы. Почему бы на них не ответить ЗДЕСЬ? Зачем мне читать сотни страниц вашей документации, если я хочу получить ответ всего на 1-2 вопроса?

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                А Щеглов

                                                Ну вам же уже задали конкретные вопросы. Почему бы на них не ответить ЗДЕСЬ? Зачем мне читать сотни страниц вашей документации, если я хочу получить ответ всего на 1-2 вопроса?
                                                Не имеет смысла отвечать на некие вопросы, выдернутые из контекста задачи (о подобном своем подходе я говорил не раз). Построение Intranet - это не банальное шифрование трафика и аутентификация! Какие здесь свободно распространяемые поделки?
                                                Чтобы говорить серьезно на эту тему, нужно определиться с требованиями, с источниками угроз и т.д. Согласитесь, что корпоративная сеть приема платежей и офисная строятся по разным законам, так же, как защита компьютера, используемого в корпоративной сети и дома (принадлежность информации и ее ценность различны, квалификация лица, администрирующего систему, потенциальный похитель, в том числе, им может быть санкционированный пользователь и т.п.). Это системный вопрос проектирования! А отсюда и принципы построения, и требования к реализации ключевой и разграничительной политикам и т.д. Не хочу сводить обсуждение сложной технической задачи к рассмотрению тривиальных вопросов, извините.

                                                Комментарий


                                                • #25
                                                  А Щеглов Не хочу сводить обсуждение сложной технической задачи к рассмотрению тривиальных вопросов, извините.

                                                  Что лишний раз доказывает уже высказанные замечания в ваш адрес ;-( Раз вы не хотите по существу отвечать на заданные вопросы и все время отсылаете участников к личному общению, то мой вам совет - предложения рассмотреть "Затычку" в качестве системы защиты от любой проблемы направляйте через B-mail. Так вы себя защитите от лишних нападок и обвинений в голимой рекламе. Без обид.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от А Щеглов Посмотреть сообщение
                                                    Чтобы говорить серьезно на эту тему, нужно определиться с требованиями, с источниками угроз и т.д.
                                                    Извините, но именно это я и утверждал, когда заявил, что "к вашему предложению можно было бы отнестись серьезно, если бы...". Вы не определились с требованиями, не определились с источниками угроз, но сходу заявили, что "можно эффективно использовать" нечто. Это как-то не комильфо

                                                    Для беспроводных сетей (и для беспроводных сегментов корпоративных сетей) есть давно проработанные и очень качественные модели угроз и рекомендации по защите. Стандарты семейства IEEE 802.11 существуют уже лет десять, связанные с ними угрозы и методы защиты от них развиваются уже столько же времени. проблемы и пути их решения известны, и вовсе не требуется изобретать велосипед. Взгляните, например, на нистовский SP 800-48 и скажите, что нового вы способны в него привнести?

                                                    Сообщение от А Щеглов Посмотреть сообщение
                                                    Согласитесь, что корпоративная сеть приема платежей и офисная строятся по разным законам, так же, как защита компьютера, используемого в корпоративной сети и дома
                                                    Не соглашусь - в обоих случаях используется один и тот же закон: решаем, чего нам опасаться, какой ущерьб мы можем получить, как можно от угрозы защититься и стоит ли угроза того, чтобы защищаться такой ценой.

                                                    Сообщение от А Щеглов Посмотреть сообщение
                                                    Это системный вопрос проектирования! А отсюда и принципы построения, и требования к реализации ключевой и разграничительной политикам и т.д. Не хочу сводить обсуждение сложной технической задачи к рассмотрению тривиальных вопросов, извините.
                                                    Не очень ловкий способ уклониться от ответа. Эта задача уже имеет известное решение. Или это решение вам известно, или оно вам неизвестно. Вы можете придумывать альтернативное решение, но тагда вам придется обосновывать его эффективность.

                                                    А поводу "свободно распростроняемых поделок"... Восможность открытого публичного тестирования - на мой взгляд, самое весомое подтверждение качества программного продукта.

                                                    Комментарий


                                                    • #27
                                                      [QUOTE=malotavr;2374962]Извините, но именно это я и утверждал, когда заявил, что "к вашему предложению можно было бы отнестись серьезно, если бы...". Вы не определились с требованиями, не определились с источниками угроз, но сходу заявили, что "можно эффективно использовать" нечто. Это как-то не комильфо
                                                      QUOTE]

                                                      В этом готов с Вами согласится - универсальных и одновременно эффективных средств не бывает, либо то, либо иное. Но иногда проще предоставить человеку информацию для осмысления (что я и попытался сделать, кстати говоря, там сформулированы требования, в соответствии с которыми создана система, четко определны задачи, для решения которых она создана, примеры использования и и ограничения на применение), а затем, при необходимости, приступать к детализации и к обсуждению.
                                                      Если был сформулирован вопрос: как строить банковскую Intranet при наличие в ней беспроводных сегментов,да еще бало бы определено назначение этой корпоративной сети, то возможно было бы обсуждение с рисками, с источнимками угроз.А так, что обсуждать-то, если собственно из вопроса ничего не следует?

                                                      Комментарий


                                                      • #28
                                                        Почитал я ваши терки, господа, и такой у меня вопрос возник к г-ну малотавру:

                                                        Судя по всему, Вы лично с "панцирем" не работали. Так?
                                                        И тем не менее, исходя из каких-то своих предположений, Вы смело пишите:
                                                        "Пора переименовывать "панцирь" в "затычку".

                                                        Я тоже не знаком с данным решением.
                                                        И именно по этой причине не принимаю участие в "дискуссии".

                                                        Может быть давайте все будем писать о том, что хорошо знаем, с чем ЛИЧНО работали причем не день и не два.
                                                        А то с одной стороны мы имеем рекламу, с другой антирекламу.
                                                        Причем ни то ни другое никак не обосновано.

                                                        Господа, давайте все же оставаться в рамках своей компетенции.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Berrimor Посмотреть сообщение
                                                          Почитал я ваши терки, господа, и такой у меня вопрос возник к г-ну малотавру:

                                                          Судя по всему, Вы лично с "панцирем" не работали. Так?
                                                          И тем не менее, исходя из каких-то своих предположений, Вы смело пишите:
                                                          "Пора переименовывать "панцирь" в "затычку".

                                                          Я тоже не знаком с данным решением.
                                                          И именно по этой причине не принимаю участие в "дискуссии".

                                                          Может быть давайте все будем писать о том, что хорошо знаем, с чем ЛИЧНО работали причем не день и не два.
                                                          А то с одной стороны мы имеем рекламу, с другой антирекламу.
                                                          Причем ни то ни другое никак не обосновано.

                                                          Господа, давайте все же оставаться в рамках своей компетенции.
                                                          В части рекламы согласен, не подумал об этом, нужно было написать человеку в личку, вопросов бы не возникло.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Berrimor Посмотреть сообщение
                                                            И тем не менее, исходя из каких-то своих предположений, Вы смело пишите:
                                                            "Пора переименовывать "панцирь" в "затычку".
                                                            Берримор, вы перед тем как выбрать модель автомобиля, ТТХ читаете? Если вам нужен трактор, вы модельный ряд мотоциклов будете рассматривать?

                                                            ТТХ и функциональные возможности Панциря рассмотрены в многочисленных (и очень хорошо написанных) статьях Андрея Юрьевича. По этим статьям можно составить очень хорошее представление о том, какими возможностями этот продукт обладает. То, что этих возможностей недостаточно для решения поставленной задачи, очевидно - проблемные моменты я перечислил.

                                                            Заметьте, я не говорю, что у Панциря есть недостатки - мне о них ничего не известно, Я утверждаю, что недостатки есть у идеи защитить с его помощью беспроводной сегмент сети, поскольку он для этого не предназначен. Согласитесь, есть небольшая разница.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X