25 февраля, четверг 22:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

VipNet vs S-terra

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • VipNet vs S-terra

    Вопрос: что у кого лучше?
    Функции - криптошлюзы между подразделениями.
    Уже всю голову сломали выбирая.

  • #2
    Сообщение от Unhurried Посмотреть сообщение
    Вопрос: что у кого лучше?
    Функции - криптошлюзы между подразделениями.
    Уже всю голову сломали выбирая.
    Лучше - бутылка хорошего вискаря ))

    Какая разница какие где функции???
    Составьте список задач, которые вы собираетесь решить с помощью этого оборудования в виде чек-листа. А дальше пройдитесь уже по наличию функций, которые эти задачи решают (закрывают). Отдельно отметьте задачи, которые надо решить обязательно. Можно к задачам дать весовые коэффициенты. Тогда итог сравнения будет цифирь и выбор продукта можно обосновать именно им.

    Комментарий


    • #3
      Я постараюсь быть объективным. Из этих двух решений С-Терра будет получше и во многом благодаря сотрудничеству с Сиско (не умаляя их собственных достоинств, разумеется). При разработке они ориентировались на решения Cisco и лучшие практики в области VPN-продуктов. Хотя им, как и любому отечественному разработчику, свойственны определенные нюансы.

      Из конкретных преимуществ С-Терра:
      - поддержка СТАНДАРТНОГО IPSec и IKE, что позволяет зашифрованному трафику беспрепятственно проходить через любое сетевое устройство любого вендора (у самопальных разработок по ТЗ с проприетарными протоколами бывают сложности и нередко)
      - более грамотная архитектура
      - возможность работы на маршрутизаторах Cisco(для кого-то это определяющее преимущество). Инфотекс тоже может, но их решение несертифицированное для наших платформ в ФСБ, а у С-Терры сертифицированное.
      - более эффективная и лучшая поддержка мультимедиа (голоса и видео). Она тестировалась для шифрования TelePresence и для ВКС, а также для IP-телефонии на спутниковых каналах. Есть результаты испытаний.
      - возможность работы в кластере с балансировкой нагрузки между VPN-шлюзами
      - широкий модельный ряд (от софтинки/железки для банкомата до мощного headend). У Инфотекса придется самому выбирать железо, заранее не зная, потянет оно нужную вам в среднесрочной или долгосрочной перспективе производительность. С-Терра до 3.2 Гбит/сек сегодня выдает.
      - поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL, LDAP, что позволяет работать почти с любым PKI-решением (тестировалось с Keon, УЦ MS, Notary-PRO, КриптоПРО в России). У Инфотекса ничего похоже него, но декларируется PKI на симметричных ключах.
      - мониторинг\аудит по SNMP и syslog. У Инфотекса только локальный журнал.
      - поддержка GRE, 802.1q (VLAN)
      - управление с Cisco Security Manager (если актуально)

      Что лучше у Инфотекса:
      - сертификация VPN по более высокому уровню
      - наличие сертификата ФСБ на их МСЭ.

      Вот примерно так.

      Комментарий


      • #4
        Дополню явные различия:
        По железу.
        Модельный ряд с-терры больше, у Инфотекса беднее.
        В случае нужного кол-ва интерфейсов больше трех или необходимости высокой производительности для инфотекса необходимо покупать свое железо, а это уже другая система лицензирования и выходит дороже.

        По управлению.
        В С-терре администраторское место, но управление шлюзами индивидуальное.
        В Инфотексе централизованная консоль с групповой загрузкой баз настроек, что на мой взгляд положительно в больших сетях.
        Т.е. в случае динамического развития и как следствие частого конфигурирования, первоначальная утряска сети решение с-терры более трудоемкое. В случае устоявшейся сети, думаю, ресурсоемкость одного порядка.

        Комментарий


        • #5
          По факту остановились на s-terre

          Комментарий


          • #6
            Неплохая информация, но чуть прокомментирую свои сомнения, т.к. юзаем випнет.
            Сообщение от Алексей Лукацкий Посмотреть сообщение
            Я постараюсь быть объективным. Из этих двух решений С-Терра будет получше и во многом благодаря сотрудничеству с Сиско (не умаляя их собственных достоинств, разумеется). При разработке они ориентировались на решения Cisco и лучшие практики в области VPN-продуктов. Хотя им, как и любому отечественному разработчику, свойственны определенные нюансы.
            Из конкретных преимуществ С-Терра:
            - поддержка СТАНДАРТНОГО IPSec и IKE, что позволяет зашифрованному трафику беспрепятственно проходить через любое сетевое устройство любого вендора (у самопальных разработок по ТЗ с проприетарными протоколами бывают сложности и нередко)
            Ок, но это не относится к совсем уж беспепятственному прохождению через NAT (http://www.unixwiz.net/techtips/iguide-ipsec.html).
            - более грамотная архитектура
            В чем?
            - возможность работы на маршрутизаторах Cisco(для кого-то это определяющее преимущество). Инфотекс тоже может, но их решение несертифицированное для наших платформ в ФСБ, а у С-Терры сертифицированное.
            ок
            - более эффективная и лучшая поддержка мультимедиа (голоса и видео). Она тестировалась для шифрования TelePresence и для ВКС, а также для IP-телефонии на спутниковых каналах. Есть результаты испытаний.
            Можно считать, что равноценно. Или есть сравнительные результаты тестирования?
            - возможность работы в кластере с балансировкой нагрузки между VPN-шлюзами
            Анологично на випнет http://infotecs.ru/products/catalog....LEMENT_ID=2930
            - широкий модельный ряд (от софтинки/железки для банкомата до мощного headend). У Инфотекса придется самому выбирать железо, заранее не зная, потянет оно нужную вам в среднесрочной или долгосрочной перспективе производительность. С-Терра до 3.2 Гбит/сек сегодня выдает.
            Устаревшая информация, есть софтинки/железки у випнета.
            - поддержка PKCS#7,10,12, X.509 v.3 (RSA, DSA, ГОСТ), CRL, LDAP, что позволяет работать почти с любым PKI-решением (тестировалось с Keon, УЦ MS, Notary-PRO, КриптоПРО в России). У Инфотекса ничего похоже него, но декларируется PKI на симметричных ключах.
            А PKI бывает не на открытых ключах???
            - мониторинг\аудит по SNMP и syslog. У Инфотекса только локальный журнал.
            випнет заявлет что есть StateWatcher
            - поддержка GRE, 802.1q (VLAN)
            ок
            - управление с Cisco Security Manager (если актуально)
            легитимное управление тольчо через SSH
            Что лучше у Инфотекса:
            - сертификация VPN по более высокому уровню
            - наличие сертификата ФСБ на их МСЭ.
            ок
            Последний раз редактировалось Сергей Сергеевич; 19.01.2011, 13:53.

            Комментарий


            • #7
              Сообщение от Сергей Сергеевич Посмотреть сообщение
              Можно считать, что равноценно. Или есть сравнительные результаты тестирования?
              Именно сравнительные? Я видел одни закрытые результаты тестов трех VPN-продуктов год назад. Публичных СРАВНИТЕЛЬНЫХ нет.

              Сообщение от Сергей Сергеевич Посмотреть сообщение
              Устаревшая информация, есть софтинки/железки у випнета.
              Имеются ввиду продукты с приставкой HW на базе Аквариуса? Это скорее просто до кучи решение. Я не видел особенно у заказчиков таких железяк - все обычно берут софт и ставят на свои сервера.

              Сообщение от Сергей Сергеевич Посмотреть сообщение
              А PKI бывает не на открытых ключах???
              Конечно. Но это о-о-о-чень редкие сценарии ввиду их бессмысленности при наличии асимметричной криптографии.

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Именно сравнительные? Я видел одни закрытые результаты тестов трех VPN-продуктов год назад. Публичных СРАВНИТЕЛЬНЫХ нет.
                Кем проводились, сценарий, платформы? Если сравнительные тесты - закрытые и проводились заинтересованными лицами, то это от лукавого.
                Имеются ввиду продукты с приставкой HW на базе Аквариуса? Это скорее просто до кучи решение. Я не видел особенно у заказчиков таких железяк - все обычно берут софт и ставят на свои сервера.
                Может просто не знаете про всех операторов ИСПДн? Тем более, что сертификацию продукты прошли не так давно, весной 2010, как и продукты S-terra. Слышал от сотрудников Инфотекса, что есть проекты у крупных федеральных заказчиков на HW.
                Конечно. Но это о-о-о-чень редкие сценарии ввиду их бессмысленности при наличии асимметричной криптографии.
                Випнет однозначно поддерживает поддерживает сдандартную PKI на паре открытый-закрытый ключ http://infotecs.ru/solutions/pki/
                Пока я для себя делаю вывод, что единственный условный плюс продуктов S-terra - возможность встравивания модуля шифрования в маршрутизаторы Cisco для экономии места в стойке. Объяснить другие плюсы не могу.

                Комментарий


                • #9
                  VipNet пока проигрывает отсутствуем высокопроизводительной платформы, о двухтонниках заявлено и не более и кол-вом интерфейсов в серверах.
                  Можно и на свое ставить, но это уже несколько другое решение, не равное ПАКу.

                  Комментарий


                  • #10
                    Сообщение от Сергей Сергеевич Посмотреть сообщение
                    Кем проводились, сценарий, платформы? Если сравнительные тесты - закрытые и проводились заинтересованными лицами, то это от лукавого.
                    Тесты проводились одним заказчиком ДЛЯ СЕБЯ. И разумеется заказчик был заинтересован в приобретении удовлетворяющего ЕГО при ЕГО исходных данных решения.

                    Сообщение от Сергей Сергеевич Посмотреть сообщение
                    Может просто не знаете про всех операторов ИСПДн? Тем более, что сертификацию продукты прошли не так давно, весной 2010, как и продукты S-terra.
                    Конечно про всех не слышал. Но я говорю не о сертификате, а о изначальной концепции решения. С-Терра изначально не была софтом, а ориентировалась на ПАК. А Инфотекст наоборот. Поэтому умение работать с железом, поддерживать железо и т.д. у С-Терры получше.

                    Сообщение от Сергей Сергеевич Посмотреть сообщение
                    Випнет однозначно поддерживает поддерживает сдандартную PKI на паре открытый-закрытый ключ http://infotecs.ru/solutions/pki/
                    О, спасибо за информацию. Видимо это их новый продукт - раньше они классический PKI не поддерживали, но... минус в том, что это собственный PKI, который надо покупать. А С-Терра поддерживает существующие PKI-решения - от Сигнал-Ком, от MS, от Крипто-Про. Это выгоднее, на мой взгляд.

                    Сообщение от Сергей Сергеевич Посмотреть сообщение
                    Пока я для себя делаю вывод, что единственный условный плюс продуктов S-terra - возможность встравивания модуля шифрования в маршрутизаторы Cisco для экономии места в стойке. Объяснить другие плюсы не могу.
                    А дальше идет глубокая техника в части поддержки 802.1q, GRE, QoS и т.д.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Тесты проводились одним заказчиком ДЛЯ СЕБЯ. И разумеется заказчик был заинтересован в приобретении удовлетворяющего ЕГО при ЕГО исходных данных решения.
                      Если не секрет, хотя бы примерные результаты? Естественно без упоминания Заказчика.
                      Согласен, что по железу, возможно, "притертость" лучше.

                      Комментарий


                      • #12
                        Я постараюсь их найти - все-таки тестировалось не наше оборудование ;-)

                        Комментарий


                        • #13
                          Спасиб!

                          Комментарий


                          • #14
                            Меня очень смущает, что в С-Терре нет сертификатов ФСБ на сервер и клиент, а есть только на шлюз. То есть я могу усомниться в его функционале, тем более, что заключения о корректности встраивания криптосредств (внешних) у них нет.

                            Недостатки Инфотекса:
                            Собственная реализация ipseс (iplir)
                            Только собственный криптопровайдер (доменк)
                            Половина управлялова под ДОС

                            Комментарий


                            • #15
                              Сообщение от UzbekRus Посмотреть сообщение
                              Меня очень смущает, что в С-Терре нет сертификатов ФСБ на сервер и клиент, а есть только на шлюз. То есть я могу усомниться в его функционале, тем более, что заключения о корректности встраивания криптосредств (внешних) у них нет.
                              С-Терре не нужен сертификат о корректности встраивания, т.к. для VPN-решений - это нелегитимная схема, о чем ФСБ постоянно говорит. Для VPN-решений сертификат должен быть на все издалие целиком и у С-Терры он есть. Более того, он действует на ВСЕ варианты исполнения - шлюз, сервер, клиент и т.д.

                              Комментарий


                              • #16
                                Алексей, то есть надо полагать, что у них весь комплекс называется Gate, на него и сертификат, а клиент и сервер - компоненты это комплекса? А зачем же тогда отдельные сертификаты ФСТЭК на эти компоненты?

                                Однако, судя по их сайту этого не следует, а продается набор из компонент: шлюз, сервер, клиент, с прикручиваемым внешним криптопровайдером.

                                Комментарий


                                • #17
                                  При выборе решений, нужно также оценивать класс криптозащиты. Если для банка, то нужен класс КС2. У s-terrы КС2 дорогой.

                                  Комментарий


                                  • #18
                                    Сообщение от UzbekRus Посмотреть сообщение
                                    Алексей, то есть надо полагать, что у них весь комплекс называется Gate, на него и сертификат, а клиент и сервер - компоненты это комплекса? А зачем же тогда отдельные сертификаты ФСТЭК на эти компоненты?

                                    Однако, судя по их сайту этого не следует, а продается набор из компонент: шлюз, сервер, клиент, с прикручиваемым внешним криптопровайдером.
                                    У меня перед глазами формуляр, в котором написано, что под VPN Gate они понимают и шлюз, и сервер, и клиент и т.д. А сертификат ФСТЭК - это же другой регулятор.

                                    Комментарий


                                    • #19
                                      Сообщение от wenum Посмотреть сообщение
                                      При выборе решений, нужно также оценивать класс криптозащиты. Если для банка, то нужен класс КС2. У s-terrы КС2 дорогой.
                                      Сейчас снижение цен идет

                                      Комментарий


                                      • #20
                                        Сообщение от UzbekRus Посмотреть сообщение
                                        Меня очень смущает, что в С-Терре нет сертификатов ФСБ на сервер и клиент, а есть только на шлюз. То есть я могу усомниться в его функционале, тем более, что заключения о корректности встраивания криптосредств (внешних) у них нет.

                                        Недостатки Инфотекса:
                                        ...
                                        Половина управлялова под ДОС
                                        Под DOS только ЦУС. На S-terra все управление - "командная строка", даже не DOS картинки. При каждом переконфигурировании сети, например, масштабировании, приходится вносить ручками изменения во все остальные шлюзы.

                                        У меня перед глазами формуляр, в котором написано, что под VPN Gate они понимают и шлюз, и сервер, и клиент и т.д. А сертификат ФСТЭК - это же другой регулятор.
                                        Тоже задавался этим вопросом. Тут ребята с Инфотекса сертификат прокомментировали. Говорят в каком-то документе, вроде бы формуляр назвали, написано, что S-terra нельзя применять для защиты конфиденциалки при передаче ее через интернет.

                                        Комментарий


                                        • #21
                                          Хотелось бы почитать их формуляр и ТУ заодно. Как можно заполучить эти документы?

                                          Комментарий


                                          • #22
                                            Сообщение от Сергей Сергеевич Посмотреть сообщение
                                            Под DOS только ЦУС. На S-terra все управление - "командная строка", даже не DOS картинки. При каждом переконфигурировании сети, например, масштабировании, приходится вносить ручками изменения во все остальные шлюзы.
                                            То ли уже есть, то ли скоро будет VPN Updater именно для таких случаев. А вообще крупной сетью шлюзов можно управлять с помощью Cisco Security Manager. А это полноценная графическая консоль управления с такими функциями, которые Инфотексу пока не снились ;-)

                                            Сообщение от Сергей Сергеевич Посмотреть сообщение
                                            Тоже задавался этим вопросом. Тут ребята с Инфотекса сертификат прокомментировали. Говорят в каком-то документе, вроде бы формуляр назвали, написано, что S-terra нельзя применять для защиты конфиденциалки при передаче ее через интернет.
                                            Да-да, я тоже слышал такой миф. Только от другого отечественного производителя VPN-решений. Правда, никто мне не мог показать место в формуляре, где это написано.

                                            Комментарий


                                            • #23
                                              Сообщение от UzbekRus Посмотреть сообщение
                                              Хотелось бы почитать их формуляр и ТУ заодно. Как можно заполучить эти документы?
                                              В С-Терру позвони или напиши ;-)

                                              Комментарий


                                              • #24
                                                Добыл и прочитал формуляр на Gate 3.1
                                                У них есть три исполнения, одно из которых Client. Про сервер не сказано ни слова. То есть мое подозрение до конца так и не развеяно.

                                                Комментарий


                                                • #25
                                                  Сообщение от UzbekRus Посмотреть сообщение
                                                  Добыл и прочитал формуляр на Gate 3.1
                                                  У них есть три исполнения, одно из которых Client. Про сервер не сказано ни слова. То есть мое подозрение до конца так и не развеяно.
                                                  Исполнений 5 в моем варианте формуляра. Но действительно Server там нет. Сейчас уточню...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    ... А вообще крупной сетью шлюзов можно управлять с помощью Cisco Security Manager. А это полноценная графическая консоль управления с такими функциями, которые Инфотексу пока не снились ;-)
                                                    Про поддержку CSM в документации на S-terra ни слова. Речь только об использовании SSH.
                                                    http://www.s-terra.com/CSP/RU/produc...ient/Rules.pdf
                                                    Правда, никто мне не мог показать место в формуляре, где это написано.
                                                    Скрин приложил.
                                                    Предваряя следующий вопрос про "корпоративную информационную сеть". Определение есть в ФЗ№1.
                                                    "корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы".

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Сергей Сергеевич Посмотреть сообщение
                                                      Про поддержку CSM в документации на S-terra ни слова. Речь только об использовании SSH.
                                                      http://www.s-terra.com/CSP/RU/produc...ient/Rules.pdf
                                                      Поверьте мне, как сотруднику Cisco ;-) Если не верите на слово, попросите организовать С-Терру демо.

                                                      Сообщение от Сергей Сергеевич Посмотреть сообщение
                                                      Предваряя следующий вопрос про "корпоративную информационную сеть". Определение есть в ФЗ№1.
                                                      "корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы".
                                                      Я, правда, не совсем понимаю, причем тут ФЗ "об ЭЦП", ну да ладно. И что вас смущает в данном Вами определении? VPN - это по определению система для ограниченного круга лиц. У вас же не может быть так, чтобы на одном конце был VPN-шлюз, а на другом конце ничего... А про то, что корпоративная информационная система не может быть наложенной на Интернет ни в определении, ни в ФЗ, ни в формуляре ни слова.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Поверьте мне, как сотруднику Cisco ;-) Если не верите на слово, попросите организовать С-Терру демо.
                                                        Верю своим глазам и бумагам .
                                                        А если серьезно, получается, что возможность использования CSM - недекларированные возможности? И использовать в серьезной аттестованной системе сей замечательны инструментарий нельзя, т.к. это не предусмотрено документацией согласованной с ФСБ. Понятно, что если нельзя, но очень хочется - то можно. Но до первого залета...
                                                        Я, правда, не совсем понимаю, причем тут ФЗ "об ЭЦП"...И что вас смущает в данном Вами определении?
                                                        ФЗ №1 - место, где дается определение КИС .
                                                        Разбираемся дальше.
                                                        VPN - это по определению система для ограниченного круга лиц
                                                        Полностью согласен! Напрашивается вывод - S-terra для защиты конфиденциалки может применятся только при наличии уже существующей корпоративной VPN (абра-кадабра - VPN на VPN). Уже имеющаяся VPN к тому же должна быть сертифицирована, раз конфиденциалка.
                                                        Либо использовать S-terra в пределах контролируемой зоны.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Сергей Сергеевич Посмотреть сообщение
                                                          Скрин приложил.
                                                          Предваряя следующий вопрос про "корпоративную информационную сеть". Определение есть в ФЗ№1.
                                                          Это логично

                                                          В терминах ФЗ №1 системы подразделяются на общего доступа и окрпоративные, причем они подразделяются не по технологии передачи, а по правовым особенностям предоставления доступа.

                                                          В случае системы общего доступа оператор системы не вправе отказать кому-либо предоставлении доступа к ней, поэтому разумно, что разраюботчик СКЗИ не рискует заявить защиту информации ограниченного доступа. В корпоративной системе у оператора есть право ограничивать доступ к системе, и разработчик СКЗИ заявил, что в таких системах он обеспечивает адекватную защиту передаваемой конфиденциальной информации. Это не то же самое, что "нельзя применять для защиты конфиденциалки при передаче ее через интернет"

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Сергей Сергеевич Посмотреть сообщение
                                                            Верю своим глазам и бумагам .
                                                            А если серьезно, получается, что возможность использования CSM - недекларированные возможности? И использовать в серьезной аттестованной системе сей замечательны инструментарий нельзя, т.к. это не предусмотрено документацией согласованной с ФСБ. Понятно, что если нельзя, но очень хочется - то можно. Но до первого залета...
                                                            Ну мне кажется, что вы лукавите ;-) Cisco Security Manager - это система управления средствами СЕТЕВОЙ безопасности, а не endpoint'ами. Поэтому правильно смотреть в документации на CSP VPN Gate, а не на Client ;-) И тогда сразу все встает на свои места - никаких недекларированных возможностей - все описано даже в отдельном документе, который находится на странице с документацией.

                                                            Комментарий

                                                            Обработка...
                                                            X