20 апреля, вторник 17:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сертифицированный vpn ssl

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сертифицированный vpn ssl

    На днях StoneGate SSL VPN получил сертификат соответствия ФСБ как СКЗИ класса КС1 и КС2, что стало достаточно значимым событием для рынка ИБ.
    Конечно есть много вопросов по реализации, но флагман рынка определился.

    Тут бы хотелось услышать Ваше мнение по этому поводу. Насколько вообще востребовано это решение?

  • #2
    пруфлинк?

    Комментарий


    • #3
      Так вроде сертификат у них только на МСЭ, а не на SSL

      Комментарий


      • #4
        Аналогичная информация от производителя что сертификат на SSL уже получен.
        Скоро опубликуют.

        Комментарий


        • #5
          Есть сертификат ФСБ на SSL. Вопрос, что должно стоять на стороне клиента, чтобы эта схема работала?

          Комментарий


          • #6
            Сертификат именно на SSL

            А что должно стоять у клиента, это хороши вопрос. Я думаю что тут нужно или реализовывать некое дополнение к стандартным средствам, что то вроде дополнения к интернет браузеру, или создавать специализированное приложение.
            Первый вариант более гибкий и менее затратный (если не учитывать что нужно договориться с владельцем того ПО под который делать).
            Второй вариант проще на старте, но утопичный на перспективу. Все же поддерживать отдельный программный продукт, на достойном уровне, это уже совсем другой бизнес.

            Комментарий


            • #7
              Вот именно. Как бы решение и есть, но начинаешь копать и всплывает куча проблем. Основная - что ставить на стороне клиента?

              Комментарий


              • #8
                Уверен что решение по проблеме "Что ставить на сторону клиента" появится в ближайшее время. Перспективы внедрения есть, а решение это дело времени.

                Комментарий


                • #9
                  Насколько я понимаю на стороне клиента должна быть некое приложение, что то вроде а-ля защищенного (урезанного) браузера (клиентского приложения), позволяющего заходить только на определенные защищенные ресурсы. Как вариант это может быть как чисто программное так и программно-аппаратное решение, но что то очень простенькое, чтобы клиенту не пришлось совершать слишком много действий и носить с собой слишком большую сумку. У меня вот вопрос относительно сертификации SSL. В чем смысл получать сертификат на SSL? Один получил, но все равно его буду использовать многие...

                  Комментарий


                  • #10
                    Сообщение от Евгений Неверский Посмотреть сообщение
                    Уверен что решение по проблеме "Что ставить на сторону клиента" появится в ближайшее время. Перспективы внедрения есть, а решение это дело времени.
                    Или не появится. Если вы посмотрите сайт производителя (да и не только его), то технология SSL VPN преподносится как безклиенский VPN, т.е. VPN, при котором на клиенте не надо ставить ничего и можно пользоваться функциональностью браузера. Это действительно так. Но не в случае с VPN SSL на базе ГОСТа. Стандартный браузер не поддерживает ГОСТ. Следовательно, вам надо напрячь клиента, чтобы поставить клиентскую часть. А где ее взять? Те криптопровайдеры, которые есть, например, от Инфотекса, сертифицирован на КС1. А по СТО банки обязаны использовать КС2. А КС2 подразумевает от клиента достаточно серьезную работу. Будет ли он это делать? Большой вопрос. И таких вопросов полно.

                    Комментарий


                    • #11
                      Я конечно могу заблуждаться, но то что пишет Stonesoft на своем сайте это небольшая игра слов. То есть когда он пишет что на стороне клиента не потребуется установка дополнительного ПО, то здесь, я бы подразумевал, что не потребуется специального ПО, а установка дополнения к какому либо браузеру или установка отдельного браузера который поддерживает VPN SSL, но при этом является все тем же браузером для обычных нужд.

                      Алексей, если Вам не сложно, можете озвучить весь спектр вопросов которые у Вас возникают по поводу SSL VPN и о которых Вы ранее говорили. Я смотрю Вы в этом профи и было бы интересно посмотреть на тему Вашими глазами.

                      Комментарий


                      • #12
                        Евгений, я же озвучил. SSL VPN - это хорошо, когда у вас и шлюз и клиент понимают друг друга. И это так при использовании AES, DES, 3DES. Все понимают друг друга. Вы можете с помощью любого браузера подцепиться к любому шлюзу и не иметь проблем. Но с ГОСТом ситуация иная - его не поддерживает НИКТО из вендоров ОС и приложений. Чтобы вы могли работать с шлюзом на ГОСТе у вас должен быть клиент на ГОСТе. А чтобы был клиент на ГОСТе вы должны его на клиента поставить. А взять-то его где? Ставить КриптоПро? Или еще что-то? Но его не везде можно поставить? И за него платить деньги надо в любом случае. Что Stonesoft говорит по этому поводу?

                        Комментарий


                        • #13
                          StoneSoft пока сохраняет молчание, наверное что то создает и о результатах пока не готов говорить.

                          А относительно проблемы с клиентской стороной тут я повторюсь, но дело времени, я так считаю. Все дело в ом что и ОС и приложения которые мы все с Вами используем корнями не от нас, и то что оно не поддерживает наши стандарты явление вполне закономерное.

                          Ели отсутствие клиентского приложение это единственная проблема с которой мы сталкиваемся на этапе внедрения, то можно считать что путь практически свободен

                          Комментарий


                          • #14
                            Cкорее наоборот. Можно сказать, что это тупиковое направление ;-) Если это не может поставить клиент, то это не будет использоваться никоим боком

                            Комментарий


                            • #15
                              Хоть я и новичок в этом деле, но я согласен с Евгением.

                              Мы де делаем программное обеспечение сами, у нас в стране да же своей операционки нет и да же браузера своего, вменяемого нет. А раз нет своего, то говорить что к примеру мы к хрому можем подвязать модуль и вшить свои стандарты шифрования не приходиться.

                              Вот для мобильных устройств еще мы что то можем, я так думаю, сделать, но это будет в любом случае отдельное приложение в существующие нас опять же не пустят и по технологическим и по политическим особенностям.

                              Алексей, не сочтите за назойливость, но в чем Вы видите тупик? Если в том, что пользователю нужно спец клиентская часть под винду, так это исторически у нас.

                              Комментарий


                              • #16
                                Тупик в том, что требование наличия клиентской части ставит крест на технологии как таковой. Чем она отличается тогда от IPSec VPN, которая тоже требует VPN-клиента?

                                Комментарий


                                • #17
                                  Дмитрий конечно дал маху Вся суть технологии ssl именно в отсутствии явной клиентской части, то есть что то ставится, запускается на клиентской стороне, но это или уже в шито в используемое приложении, такой больше для мобильных решений подойдет, или как внешний скрипт на исполнение.
                                  В качестве информации по отличиям, прочтите статью об отличиях IPSEC SSL http://www.anti-malware.ru/node/449
                                  Статья хоть и 8 года, но технология то не нова. Другой вопрос что сертифицированное решение появилось совсем недавно.

                                  Комментарий


                                  • #18
                                    Вот именно. Нужно ставить КриптоПРО CSP на стороне клиента. И ставить заранее. Это сводит на нет все преимущества SSL VPN

                                    Комментарий


                                    • #19
                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Вот именно. Нужно ставить КриптоПРО CSP на стороне клиента. И ставить заранее. Это сводит на нет все преимущества SSL VPN
                                      почему же это сводит на нет преимущества?
                                      крипто про цсп уже стоит на миллионе компов

                                      Комментарий


                                      • #20
                                        На миллионе? Ню-ню ;-) И только в России. И только на ПК. А что делать, если мне надо из отпуска или командировки к ДБО достучаться? В Интернет-кафе как я поставлю CSP?

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          На миллионе? Ню-ню ;-)
                                          ну да, что такого?

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          И только на ПК.
                                          у криптопро есть инструментарий для разработки приложений с их криптой для ифона и ипада, если речь об этом)

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          А что делать, если мне надо из отпуска или командировки к ДБО достучаться? В Интернет-кафе как я поставлю CSP?
                                          да кто в наше время в интернет кафе ходит? это же каменный век
                                          щас ноутбуки у всех есть (тем более в командировке)

                                          //к ДБО кстати через VPN и нет нужды достукиваться, там публичный веб-ресурс, впн не нужен.
                                          впн обычно нужен чтобы например удаленно подрубиться в локальную сеть/к ресурсу)
                                          Последний раз редактировалось pushkinist; 28.04.2012, 12:22.

                                          Комментарий


                                          • #22
                                            Сообщение от pushkinist Посмотреть сообщение
                                            ну да, что такого?


                                            у криптопро есть инструментарий для разработки приложений с их криптой для ифона и ипада, если речь об этом)


                                            да кто в наше время в интернет кафе ходит? это же каменный век
                                            щас ноутбуки у всех есть (тем более в командировке)

                                            //к ДБО кстати через VPN и нет нужды достукиваться, там публичный веб-ресурс, впн не нужен.
                                            впн обычно нужен чтобы например удаленно подрубиться в локальную сеть/к ресурсу)
                                            И все же, использование Крипто-Про сводят на нет преимущества clientless -технологии на SSL VPN, суть которой -возможность удаленного доступа в любом месте, с любого средства вычислительной техники (кроме яблочных гаджетов), например имея генератор ОТР на своем мобильнике, я не завишу ни от рабочего места, ни от своего бука, ни от платформы. К тому же Крипто-Про денег стоит

                                            Комментарий


                                            • #23
                                              Сообщение от Kerber Посмотреть сообщение
                                              И все же, использование Крипто-Про сводят на нет преимущества clientless -технологии на SSL VPN, суть которой -возможность удаленного доступа в любом месте, с любого средства вычислительной техники (кроме яблочных гаджетов), например имея генератор ОТР на своем мобильнике, я не завишу ни от рабочего места, ни от своего бука, ни от платформы.
                                              ну это как-то похоже на придирки)
                                              такие описываемые сертифицированные ВПН-решения могут существовать только в чудесной стране идеальных розовых фей и единорогов. ну и еще в вакууме.

                                              в наших реалиях новинка всяко найдет применение
                                              а чем больше конкуренции, тем лучше потребителю

                                              Сообщение от Kerber Посмотреть сообщение
                                              К тому же Крипто-Про денег стоит
                                              видимо я выше писал невидимым шрифтом) повторюсь: крипто про УЖЕ и так СТОИТ на миллионе компов в стране по разным причинам, и им ничего не нужно ни ставить ни докупать.

                                              Комментарий


                                              • #24
                                                Сообщение от pushkinist Посмотреть сообщение
                                                ну это как-то похоже на придирки)
                                                такие описываемые сертифицированные ВПН-решения могут существовать только в чудесной стране идеальных розовых фей и единорогов. ну и еще в вакууме.

                                                в наших реалиях новинка всяко найдет применение
                                                а чем больше конкуренции, тем лучше потребителю


                                                видимо я выше писал невидимым шрифтом) повторюсь: крипто про УЖЕ и так СТОИТ на миллионе компов в стране по разным причинам, и им ничего не нужно ни ставить ни докупать.
                                                Какие придирки, бизнесу не нужны ГОСТЫ и сертифицированные ВПН -решения, я говорю ни о каких то сферических конях в вакууме, а о конкретно взятой SSL VPN технологии которая успешно себе работает без ГОСТОв и КриптоПРО на шлюзе SSL VPN StoneGate, да он имеет возможность работать с ГОСТ, но это частный случай. А то что КриптоПРО стоит на миллионе компов, так это мелочи даже в рамках страны, а про зарубеж вообще речи нет.

                                                Комментарий


                                                • #25
                                                  Сообщение от Kerber Посмотреть сообщение
                                                  Какие придирки, бизнесу не нужны ГОСТЫ и сертифицированные ВПН -решения
                                                  я слышал есть закон о персональных данных, и он чето типа требует использовать сертифицированную криптографию или типа того
                                                  и по нему даже какие-то проверки бывают вроде
                                                  и еще я слышал, что есть государственные конторы, которые должны использовать все ваще сертифицированное

                                                  Комментарий


                                                  • #26
                                                    Сообщение от pushkinist Посмотреть сообщение
                                                    я слышал есть закон о персональных данных, и он чето типа требует использовать сертифицированную криптографию или типа того
                                                    и по нему даже какие-то проверки бывают вроде
                                                    и еще я слышал, что есть государственные конторы, которые должны использовать все ваще сертифицированное
                                                    Старый спорный вопрос, является ли клиентская машина элементом ИСПДн, нет не является, хотя можно и обратное доказать. Казуистика, игра слов, у кого юрист позубастее тот и прав.
                                                    За государственные конторы вообще речи нет, у них только ГОСТ.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от pushkinist Посмотреть сообщение
                                                      я слышал есть закон о персональных данных, и он чето типа требует использовать сертифицированную криптографию или типа того
                                                      и по нему даже какие-то проверки бывают вроде
                                                      и еще я слышал, что есть государственные конторы, которые должны использовать все ваще сертифицированное
                                                      Ну мы сейчас говорим только о банках ;-) У меня вот ни на одном компе КриптоПро нет (а у меня компов, включая мобильные, 5). И в офисе у меня КриптоПро нет. И у многих моих коллег его тоже нет. Вот если бы КриптоПро пошло путем Касперского и устанавливало свой CSP как OEM, ситуация могла бы поменяться. Но только в рамках России. Для доступа к трейдингу из-за рубежа ситуация опять же патовая

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Ну мы сейчас говорим только о банках ;-)
                                                        почему? на этом форуме не только банкиры общаются и говорят не только о банках.

                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        У меня вот ни на одном компе КриптоПро нет (а у меня компов, включая мобильные, 5). И в офисе у меня КриптоПро нет. И у многих моих коллег его тоже нет.
                                                        ну это аргумент из разряда: "у меня нет реги вконтакте и в однокласнеках => этими сетями никто не пользуется"
                                                        я ведь не говорил, что у вас с коллегами стоит криптопро)
                                                        я говорил, что криптопро цсп уже довольно распространено в стране.
                                                        распространено в сто раз шире, чем любые сертифицированные впн-клиенты.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Евгений Неверский Посмотреть сообщение
                                                          На днях StoneGate SSL VPN получил сертификат соответствия ФСБ как СКЗИ класса КС1 и КС2
                                                          Можно ссылку в студию ? Не нашел я этих сертификатов ФСБ...
                                                          Сообщение от Евгений Неверский Посмотреть сообщение
                                                          Тут бы хотелось услышать Ваше мнение по этому поводу. Насколько вообще востребовано это решение?
                                                          Наше мнение такое - востребовано любое сертифицированное по КС2 VPN решение, которое по цене ниже континента - хотя бы по цене маленького острова. Не люблю когда производитель цену называет коммерческой или военной тайной - человеческого прайса на сие чудо мне за полчаса поиска найти не удалось - ценники интеграторов с их конскими услугами не в счет.

                                                          Кстати по теме - мож кому интересно (Лукацкому ? ). Сидел я тут, чесал репу и надумал спросить товарисчей чекистов - а если вы Циску К9 в РФ со СКЗИ в ВПН по своей чудо-нотификации впустили и даже написали там, че типа для "использования в банковских транзакциях" - так че нам ее можно для этих транзакций использовать, с учетом того, че там ПД нередко встречается (ст.19 152-ФЗ) и банковская тайна там встречается всегда (СТО ИББС - КС2) ? Спросил конкретно - че будет, еси мы ее между нашими офисами воткнем и будем гонять ПД в банковских транзакциях через нее - требования ст.19 152-ФЗ по использованию сертифицированного СКЗИ мы при этом выполним али дудки ? Зам.царя ЦЛСЗ ФСБ товарисч Ковалев небезыизвестный, полагаю, обитателям этого куска форума, ответил тоже ясно и конкретно. Нотификация, грит, позволяет ввезти, но разрешение на эксплуатацию не дает - сие определяется иными нормами. Нотификацию, грит, ни под какой дурью нельзя рассматривать как нечто заменяющее сертификацию - оценку соответствия чему-нибудь нотификация не дает. Сертификация, грит, СКЗИ иностранного производства в РФ не производится. По сути сказал следующее - нахрен ты пень бубновый эту железяку ваще купил - ей в РФ только капусту придавливать, когда квасишь ее...
                                                          Так че в связи с тем, что ЦБ получил право с 30.06.12 назвать свой чудо-стандарт не рекомендациями, а святцами, которые надо знать и исполнять как отче наш вопрос
                                                          Сообщение от Евгений Неверский Посмотреть сообщение
                                                          Насколько вообще востребовано это решение?
                                                          совершенно неактуален - щас любой уродливый костыль с сертификатом КС2 будет востребован. Государство продолжает лоббировать отечественного производителя, с которого гораздо проще содрать бабосы, чем с иностранного. Даже правильное слово "взятка" заменено милейшим "откат". Классно у нас с коррупцией борьба идет - похоже на борьбу с мышами сыром...

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            На миллионе? Ню-ню ;-) И только в России. И только на ПК. А что делать, если мне надо из отпуска или командировки к ДБО достучаться? В Интернет-кафе как я поставлю CSP?
                                                            Странноватое, на мой взгляд, требование. Если разрешать достучатся с любой машины или мобильного устройства, то собственно зачем систему защиты то городить. Пускайте любого Можно еще указатели поставить

                                                            Комментарий

                                                            Обработка...
                                                            X