|
Firewall, шифрование и соблюдение закона
Автор |
Сообщение |
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
Коллеги, добрый день. Руководство в очередной раз поднимает вопрос о соблюдении 152-ФЗ о защите персональных данных, в связи с чем требуется внедрить решение, удовлетворяющее требования законодательства касательно шифрования и межсетевого экранирования. Кто-нибудь сталкивался с этим? На данный момент в каждом филиале (их порядка 70) нами используется аппаратный межсетевой экран Stonesoft(аналог Checkpoint), на нем же строятся туннели до головного офиса. В каждом филиале мы так или иначе режем трафик на этих МСЭ. Делать это удобно, можно смотреть удобоваримый tcpdump в реальном времени, что очень облегчает траблшутинг. Вот так это выглядит: Есть ли какое-то решение, удовлетворяющее требование закона и похожее на что-то подобное? Или же придется ставить АКПШ Континент\С-терра в каждый филиал и в головной офис в дополнение к нашему МСЭ и строить туннели на них? Безопасники склоняются к АКПШ, но лично я читал негативные отзывы об этом оборудовании. Стоит ли его закупать? Что вообще делают компании, которые работают с персональными данными клиентов, чтобы соблюсти нормы законодательства? Если мы не говорим о формальном соблюдении закона и закупки одного АКПШ "для галочки".
|
18 янв 2017, 11:46 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
Дорогой коллега, если мы говорим о соблюдении упомянутого вами ФЗ, то надо обратить внимание не на оборудование, а на алгоритмы шифрования.
Согласно ФЗ персональные данные должны быть защищены ГОСТовским шифрованием. Это ключевой момент, так как ГОСТовские алгоритмы имеют право распространять только те компании, которые имеют соответствующую лицензию российских "компетентных" органов.
Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ.
Сам работал ГИПом в проекте со 160 филиалами, ставили ViPNet -- изрядно намаялись с предоставлением доступа в Интернет через эти шлюзы, кластеризацией/отказоустойчивостью и всякими специфическими требованиями со стороны ИС заказчика. Многое пришлось делать окольными путями (workaround), поскольку у производителя одна мысль в голове: зашифровать IP-трафик в туннель и отправить по указанному IP-адресу в центр, принять обратно и расшифровать. Всё, ни шагу дальше.
Короче, функционал ГОСТовских шлюзов очень ограничен, нужно очень пристрастно допросить поставщика и потребовать показать на пилоте весь необходимый вам функционал.
|
18 янв 2017, 12:24 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Если я правильно понял вопрос: Задача - организовать целостность, конфиденциальность персональных данных, с которыми компания работает с помощью средств защиты информации, сертифицированных ФСТЭК, а именно : вся русская приблуда, типо Континента,VIPNET-а..
У нас в проде была схема следующая :
В каждом филиале VIPNET, за ним - cisco. Так законно.
UPD: Но чтоб VIPNET юзать, там вроде как лицензия нужна на него, т.е баблос придется еще отвалить канторе сертифицированной..
|
18 янв 2017, 12:28 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
kr1keee писал(а): баблос придется еще отвалить канторе сертифицированной.. Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями. Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите.
|
18 янв 2017, 12:36 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
FranklinThistle писал(а): Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ. Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников.
|
18 янв 2017, 12:38 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
FranklinThistle писал(а): Дорогой коллега, если мы говорим о соблюдении упомянутого вами ФЗ, то надо обратить внимание не на оборудование, а на алгоритмы шифрования.
Согласно ФЗ персональные данные должны быть защищены ГОСТовским шифрованием. Это ключевой момент, так как ГОСТовские алгоритмы имеют право распространять только те компании, которые имеют соответствующую лицензию российских "компетентных" органов. Вообще то сетевые экраны и криптошлюзы сертифицируются. И требования там не к "госту" - а как раз к классу сертификации устройства. Сертификаты по классу МСЭ есть на многие забугорные железки, как на ASA, checpоint и т.д. А вот с шифрованием - тут только наши естественно сертифицируются. Из наших ИМХО интереснее все же стерра. Т.к. виртуализируется официально. И использует стандартный IPSec (в том числе AES умеет) вместо всяких проприетарных технологий випнетов и т.д. С железками для малых офисов у них конечно у всех печально - говно (физическое исполнение и начинка), и за сумасшедшие деньги.
|
18 янв 2017, 12:47 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
АПКШ - это вроде совсем не про шифрование)) Ну и продукт жутко трешевый.
|
18 янв 2017, 12:51 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
P@ve1 писал(а): АПКШ - это вроде совсем не про шифрование)) Ну и продукт жутко трешевый. Как не про шифрование? АКПШ Континент - я про эту железку. Для чего ж она тогда?
|
18 янв 2017, 13:06 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
FranklinThistle писал(а): kr1keee писал(а): баблос придется еще отвалить канторе сертифицированной.. Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями. Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите. Вы имеете ввиду, что нужно пройти какое-то официальное обучение? Этого требует закон?
|
18 янв 2017, 13:07 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Bessmertniy писал(а): FranklinThistle писал(а): Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ. Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников. Подтверждаю, слышал о наличии одобренного VIPNET модуля крипто для Cisco. Но как работать будет - хз, думаю вполне нормально, control plane на cisco.
|
18 янв 2017, 13:09 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
Bessmertniy писал(а): Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников. Все верно, только не для шеститонников, а для ISR G1 и G2: http://www.cisco.com/web/RU/products/hw/vpndevc/rvpn/index.htmlАктуальная модель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём.
|
18 янв 2017, 13:09 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Ciscoridze писал(а): FranklinThistle писал(а): kr1keee писал(а): баблос придется еще отвалить канторе сертифицированной.. Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями. Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите. Вы имеете ввиду, что нужно пройти какое-то официальное обучение? Этого требует закон? Там просто для запуска этой железки, нужно приобрести ключ . Он отдается только в руки сертифицированные.
|
18 янв 2017, 13:10 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
FranklinThistle писал(а): Bessmertniy писал(а): Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников. Все верно, только не для шеститонников, а для ISR G1 и G2: http://www.cisco.com/web/RU/products/hw/vpndevc/rvpn/index.htmlАктуальная модель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём. А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту. Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так?
|
18 янв 2017, 13:11 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Все эти "модули" от эстерры и випнета - это обычный x86 и совершенно отдельный L3 хоп. При этом по цене/производительности обычно сильно уступают их-же стандартным решениям. Не имея особых преимуществ.
|
18 янв 2017, 13:15 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Ciscoridze писал(а): ель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём. А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту. Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так?[/quote] Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей. И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь. Архитекртурных никаких преимуществ нет.
|
18 янв 2017, 13:19 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
Ciscoridze писал(а): А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту. Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так? По сути это отдельный шлюз S-Terra, работающий на шасси Cisco ISR G2 и подключенный к самому ISR'у через стандартный интерфейс Service-Engine X/0. Вот характеристики типичного NME, это просто небольшая мамка с процом, диском и памятью: Код: CPU Model: Intel(R) Celeron(R) M processor 1.00GHz CPU Speed (MHz): 1000.079 CPU Cache (KByte): 512 BogoMIPS: 2000.82 SATA Drive: 120.0GB SDRAM (MByte): 512 А что до годности -- протестируйте, лучше всего своими руками убедиться.
|
18 янв 2017, 13:24 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
P@ve1 писал(а): Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей. И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь. Присоединяюсь к мнению Павла в этой части. P@ve1 писал(а): Архитекртурных никаких преимуществ нет. В любом случае установки криптографического шлюза добавляется ещё одна точка отказа. Модуль в ISR хорош тем, что сидит на приличном цисковском блоке питания (который ещё и зарезервировать можно на старших железках) и сам модуль сделан получше, чем платформы "от дядюшки Ляо", которые используют "отечественные" производители. Мы разбирали 1000-ный випнет ("большая железка") -- ну, средненькое качество, прямо скажем, проводки на клеевой пистолет к корпусу приклеены и т.п.
|
18 янв 2017, 13:30 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
FranklinThistle писал(а): P@ve1 писал(а): Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей. И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь. Присоединяюсь к мнению Павла в этой части. P@ve1 писал(а): Архитекртурных никаких преимуществ нет. В любом случае установки криптографического шлюза добавляется ещё одна точка отказа. Модуль в ISR хорош тем, что сидит на приличном цисковском блоке питания (который ещё и зарезервировать можно на старших железках) и сам модуль сделан получше, чем платформы "от дядюшки Ляо", которые используют "отечественные" производители. Мы разбирали 1000-ный випнет ("большая железка") -- ну, средненькое качество, прямо скажем, проводки на клеевой пистолет к корпусу приклеены и т.п. Понятно. У нас в голове есть два шасси Cisco 3925 с C3900-SPE100/K9, можно же в них воткнуть RVPN? Или надо закупить "российские" 2911R?
|
18 янв 2017, 13:35 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
Ciscoridze писал(а): У нас в голове есть два шасси Cisco 3925 с C3900-SPE100/K9, можно же в них воткнуть RVPN? Или надо закупить "российские" 2911R? Достаточно закупить адаптер SM-NM-ADPTR, если есть пустые SM-слоты на 3925, смотрите третий вопрос: http://www.cisco.com/c/dam/global/ru_ru/assets/downloads/broch/rvpn_qa_dtp.pdfСтавите SM-NM-ADPTR, в него NME-RVPN, лицензия IOS любая.
|
18 янв 2017, 13:42 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
Для G3 уже тоже есть решение от стерра - виртуалка прямо на роутере разворачивается лол
|
18 янв 2017, 13:54 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
Насколько я понял, у S-terra как на шлюзах, так и на RVPN Cisco-like CLI? Или только для модуля
|
18 янв 2017, 13:56 |
|
|
FranklinThistle
Зарегистрирован: 07 июн 2016, 11:11 Сообщения: 45
|
Рубен Папян писал(а): Для G3 уже тоже есть решение от стерра - виртуалка прямо на роутере разворачивается лол Рубен, ссылочку подкиньте, плиз, в рамках ликбеза. Наверное, имеются в виду ISR 4K, у которых виртуализация вшита: http://www.cisco.com/assets/global/KZ/ciscoconnect/pdf/D2S5_CCKZ15_ISR4K_smiroshn_final.pdfCiscoridze писал(а): Cisco-like CLI Раньше было везде Сиско-лайк, сейчас не знаю, проверьте по документации.
|
18 янв 2017, 14:05 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Цитата: Рубен, ссылочку подкиньте, плиз, в рамках ликбеза. Рубен все правильно говорит, на ISR4K модуль S-terra доступен в рамках контейнера. https://www.s-terra.ru/products/s-terra-csco-stvm/ТСуНе ставьте континент ... заеб**есь
|
18 янв 2017, 15:13 |
|
|
Рубен Папян
Зарегистрирован: 25 сен 2014, 21:51 Сообщения: 906
|
С 70 континентов можно неплохо откатиться ))
|
18 янв 2017, 15:57 |
|
|
Ciscoridze
Зарегистрирован: 12 дек 2014, 12:07 Сообщения: 128
|
f@ntasist0 писал(а): Цитата: ТСу Не ставьте континент ... заеб**есь Я переслал это своему руководителю, который думает по поводу закупки континента)
|
18 янв 2017, 16:52 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|