Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
UserGate Proxy & Firewall 5.2F
Сразу хочется предложить vipnet http://www.infotecs.ru/ , Застава http://www.zastava.ru/ . Очень дорого, но не придется нарушать топологию сети. Континет очень неплохое аппаратное решение http://www.securitycode.ru/products/continent/ . Тут уж вам решать как строить вашу защиту или реорганизовать. Еще есть ФПСУ IP и другие.
по ходу это все не дешево и сердито, а дорого и глупо...
Писал в usergate вопрос, можно ли их использовать для к1 т.к. в сертификате не всё у них есть.

Их ответ.
Код
"Ниже есть информация как закрыть не достающие пункты для защиты ИСПДн 1
класса.
UserGate 5.2.F сертифицирован на соответствие РД МЭ по 4 классу и
Задание по безопасности UG_P&F_5.2.F.ЗБ, расширяющим требования к
безопасности данного продукта.

Наличие проверки на НДВ по 4 уровню контроля и расширенные
функциональные возможности, приведенные в ЗБ, позволяют использовать
UserGate 5.2.F, при выполнении ряда организационно-технических
мероприятий, в системах защиты ИСПД класса К1.

Соответствие требованиям по защиты ИСПДн класса К1 (Приказ ФСТЭК № 58 от
05.02.2010г), в части поставленных вопросов, выполняется следующими
организационно-техническими мероприятиями:

1. «Фильтрация на транспортном уровне запросов на установление
виртуальных соединений с учетом транспортных адресов отправителя и

получателя»;

Реализация:

Фильтрация выполняется штатными средствами межсетевого экрана

Устанавливается правило типа,

IP1:port1 -> IP2:port2 - drop(accept)


Здесь IP1 - адрес удаленного хоста, IP2 - адрес сетевого интерфейса
машины с UserGate, port1(port2) - порты источника и назначения.


При создании правила типа FW, по умолчанию предполагается, что порт
источника любой. Такое предположение справедливо, поскольку, например
для Windows систем, порт источника назначается из т.н. диапазона
Ephemeral ports (1024 - MaxUserPort). Тем не менее, в правиле файервола
можно указать и конкретный порт источника.

Приведу пример. Пусть адрес сетевого интерфейса машины с UserGate -
192.168.0.1. Создадим правило FW, разрешающее подключаться любому
клиенту на порт 445 TCP сервера. В консоли администратора (Межсетевой
экран - Правила) указываем:


Источник - Любой

Назначение - интерфейс с адресом 192.168.0.1 Сервис - SMB Действие -
Разрешить

В файле настроек (%UserGate%\config.cfg) это правило имеет вид:


<fw enabled="1" name="Test" action="SEND" service="6:445;"

priority="190" source_ip="FULL" source_port="FULL" dest_ip="192.168.0.1"

direction="both" report="1"/>


Указать конкретный порт источника можно, отредактировав параметр
source_port в файле настроек. После редактирования нужно перезапустить
UserGate Proxy, чтобы новые настройки вступили в силу.


2. «Аутентификация входящих и исходящих запросов методами, устойчивыми

к пассивному и (или) активному прослушиванию сети»

Реализация:

Выполняется при установке «Клиента авторизации». Клиент авторизуется по
логину и паролю. Авторизация осуществляется по защищенному протоколу SSL
(я надеюсь?).

Кроме того, рекомендуется использовать технические средства мониторинга
сетевого трафика.

3. «Регистрация и учет запросов на установление виртуальных соединений»;

Реализация:

Логирование сетевых пакетов по IP-адресам, номерам протоколов и номерам
портов обеспечивает регистрацию, учет и  идентификацию любых соединений,
в том числе виртуальных.


4. «Идентификация и аутентификация администратора межсетевого экрана
при его удаленных запросах методами, устойчивыми к пассивному и

активному перехвату информации».

Реализация:

1. В настройках МЭ запретить удаленную авторизацию администратора
межсетевого экрана.

2. При необходимости, использовать внешние защищенные сертифицированные
средства аутентификации, для авторизации на сервере на котором
установлен UserGate."

Изменено: funny bunny - 01.11.2010 12:40:08
Интересно, такая реализация убедит регуляторов?
А он сам раздает инет? То есть на WinXP он может стать маршрутизатором со всеми радостями UserGate P&Fw? Я вижу его в 1U-корпусе с WinXP.. альтернатива континента, но 1U-сервер будет не дороже 25k + Win за 5k
С континентом он и рядом не стоял))
Цитата
Oleg пишет:
С континентом он и рядом не стоял))


Олег, в разрезе КС3 это альтернатива: ничего из континента просто не нужно. А континент обойдется в три раза дороже, мне континент нравится, но я его купить не смогу в ближайшие 143 года
Причем тут нравится или не нравится? Это совершенные разные продукты, как технически . так и по назначению. Про КС3 уточните , что имелось имелось ввиду?
OpenVPN ГОСТ Вам в помощь !!!!!!!!!
33,000 сервер
1100 клиент
В разы дешевле аналогов
http://www.cryptocom.ru/products/openvpn.html#usage
Страницы: Пред. 1 2
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)