Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
UserGate Proxy & Firewall 5.2F
Сразу хочется предложить vipnet http://www.infotecs.ru/ , Застава http://www.zastava.ru/ . Очень дорого, но не придется нарушать топологию сети. Континет очень неплохое аппаратное решение http://www.securitycode.ru/products/continent/ . Тут уж вам решать как строить вашу защиту или реорганизовать. Еще есть ФПСУ IP и другие.
по ходу это все не дешево и сердито, а дорого и глупо...
Писал в usergate вопрос, можно ли их использовать для к1 т.к. в сертификате не всё у них есть.

Их ответ.
Код
"Ниже есть информация как закрыть не достающие пункты для защиты ИСПДн 1
класса.
UserGate 5.2.F сертифицирован на соответствие РД МЭ по 4 классу и
Задание по безопасности UG_P&F_5.2.F.ЗБ, расширяющим требования к
безопасности данного продукта.

Наличие проверки на НДВ по 4 уровню контроля и расширенные
функциональные возможности, приведенные в ЗБ, позволяют использовать
UserGate 5.2.F, при выполнении ряда организационно-технических
мероприятий, в системах защиты ИСПД класса К1.

Соответствие требованиям по защиты ИСПДн класса К1 (Приказ ФСТЭК № 58 от
05.02.2010г), в части поставленных вопросов, выполняется следующими
организационно-техническими мероприятиями:

1. «Фильтрация на транспортном уровне запросов на установление
виртуальных соединений с учетом транспортных адресов отправителя и

получателя»;

Реализация:

Фильтрация выполняется штатными средствами межсетевого экрана

Устанавливается правило типа,

IP1:port1 -> IP2:port2 - drop(accept)


Здесь IP1 - адрес удаленного хоста, IP2 - адрес сетевого интерфейса
машины с UserGate, port1(port2) - порты источника и назначения.


При создании правила типа FW, по умолчанию предполагается, что порт
источника любой. Такое предположение справедливо, поскольку, например
для Windows систем, порт источника назначается из т.н. диапазона
Ephemeral ports (1024 - MaxUserPort). Тем не менее, в правиле файервола
можно указать и конкретный порт источника.

Приведу пример. Пусть адрес сетевого интерфейса машины с UserGate -
192.168.0.1. Создадим правило FW, разрешающее подключаться любому
клиенту на порт 445 TCP сервера. В консоли администратора (Межсетевой
экран - Правила) указываем:


Источник - Любой

Назначение - интерфейс с адресом 192.168.0.1 Сервис - SMB Действие -
Разрешить

В файле настроек (%UserGate%\config.cfg) это правило имеет вид:


<fw enabled="1" name="Test" action="SEND" service="6:445;"

priority="190" source_ip="FULL" source_port="FULL" dest_ip="192.168.0.1"

direction="both" report="1"/>


Указать конкретный порт источника можно, отредактировав параметр
source_port в файле настроек. После редактирования нужно перезапустить
UserGate Proxy, чтобы новые настройки вступили в силу.


2. «Аутентификация входящих и исходящих запросов методами, устойчивыми

к пассивному и (или) активному прослушиванию сети»

Реализация:

Выполняется при установке «Клиента авторизации». Клиент авторизуется по
логину и паролю. Авторизация осуществляется по защищенному протоколу SSL
(я надеюсь?).

Кроме того, рекомендуется использовать технические средства мониторинга
сетевого трафика.

3. «Регистрация и учет запросов на установление виртуальных соединений»;

Реализация:

Логирование сетевых пакетов по IP-адресам, номерам протоколов и номерам
портов обеспечивает регистрацию, учет и  идентификацию любых соединений,
в том числе виртуальных.


4. «Идентификация и аутентификация администратора межсетевого экрана
при его удаленных запросах методами, устойчивыми к пассивному и

активному перехвату информации».

Реализация:

1. В настройках МЭ запретить удаленную авторизацию администратора
межсетевого экрана.

2. При необходимости, использовать внешние защищенные сертифицированные
средства аутентификации, для авторизации на сервере на котором
установлен UserGate."

Изменено: funny bunny - 01.11.2010 12:40:08
Интересно, такая реализация убедит регуляторов?
А он сам раздает инет? То есть на WinXP он может стать маршрутизатором со всеми радостями UserGate P&Fw? Я вижу его в 1U-корпусе с WinXP.. альтернатива континента, но 1U-сервер будет не дороже 25k + Win за 5k
С континентом он и рядом не стоял))
Цитата
Oleg пишет:
С континентом он и рядом не стоял))


Олег, в разрезе КС3 это альтернатива: ничего из континента просто не нужно. А континент обойдется в три раза дороже, мне континент нравится, но я его купить не смогу в ближайшие 143 года
Причем тут нравится или не нравится? Это совершенные разные продукты, как технически . так и по назначению. Про КС3 уточните , что имелось имелось ввиду?
OpenVPN ГОСТ Вам в помощь !!!!!!!!!
33,000 сервер
1100 клиент
В разы дешевле аналогов
http://www.cryptocom.ru/products/openvpn.html#usage
Страницы: Пред. 1 2
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)