Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] VPN для Linux
Здравствуйте!
Поставлена задача построить vpn-туннели между головной организацией и несколькими (сейчас 5 штук) другими организациями для передачи персональных данных категории 2.
В головной фирме ОС FreeBSD (либо возможно другие ОС на базе Linux), у клиентов сервера на базе ОС Oracle Linux.
Какие сертифицированные решения подойдут?
Заранее спасибо за подробные ответы!
Было бы неплохо определить, нужен ли VPN внутри каждого филиала или же ИСПДн отделена от остальной сети организации.
Первое, что приходит на ум - VipNet Coordinator под Linux. Имеется еще сертифицированная реализация OpenVPN от ООО "ЛИССИ-Крипто" под названием LirVPN. Последний продукт замечателен тем, что является мультиплатформенным (есть и под FreeBSD), правда, на реальном объекте применить так и не довелось пока. Также я бы рассмотрел программно-аппаратные решения.
VipNet Coordinator под Linux это всего лишь сервер, клиентов под линукс у инфотекса нет, вариант использовать программно-аппаратный комплекс, тот же континент ЦУС + КШ.
Планируется отделение ИСПДн МЭ от остальной сети организации.

К сожалению, продукт LirVPN не имеет сертификата ФСБ. Сертифицировано только криптоядро СКЗИ «ЛИРССЛ». Чего, как я понимаю, недостаточно для организации ВПН для ПДн. (То же, что и с МагПро Open VPN-ГОСТ) :(
Правильно ли, что чтобы удовлетворять требованиям законодательства, в сертификате ФСБ на VPN-продукт должно быть написано что-то типа "...и может использоваться для криптографической защиты (защита трафика на основе шифрования пакетов по протоколам IPsec AH и/или IPsec ESP, аутентификация абонентов при установлении соединения) :?:
все эти программные приблуды типа випнет клиента как мне кажется не надежны, ибо ставятся на ОС, причем на не понятно какую ОС, с не понятными каким характеристиками безопасности и т.д, если уж надумали строить нормальную распределенную систему, то и надо делать ее на совесть путем внедрения аппаратных комплексов, а не так что бы формально "защитится от регуляторов".
Настя,
"...генерация ключевой информации, шифрование и имитозащита данных, передаваемых в IP пакетах по общим сетям передачи данных".
Цитата
Александр пишет:
"...генерация ключевой информации, шифрование и имитозащита данных, передаваемых в IP пакетах по общим сетям передачи данных".
Александр,такого ни в одном сертификате нет :|
Нам и надо построить нормальную распределённую сеть, только вот не понятно, на чём.
Настя,
http://www.securitycode.ru/_upload/editor_img/licenses/Kontinent-3.5-124-1810.pdf
Изменено: Александр - 07.06.2012 09:55:36
Цитата
Александр пишет:
Настя,
как же нет, есть
да, согласна, но стоимость СЗИ превышает в данном случае стоимость информации :oops:
И в случае установки континента в головном офисе, какой клиент использовать в удалённых организациях?
в головном офисе обычно ставиться "большой" крипто-шлюз с ЦУС, в филиалах на границе сети ставиться "маленький" крипто-шлюз.

Варианты есть тут
Сейчас 4 основных продукта VPN на рынке:
1) ViPNet - по ценам более или менее, но администрирование оставляет желать лучшего
2) Континент - цены повыше, удобство эксплуатации тоже повыше, но пока ещё есть проблемы с реализацией (есть проблемы с NAT-ом и сменой IP-адреса центра управления)
3) Застава - по администрированию из отечественных продуктов самое удобное, но и стоит дороже всего
4) S-Terra - про эти продукты ничего не могу сказать, своими руками не щупал (говорят администрирование из командной строки, что неудобно)
Недавно появился ещё StoneGate SSL, но думаю он вам не подойдет, потому как дороговато.
В зависимости от того, какие ресурсы вам надо защищать состав модулей всех описанных вендров может меняться. Подобрать наиболее отвечающую вашим требованиям спецификацию можно, только ознакомившись детально со схемой защищаемых информационных потоков. Поэтому просто так с бухты барахты решение вам не подобрать. Варианты продуктов дал, если у вас есть технари, пусть разбираются.
Цитата
Настя пишет:
Здравствуйте!

Поставлена задача построить vpn-туннели между головной организацией и несколькими (сейчас 5 штук) другими организациями для передачи персональных данных категории 2.

В головной фирме ОС FreeBSD (либо возможно другие ОС на базе Linux), у клиентов сервера на базе ОС Oracle Linux.

Какие сертифицированные решения подойдут?

Заранее спасибо за подробные ответы!

Используйте МагПро OpenVPN-ГОСТ (это старый проверенный OpenVPN)
Я уже ставил этот продукт в режиме один головной офис, 6 филиалов и мобильные клиенты.
Тех поддержка у них бесплатная. Мне понравилось, сервер стоит 33,000 клиент 1100,00 руб.
Я, не сотрудник и не рекламирую данную разработку. Разработчики под мой дистрибутив написали пакет специально.
http://www.cryptocom.ru/products/openvpn.html#usage
Насчет s-тerra . Администраторование, не только из командой строки, можно администрировать через веб интерфейс, с помощью Cisco works, либо с помощью Cisco security manager , все способы админнистрирования доступны.
2Александр
Опять про OpenVPN-ГОСТ разговор зашел. Пока сертификат ФСБ или положительное заключение об оценке влияния производитель не покажет, я бы к этому продукту не подходил. Надо ли обязательно для этого продукта проходить сертификацию или достаточно оценки влияния этого ПО на МагПро КриптоПакет неизвестно, я посылал запрос - ответа не получил. Если верно второе, то вы можете для защиты ПД использовать OpenVPN-ГОСТ и без всяких документов, но в этом случае необходимо, чтобы это ПО вам поставила и настроила организация, имеющая лицензию ФСБ на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем), т.е. организация, которая имеет право взять на себя всю ответственность по поводу контроля встраивания. И то это возможно только в том случае, если для вашей ИСПДн достаточно уровня криптозащиты КС2, в противном случае, все нужно будет делать под контролем ФСБ.

2Гость
Читал в одном и форумов, кажется а банкире, что указанные Вами средства администрирования не прописаны в формуляре на СКЗИ S-Terra как средства управления, а значит в этом случае их использование тоже нелигитимно (хотя технически и возможно).
Изменено: Михаил - 01.11.2012 18:59:58
Цитата
Михаил пишет:
Читал в одном и форумов, кажется а банкире, что указанные Вами средства администрирования не прописаны в формуляре на СКЗИ S-Terra как средства управления, а значит в этом случае их использование тоже нелигитимно (хотя технически и возможно).

Выдержка из условий эксплуатации описанных в формуляре -
3.5. Управление CSP VPN Gate производится администратором безопасности с использованием интерфейса командной строки или графического интерфейса управления.

Следовательно не только из под командной строки, но и по ssh и с использованием графики тоже. :)
[QUOTE]Михаил пишет:
2Александр

Опять про OpenVPN-ГОСТ разговор зашел. Пока сертификат ФСБ или положительное заключение об оценке влияния производитель не покажет, я бы к этому продукту не подходил. Надо ли обязательно для этого продукта проходить сертификацию или достаточно оценки влияния этого ПО на МагПро КриптоПакет неизвестно, я посылал запрос - ответа не получил. Если верно второе, то вы можете для защиты ПД использовать OpenVPN-ГОСТ и без всяких документов, но в этом случае необходимо, чтобы это ПО вам поставила и настроила организация, имеющая лицензию ФСБ на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем), т.е. организация, которая имеет право взять на себя всю ответственность по поводу контроля встраивания. И то это возможно только в том случае, если для вашей ИСПДн достаточно уровня криптозащиты КС2, в противном случае, все нужно будет делать под контролем ФСБ.

Михаил, данный продукт имеет следующие сертификаты ФСБ:

сертификат ФСБ N СФ/114-1820 от 14 мая 2012г.
выдан на СКЗИ «МагПро КриптоПакет» версии 1.0 по классу КС1.

сертификат ФСБ N СФ/124-1821 от 14 мая 2012г.
выдан на СКЗИ «МагПро КриптоПакет» версии 1.0 по классу КС2.

И установку его производила организация имеющая все необходимые лицензии.
2Александр
Ну опять по новой...Александр, сертификаты, которые Вы указали, на СКЗИ МагПро КриптоПакет, а не на OpenVPN-ГОСТ. Если какое-то ПО использует сертифицрованное СКЗИ, это ещё не значит, что они на него распространяются. Почитайте ПКЗ-2005.
А вот кстати Вам и всем остальным пример того как должен быть осуществлен контроль встраивания СКЗИ в ПО
www.security.ru
Вам, организация, осуществившая установку и настройку Open-VPN выдала подобный документ? Пусть без согласования ФСБ, но документ, подтверждающий отсутствие влияния ПО на СКЗИ должен быть.
Изменено: Михаил - 03.11.2012 11:27:26
Страницы: 1 2 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)