Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:37



Ответить на тему  [ Сообщений: 36 ]  На страницу 1, 2  След.
Firewall, шифрование и соблюдение закона 
Автор Сообщение

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
Коллеги, добрый день.
Руководство в очередной раз поднимает вопрос о соблюдении 152-ФЗ о защите персональных данных, в связи с чем требуется внедрить решение, удовлетворяющее требования законодательства касательно шифрования и межсетевого экранирования.
Кто-нибудь сталкивался с этим? На данный момент в каждом филиале (их порядка 70) нами используется аппаратный межсетевой экран Stonesoft(аналог Checkpoint), на нем же строятся туннели до головного офиса. В каждом филиале мы так или иначе режем трафик на этих МСЭ.
Делать это удобно, можно смотреть удобоваримый tcpdump в реальном времени, что очень облегчает траблшутинг.
Вот так это выглядит:
Изображение

Есть ли какое-то решение, удовлетворяющее требование закона и похожее на что-то подобное? Или же придется ставить АКПШ Континент\С-терра в каждый филиал и в головной офис в дополнение к нашему МСЭ и строить туннели на них? Безопасники склоняются к АКПШ, но лично я читал негативные отзывы об этом оборудовании. Стоит ли его закупать?
Что вообще делают компании, которые работают с персональными данными клиентов, чтобы соблюсти нормы законодательства? Если мы не говорим о формальном соблюдении закона и закупки одного АКПШ "для галочки".


18 янв 2017, 11:46
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
Дорогой коллега, если мы говорим о соблюдении упомянутого вами ФЗ, то надо обратить внимание не на оборудование, а на алгоритмы шифрования.

Согласно ФЗ персональные данные должны быть защищены ГОСТовским шифрованием. Это ключевой момент, так как ГОСТовские алгоритмы имеют право распространять только те компании, которые имеют соответствующую лицензию российских "компетентных" органов.

Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ.

Сам работал ГИПом в проекте со 160 филиалами, ставили ViPNet -- изрядно намаялись с предоставлением доступа в Интернет через эти шлюзы, кластеризацией/отказоустойчивостью и всякими специфическими требованиями со стороны ИС заказчика. Многое пришлось делать окольными путями (workaround), поскольку у производителя одна мысль в голове: зашифровать IP-трафик в туннель и отправить по указанному IP-адресу в центр, принять обратно и расшифровать. Всё, ни шагу дальше.

Короче, функционал ГОСТовских шлюзов очень ограничен, нужно очень пристрастно допросить поставщика и потребовать показать на пилоте весь необходимый вам функционал.


18 янв 2017, 12:24
Профиль

Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
Если я правильно понял вопрос:
Задача - организовать целостность, конфиденциальность персональных данных, с которыми компания работает с помощью средств защиты информации, сертифицированных ФСТЭК, а именно : вся русская приблуда, типо Континента,VIPNET-а..

У нас в проде была схема следующая :

В каждом филиале VIPNET, за ним - cisco. Так законно.

UPD: Но чтоб VIPNET юзать, там вроде как лицензия нужна на него, т.е баблос придется еще отвалить канторе сертифицированной..


18 янв 2017, 12:28
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
kr1keee писал(а):
баблос придется еще отвалить канторе сертифицированной..

Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями.
Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите.


18 янв 2017, 12:36
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
FranklinThistle писал(а):
Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ.

Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников.


18 янв 2017, 12:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
FranklinThistle писал(а):
Дорогой коллега, если мы говорим о соблюдении упомянутого вами ФЗ, то надо обратить внимание не на оборудование, а на алгоритмы шифрования.

Согласно ФЗ персональные данные должны быть защищены ГОСТовским шифрованием. Это ключевой момент, так как ГОСТовские алгоритмы имеют право распространять только те компании, которые имеют соответствующую лицензию российских "компетентных" органов.

Вообще то сетевые экраны и криптошлюзы сертифицируются.
И требования там не к "госту" - а как раз к классу сертификации устройства.

Сертификаты по классу МСЭ есть на многие забугорные железки, как на ASA, checpоint и т.д.

А вот с шифрованием - тут только наши естественно сертифицируются.

Из наших ИМХО интереснее все же стерра. Т.к. виртуализируется официально. И использует стандартный IPSec (в том числе AES умеет) вместо всяких проприетарных технологий випнетов и т.д.
С железками для малых офисов у них конечно у всех печально - говно (физическое исполнение и начинка), и за сумасшедшие деньги.


18 янв 2017, 12:47
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
АПКШ - это вроде совсем не про шифрование)) Ну и продукт жутко трешевый.


18 янв 2017, 12:51
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
P@ve1 писал(а):
АПКШ - это вроде совсем не про шифрование)) Ну и продукт жутко трешевый.

Как не про шифрование? АКПШ Континент - я про эту железку. Для чего ж она тогда?


18 янв 2017, 13:06
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
FranklinThistle писал(а):
kr1keee писал(а):
баблос придется еще отвалить канторе сертифицированной..

Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями.
Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите.

Вы имеете ввиду, что нужно пройти какое-то официальное обучение? Этого требует закон?


18 янв 2017, 13:07
Профиль

Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
Bessmertniy писал(а):
FranklinThistle писал(а):
Таким образом, у вас нет иных вариантов соблюсти 152-й закон, кроме как выбрать оборудование "российских" производителей (ViPNet, S-Terra и т.д.), и построить туннели на ГОСТовской криптографии между вашими филиалами, а в эти туннели запустить трафик ваших нынешних МСЭ.

Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников.

Подтверждаю, слышал о наличии одобренного VIPNET модуля крипто для Cisco. Но как работать будет - хз, думаю вполне нормально, control plane на cisco.


18 янв 2017, 13:09
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
Bessmertniy писал(а):
Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников.

Все верно, только не для шеститонников, а для ISR G1 и G2: http://www.cisco.com/web/RU/products/hw/vpndevc/rvpn/index.html

Актуальная модель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём.


18 янв 2017, 13:09
Профиль

Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
Ciscoridze писал(а):
FranklinThistle писал(а):
kr1keee писал(а):
баблос придется еще отвалить канторе сертифицированной..

Совершенно верно, устанавливать и настраивать любое ГОСТовское криптографическое оборудование может только специализированная контора с соответствующими лицензиями.
Ещё и договор с ними придётся заключать на поддержку, если своего спеца не обучите.

Вы имеете ввиду, что нужно пройти какое-то официальное обучение? Этого требует закон?


Там просто для запуска этой железки, нужно приобрести ключ . Он отдается только в руки сертифицированные.


18 янв 2017, 13:10
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
FranklinThistle писал(а):
Bessmertniy писал(а):
Так вроде ж у цыцки был ГОСТовский модуль какой-то специально для таких случаев. Если не изменяет память, для шеститонников.

Все верно, только не для шеститонников, а для ISR G1 и G2: http://www.cisco.com/web/RU/products/hw/vpndevc/rvpn/index.html

Актуальная модель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём.

А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту.
Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так?


18 янв 2017, 13:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Все эти "модули" от эстерры и випнета - это обычный x86 и совершенно отдельный L3 хоп.
При этом по цене/производительности обычно сильно уступают их-же стандартным решениям.
Не имея особых преимуществ.


18 янв 2017, 13:15
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Ciscoridze писал(а):
ель - NME-RVPN-G2 для ISR G2. Это стандартный сервисный модуль Cisco NME с софтом S-Terra на нём.

А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту.
Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так?[/quote]
Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей.
И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь.
Архитекртурных никаких преимуществ нет.


18 янв 2017, 13:19
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
Ciscoridze писал(а):
А что насчет него? Годная железка в сравнении с другими? Я-то склоняюсь к этому варианту. Это ведь по сути тоже самое, что купить отдельный шлюз S-terra, так?


По сути это отдельный шлюз S-Terra, работающий на шасси Cisco ISR G2 и подключенный к самому ISR'у через стандартный интерфейс Service-Engine X/0.

Вот характеристики типичного NME, это просто небольшая мамка с процом, диском и памятью:

Код:
CPU Model:                    Intel(R) Celeron(R) M processor         1.00GHz
CPU Speed (MHz):              1000.079
CPU Cache (KByte):            512
BogoMIPS:                     2000.82
SATA Drive:                   120.0GB
SDRAM (MByte):                512


А что до годности -- протестируйте, лучше всего своими руками убедиться.


18 янв 2017, 13:24
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
P@ve1 писал(а):
Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей. И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь.

Присоединяюсь к мнению Павла в этой части.

P@ve1 писал(а):
Архитекртурных никаких преимуществ нет.

В любом случае установки криптографического шлюза добавляется ещё одна точка отказа. Модуль в ISR хорош тем, что сидит на приличном цисковском блоке питания (который ещё и зарезервировать можно на старших железках) и сам модуль сделан получше, чем платформы "от дядюшки Ляо", которые используют "отечественные" производители. Мы разбирали 1000-ный випнет ("большая железка") -- ну, средненькое качество, прямо скажем, проводки на клеевой пистолет к корпусу приклеены и т.п.


18 янв 2017, 13:30
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
FranklinThistle писал(а):
P@ve1 писал(а):
Преимущество только в том, что это блейд (x86) производства cisco - а не какого-нибудь депо или крафвей. И что все в одной коробке с 1 блоком питания. И что порт на рутере сэкономишь.

Присоединяюсь к мнению Павла в этой части.

P@ve1 писал(а):
Архитекртурных никаких преимуществ нет.

В любом случае установки криптографического шлюза добавляется ещё одна точка отказа. Модуль в ISR хорош тем, что сидит на приличном цисковском блоке питания (который ещё и зарезервировать можно на старших железках) и сам модуль сделан получше, чем платформы "от дядюшки Ляо", которые используют "отечественные" производители. Мы разбирали 1000-ный випнет ("большая железка") -- ну, средненькое качество, прямо скажем, проводки на клеевой пистолет к корпусу приклеены и т.п.


Понятно.
У нас в голове есть два шасси Cisco 3925 с C3900-SPE100/K9, можно же в них воткнуть RVPN? Или надо закупить "российские" 2911R?


18 янв 2017, 13:35
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
Ciscoridze писал(а):
У нас в голове есть два шасси Cisco 3925 с C3900-SPE100/K9, можно же в них воткнуть RVPN? Или надо закупить "российские" 2911R?

Достаточно закупить адаптер SM-NM-ADPTR, если есть пустые SM-слоты на 3925, смотрите третий вопрос:

http://www.cisco.com/c/dam/global/ru_ru/assets/downloads/broch/rvpn_qa_dtp.pdf

Ставите SM-NM-ADPTR, в него NME-RVPN, лицензия IOS любая.


18 янв 2017, 13:42
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
Для G3 уже тоже есть решение от стерра - виртуалка прямо на роутере разворачивается лол


18 янв 2017, 13:54
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
Насколько я понял, у S-terra как на шлюзах, так и на RVPN Cisco-like CLI? Или только для модуля


18 янв 2017, 13:56
Профиль

Зарегистрирован: 07 июн 2016, 11:11
Сообщения: 45
Рубен Папян писал(а):
Для G3 уже тоже есть решение от стерра - виртуалка прямо на роутере разворачивается лол

Рубен, ссылочку подкиньте, плиз, в рамках ликбеза. :D

Наверное, имеются в виду ISR 4K, у которых виртуализация вшита: http://www.cisco.com/assets/global/KZ/ciscoconnect/pdf/D2S5_CCKZ15_ISR4K_smiroshn_final.pdf

Ciscoridze писал(а):
Cisco-like CLI

Раньше было везде Сиско-лайк, сейчас не знаю, проверьте по документации.


18 янв 2017, 14:05
Профиль

Зарегистрирован: 04 окт 2011, 19:33
Сообщения: 1314
Цитата:
Рубен, ссылочку подкиньте, плиз, в рамках ликбеза. :D

Рубен все правильно говорит, на ISR4K модуль S-terra доступен в рамках контейнера.
https://www.s-terra.ru/products/s-terra-csco-stvm/

ТСу
Не ставьте континент ... заеб**есь


18 янв 2017, 15:13
Профиль

Зарегистрирован: 25 сен 2014, 21:51
Сообщения: 906
С 70 континентов можно неплохо откатиться ))


18 янв 2017, 15:57
Профиль

Зарегистрирован: 12 дек 2014, 12:07
Сообщения: 128
f@ntasist0 писал(а):
Цитата:
ТСу
Не ставьте континент ... заеб**есь

Я переслал это своему руководителю, который думает по поводу закупки континента)


18 янв 2017, 16:52
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 36 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 51


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB