19 января, суббота 19:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

На чем построить требуемые ВПН каналы ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • На чем построить требуемые ВПН каналы ?

    Т.к. про циски с шифрацией можно забыть, думаю что и джунипер потом тоже прикроют, то остается применить следующую схему:
    1. На границе стоят маршрутизаторы на цисках или ином оборудовании и отвечают за устойчивость каналов (не шифрованный или слабо шифрованный впн). После них стоят системы удовлетворяющие требованиям ИБ по 152ФЗ.
    Вот что-то из этих: Застава, Континент, Vip-Net.
    К сожалению эти системы не заменяют нормальный роутер.
    Для корректности спрошу так:
    Что бы выбрали вы или не выбрали т.к. обнаружили определенные минусы.

  • #2
    Посмотрите похожие темы:
    http://bankir.ru/dom/showthread.php?t=96350
    http://bankir.ru/dom/showthread.php?t=96564
    http://bankir.ru/dom/showthread.php?t=101480

    Сами закупили CheckPoint. Сейчас будем докупать КриптоПро и сертифицированный FireWall для версии R65. Дороговато, но удобно (единый центр управления, много уже встроенных сервисов и умолчаний). Из недостатков можно отметить дороговизну, большие сроки поставки, сложность в освоении.

    Комментарий


    • #3
      Он сертифицирован как firewall,но не как vpn (гост шифрование).
      или это старые данные ?

      Комментарий


      • #4
        Для VPN устанавливается КриптоПро CSP:
        http://www.cryptopro.ru/cryptopro/buy/oem.htm
        Хотя есть проблема (смотри в приведенных ссылках) - проверка на корректность встраивания КприптоПро и FireWall в CheckPoint.
        Может кто предложит свой вариант, желательно с описанием опыта использования оборудования.

        Комментарий


        • #5
          Сообщение от Unhurried Посмотреть сообщение
          Т.к. про циски с шифрацией можно забыть, думаю что и джунипер потом тоже прикроют, то остается применить следующую схему:
          1. На границе стоят маршрутизаторы на цисках или ином оборудовании и отвечают за устойчивость каналов (не шифрованный или слабо шифрованный впн). После них стоят системы удовлетворяющие требованиям ИБ по 152ФЗ.
          Вот что-то из этих: Застава, Континент, Vip-Net.
          К сожалению эти системы не заменяют нормальный роутер.
          Для корректности спрошу так:
          Что бы выбрали вы или не выбрали т.к. обнаружили определенные минусы.
          Как сотрудник Сиско отвечу так: забывать не стоит, т.к. все меняется и сейчас рассматриваются определенные нормативные акты, которые могут поменять ситуацию в корне.

          Если говорить именно про сегодня, то ввоз нашего оборудования с шифрованием возможен, но надо понимать, что шифрование по мнению ФСБ делится на два типа - со строгой криптографией (длина ключа свыше 56 бит) и со слабой (меньше 56 бит). Сейчас в Россию можно ввозить без ограничений шифрование слабое. И так, например, мы ввозим ASA с DES (а не AES или TripleDES). Спорить о том, стойко это или нет, не буду. PCI DSS с DES не пройдешь, а Site-to-Site VPN построить можно.

          Теперь, если нужна сильная криптуха, то можно попробовать получить разрешение ФСБ на ввоз партии оборудования под вас. Но процедура эта непроозрачная и с непредсказуемым результатом. У нас есть как положительный опыт ввоза оборудования с сильной криптографией, так и отрицательный. Ну и сроки поставки, разумеется, увеличиваются.

          Третий вариант - установить в маршрутизатор модуль NME-RVPN (в исполнении МСМ). Сегодня это единственное легитимное решение на базе иностранного оборудования, т.к. имеется сертификат на изделие целиком, а не только на криптоядро. Сразу отмечу, что другие вендоры ссылаются на методические рекомендации ФСБ по персданным, в которых сказано, что для встраивания СКЗИ КС1/КС2 проверки корректности встраивания не требуется, но... у меня есть официальный ответ ФСБ, что к VPN этот пункт не относится и нужна именно проверка корректности встраивания криптоядра в западный (да и российский тоже) VPN. NME-RVPN - это совместное решение Cisco и C-Терра СиЭсПи. В качестве headend можно использовать S-Terra VPN Gate на базе наших серверов Cisco UCS.

          Четвертый вариант - ждать, когда будет получено разрешение на безпроблемный (безлицензионный) ввоз младших железяк (Cisco 800). Это будет сделано в самое ближайшее время.

          Резюме: бесплатной альтернативы IPSec VPN, встроенной в маршрутизатор, сегодня нет (если не считать Windows VPN). В любом случае потребуется платить деньги за отечественную СКЗИ.

          Комментарий


          • #6
            Вот как, будущее обнадеживает, еще бы примерные сроки знать - через год или пять
            По состоянию на сейчас мы уже вынуждены вместо 871-к9 устанавливать джуниперы т.к. 56 бит это не серьезно.
            Получить оборудование по каналам ФСБ оказалось затруднительно, многие ничего не понимают как и что делать с цисками в сложившейся ситуации.
            Уж если строить каналы, то и расчитывать на РCI DSS считаю нужным. Платить мы можем, вопрос что мы за это получим
            Третий вариант был бы идеальным, но...
            Общался я с производителем vip-net, на сайте есть циска с нужным модулем, но по факту оказалось что нет сертификации, цитирую:
            "мы свое сертифицировали, а т.к. циска, естественно, не предоставит свои алгоритмы ядра, то общей сертификации устройства не будет".
            Вариант NME-RVPN - это совместное решение Cisco и C-Терра СиЭсПи обязательно рассмотрю.
            Спасибо.

            Комментарий


            • #7
              Сообщение от Unhurried Посмотреть сообщение
              Вот как, будущее обнадеживает, еще бы примерные сроки знать - через год или пять
              По какому из вариантов? По первому абзацу - худший сценарий покажет себя после выборов 2012 года. По 4-му - срок - месяц-два.

              Сообщение от Unhurried Посмотреть сообщение
              По состоянию на сейчас мы уже вынуждены вместо 871-к9 устанавливать джуниперы т.к. 56 бит это не серьезно.
              Подумайте о рисках. Это контрабандой ввезенное оборудование. Прецендентов пока не было, но ФСБ любит пугать рядом статей КоАП, предусматривающих от отзыва лицензии ФСБ до конфискации контрабанды.

              Сообщение от Unhurried Посмотреть сообщение
              Получить оборудование по каналам ФСБ оказалось затруднительно, многие ничего не понимают как и что делать с цисками в сложившейся ситуации.
              Обращайтесь к другим партнерам, понимающим ;-) Или в Сиско. Мы подскажем и поможем.

              Сообщение от Unhurried Посмотреть сообщение
              Общался я с производителем vip-net, на сайте есть циска с нужным модулем, но по факту оказалось что нет сертификации, цитирую:
              "мы свое сертифицировали, а т.к. циска, естественно, не предоставит свои алгоритмы ядра, то общей сертификации устройства не будет".
              Инфотекс лукавит. Про какое ядро они говорят я не совсем понимаю. Схемотехнику модуля в ФСБ предоставили. С-Терра ведь получила как-то сертификат ФСБ на весь модуль целиком.

              Сообщение от Unhurried Посмотреть сообщение
              Вариант NME-RVPN - это совместное решение Cisco и C-Терра СиЭсПи обязательно рассмотрю.
              Спасибо.
              Пишите в личку, если что.

              Комментарий


              • #8
                Джунипр - в серую, не верю т.к. он не заявлен на криптографию. База - фрибсд.
                По NME озадачу своего специалиста по цискам, спасибо.

                Комментарий


                • #9
                  NME-RVPN имеет класс кс1, а по Стандарту Банка России для защиты персональных данных нужен класс кс2

                  Комментарий


                  • #10
                    Сообщение от tt84 Посмотреть сообщение
                    NME-RVPN имеет класс кс1, а по Стандарту Банка России для защиты персональных данных нужен класс кс2
                    Да, есть такая проблема. Но к концу года должны получить КС2 на модуль.

                    Комментарий


                    • #11
                      Сообщение от Unhurried Посмотреть сообщение
                      Джунипр - в серую, не верю т.к. он не заявлен на криптографию. База - фрибсд.
                      Вот именно, что не заявлен. В этом и есть контрабанда, т.к. согласно положению ФТС 2.19 он должен быть заявлен.

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        В качестве headend можно использовать S-Terra VPN Gate на базе наших серверов Cisco UCS.
                        А без Cisco UCS разве никак?

                        И ещё, а с DMVPN чего делать то... Всё на нём и сетевики в печали.

                        Комментарий


                        • #13
                          Сообщение от Zuz Посмотреть сообщение
                          А без Cisco UCS разве никак?

                          И ещё, а с DMVPN чего делать то... Всё на нём и сетевики в печали.
                          Ну это нерешаемо ;-( Либо сертифицированная российская поделка, либо нелегитимное, но эффективное западное VPN-решение ;-(

                          Комментарий


                          • #14
                            Сообщение от Zuz Посмотреть сообщение
                            А без Cisco UCS разве никак?
                            Как, конечно ;-) Но не знаю на каких еще серверах работает С-Терра.

                            Комментарий


                            • #15
                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Ну это нерешаемо ;-( Либо сертифицированная российская поделка, либо нелегитимное, но эффективное западное VPN-решение ;-(
                              Не рекламы ради, просвятите: что есть из сертифицированного российского, что DMVPN умеет...

                              А западное решение для DMVPN (не Сisco) разве есть (тоже не рекламы ради)? И нелегитимное в каком смысле?

                              P.S. Если что, то в личку.

                              Комментарий


                              • #16
                                Сообщение от Zuz Посмотреть сообщение
                                Не рекламы ради, просвятите: что есть из сертифицированного российского, что DMVPN умеет...
                                Ничего. Я про это и говорю. Это как с аттестацией ;-) Либо выполнение требований столетней давности, но зато легитимно. Либо нелегитимно, но зато современно.

                                Сообщение от Zuz Посмотреть сообщение
                                А западное решение для DMVPN (не Сisco) разве есть (тоже не рекламы ради)? И нелегитимное в каком смысле?
                                DMVPN - только у нас. Нелегитимное в том смысле, что для ввоза и использования западных СКЗИ (за рядом исключений) нужно разрешение ФСБ, которое получить очень непросто, а зачастую невозможно.

                                Комментарий


                                • #17
                                  Сообщение от Unhurried Посмотреть сообщение
                                  Вот что-то из этих: Застава, Континент, Vip-Net.
                                  К сожалению эти системы не заменяют нормальный роутер.
                                  Для корректности спрошу так:
                                  Что бы выбрали вы или не выбрали т.к. обнаружили определенные минусы.
                                  Схема "внешний мир -> циска -> криптошлюз Континент/Випнет" удовлетворяет 152.

                                  ИМХО, не выбрал бы Випнет:
                                  1) ПО подглючивает.
                                  2) В сетях со сложной топологией, иногда такие казусы случаются, что не поймешь - как идет данный трафик.
                                  3) Спорная модель нарушителя, заложенная в идеологию работы системы.
                                  4) В сетях с небольшим объемом трафика все более или менее, но когда начнете ставить криптошлюз на входе в сегмент (к примеру, серверный) с потоком трафика в сотни Мбит или несколько гигабит, то скорее всего придется ставить кластер криптошлюзов - а это другие деньги.

                                  Комментарий


                                  • #18
                                    Сообщение от security_user Посмотреть сообщение
                                    Схема "внешний мир -> циска -> криптошлюз Континент/Випнет" удовлетворяет 152.
                                    В такой схеме континент проще заменить на RVPN в рутер. Меньше железяк, меньше энергопотребления, ниже стоимость владения.

                                    Комментарий


                                    • #19
                                      Добрый день!
                                      Не поскажите, в связи с чем в последнее время возникла подобная проблема?
                                      В сязи с требованиями по 152-ФЗ?
                                      Еще год назад никаких проблем с cisco не было.
                                      Да и проверка ЦБ не требовала никаких сертификатов на cisco. Вот интересно, что они теперь напишут в замечаниях по окончании проверки.

                                      Комментарий


                                      • #20
                                        Посмотрел я системы, вот неплохая табличка обзора
                                        http://www.s-terra.com/CSP/RU/products/Table.htm
                                        По стере - можно в допниках поставить 100 серию вместо цисок и джуниперов,
                                        в более крупных узлах с отказоустойчивостью сперва циски и за ними криптошлюзы с включение динамической маршрутизации между шлюзами и ядром узла сети.

                                        Комментарий


                                        • #21
                                          S-Terra не роутер, оно по сути только шифровать и немного фаерволить умеет: GRE тунели не умеет, OSPF тоже, про функциональность аналогичную DMVPN я промолчу. Всё ручками по классическому IPSec VPN. Нестандартные сетевые интерфейсты только в старших моделях при использовании специальны карточек.
                                          Делать что-то типа http://www.s-terra.com/CSP/RU/suppor.../Scn8r_key.pdf ох как не хочется. Щас всё только на цисках и достаточно просто в облсуживании. А при наличии отдельных устройств для шифрования трафика аля с-терра как бы хороши эти устройства не были, в текущей ситуации для безопасности в целом и для организации просто лишние затраты.

                                          Дайте нам роутер, удовлетворяющий нашиму законодательству и умеющий делать, что то по уровню удобства сравнимое с DMVPN (нужо как дешёвый варинат для установки в банкоматы и малые офисы, так и подороже в центр).

                                          Комментарий


                                          • #22
                                            Кто ж даст то..только мечтаем. Сделано не на тех технологиях, увы.
                                            Вот это заявлено:
                                            http://www.s-terra.com/CSP/RU/produc...1/Gate/RRI.pdf
                                            что что может закрыть проблему допников.
                                            Конечно траты, а когда легче становилось ? я не помню такого.
                                            Для банкоматов проще решение:
                                            http://www.nsg.ru/products/ov_nsg700_4.php

                                            Комментарий


                                            • #23
                                              Сообщение от sergey73 Посмотреть сообщение
                                              Не поскажите, в связи с чем в последнее время возникла подобная проблема?
                                              Причин две. Именно у нас началось все, когда мы перешли на схему поставки оборудования DDU. Раньше сами партнеры сюда все ввозили, теперь мы ввозим, а они растомаживают и продают. Серьезная смена модели поставки привела к определенным сложностям.
                                              Вторая причина - введение новых правил Единого таможенного союза с 01.01.10, которые создали проблемы для ВСЕХ иностранных компаний, легально ввозящих оборудование сюда. Для контрабанды все осталось по-прежнему ;-(

                                              Комментарий


                                              • #24
                                                Сообщение от Unhurried Посмотреть сообщение
                                                Для банкоматов проще решение:
                                                http://www.nsg.ru/products/ov_nsg700_4.php
                                                Для банкоматов проще поставить обычные Cisco 800 без криптографии, а VPN поднимать на той же Винде ;-) Указанное решение, с точки зрения VPN, также нелегитимно ;-( Ни лицензии на разработку СКЗИ у NGS нет, ни сертификатов на ее решения. Когда речь идет о чисто сетевом устройстве - это не вызывает проблем. Но когда вы говорите о VPN, то не возникнет проблем с эксплуатацией в банкоматах (попадаете под исключения), но сам производитель попадает на нарушение законодательства. Готовы ли вы к приобретению оборудования, которое продается незаконно?

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  Для банкоматов проще поставить обычные Cisco 800 без криптографии, а VPN поднимать на той же Винде ;-)
                                                  А разве Cisco 8xx (например, те что используем мы 871) без K9 (и т.п.-го) бывает?

                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  Указанное решение, с точки зрения VPN, также нелегитимно ;-( Ни лицензии на разработку СКЗИ у NGS нет, ни сертификатов на ее решения. Когда речь идет о чисто сетевом устройстве - это не вызывает проблем. Но когда вы говорите о VPN, то не возникнет проблем с эксплуатацией в банкоматах (попадаете под исключения), но сам производитель попадает на нарушение законодательства.
                                                  Но там как основа использована ОС Linux, может оно как-то под ограничения подходит?
                                                  Вот это читал, помогло понять Вашу логику, но частично.
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  Готовы ли вы к приобретению оборудования, которое продается незаконно?
                                                  А разве есть какая-то ответсвенность за это? Есть договор, счета, накладные (разве, что лицензий на распространение криптографических средств нет).
                                                  Последний раз редактировалось Zuz; 04.10.2010, 09:16.

                                                  Комментарий


                                                  • #26
                                                    А зачем вам гостированная криптография в банкоматах, и где такое требование ? NGS позволяет поднять тунели по разным каналам обеспечивая хорошее резервирование т.к. набивается требуемыми модулями беспроводной связи. Добавим к этофу встройнный файр и даже не будем упоминать криптографию..данные не открытом текстом идут. А надеятся на циски с 56-бит ключем и "простыми алгоритмами" я бы не стал.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      А разве Cisco 8xx (например, те что используем мы 871) без K9 (и т.п.-го) бывает?
                                                      Скоро будет ;-)

                                                      Сообщение от Zuz Посмотреть сообщение
                                                      Но там как основа использована ОС Linux, может оно как-то под ограничения подходит?
                                                      Увы, не подходит. Это же сетевое устройство, а не ОС.

                                                      Сообщение от Zuz Посмотреть сообщение
                                                      А разве есть какая-то ответсвенность за это? Есть договор, счета, накладные (разве, что лицензий на распространение криптографических средств нет).
                                                      Если вы лицензиат, то добросовестно приобретенное ПО и оборудование - это условие лицензионной деятельности (на услуги). А вообще ФСБ начинает пугать (к счастью пока только пугать) применением ст.13.12 (нарушение правил защиты информации), которая предусматривает вплоть до конфискации. Либо временное изъятие на время проведения следственных действий против контрабандиста. Но пока это из области пугалок, к счастью.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Скоро будет ;-)
                                                        Народ будет брать и ставить туда прошивку с K9.

                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Увы, не подходит. Это же сетевое устройство, а не ОС.
                                                        Ну, хотелось бы поспорить: шифровальные (криптографические) средства там в составе ОС Linux общедоступной, пусть с модификациями производителя, а не в составе конечного устройства, но есть же возможность под пункт исключения подтянуть? Сами криптографические средства никто на территории РФ не разрабатывал, они в составе ОС Linux уже были. ОС установлена на железку. С использованием возможностей ОС VPN и получается.

                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Если вы лицензиат, то добросовестно приобретенное ПО и оборудование - это условие лицензионной деятельности (на услуги). А вообще ФСБ начинает пугать (к счастью пока только пугать) применением ст.13.12 (нарушение правил защиты информации), которая предусматривает вплоть до конфискации. Либо временное изъятие на время проведения следственных действий против контрабандиста. Но пока это из области пугалок, к счастью.
                                                        Спасибо, развернуло мысли в нужном направлении.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          Ну, хотелось бы поспорить: шифровальные (криптографические) средства там в составе ОС Linux общедоступной, пусть с модификациями производителя, а не в составе конечного устройства, но есть же возможность под пункт исключения подтянуть? Сами криптографические средства никто на территории РФ не разрабатывал, они в составе ОС Linux уже были. ОС установлена на железку. С использованием возможностей ОС VPN и получается.
                                                          Тут три проблемы - проблема ввоза, проблема продажи и проблема эксплуатации. С первой Linux как-то справляется, находясь вне правового поля ;-) Со второй проблема - я не видел лицензии ФСБ у разработчика. И с третьей сложности. Вы же это решение не как ОС на АРМ используете, а как VPN. А тут у ФСБ четкое мнение, что под исключение оно попадает только, например, если оно используется только в банкоматах, только для шифрования технологического канала и т.п. Так вот у VPN (для пользовательских данных) вариантов ухода под исключения (кроме банкоматов) почти нет.

                                                          Комментарий


                                                          • #30
                                                            Используется VPN с cisco 1841 k9 sec, 871 k9 sec, сейчас в ящике с апельсинами везут еще несколько 881 k9 sec.
                                                            Подскажите, каковы перспективы
                                                            - получения лицензий на использование криптографии
                                                            - выполнение методических рекомендаций по обработке персональных данных
                                                            - соответствия требований СТО БР ИББС-1.0-2010
                                                            Отказываться от отраслевого стандарта в пользу российского кала нет никакого желания по причинам отсутствия специалистов чтобы в нем копаться а также по причине дороговизны и т.п. Или все же реально как то обыграть этот момент с впн? Например если сказать что у нас не 3DES а используется openvpn с RSA?

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X