Comments 15
Данное решение сформировалась как идея в конце прошлого года, но долго не мог узнать, даже в частности в мае спрашивал уважаемого Владимира Николаевича saipr.
А что не могли узнать-то?
И что спрашивали у "уважаемого Владимира Николаевича"?
я в апреле у себя в концерне созвездие подготовил было заявку на скзи,
по дешёвому средству защиты устройств, не имеющих возможность внешних
программных компонент (например те же станки чпу), но не целиком всей
сети как тот же континент и другие комплексные средства защиты. но
немного поузнавал по процедуре регистрации именно как скзи, и м…
стоимость изделия резко вырастет, время выведения и будет куча
ограничений.
в итоге сделаю пока на кодировании, чтобы защита была простой, от
пионеров. хотя моделировал именно на потоковом шифре с использованием
lfsr, а ключ — стартовая позиция регистра узла-получателя.
Это вопрос в мае. Потом, был спорный коммент, хотя он не ругательство, но модератор решил что это мат и забанили. Деталей уже и не хочу вспоминать. Здесь ни заступиться ни за кого ни что-то отличающееся от актива скажешь, заступишься, то отлетаешь моментально, награжденный минусами. Теперь если что по технике или молчу.
Добрый день. Расскажите, пожалуйста, более подробно о подаче заявки на патент. Интересует сама процедура. Думаю, что есть какие-то подводные камни, которые не освещены, и хотелось бы уточнить, как это происходит на самом деле.
Вопрос из разряда, как удалить аппендицит, есть ли какие-то подводные камни. -))) А если серьезно, можно ли подавать заявку самому, ну в теории, если а) знаешь патентное законодательство б) много лишнего времени. Проще использовать специально обученных людей, таких как патентные поверенные.
У нас, в концерне "Созвездие", ранее Воронежский НИИ Связи, есть подразделение, которое долго и терпеливо помогает отладить описание, так, чтобы по формальным признакам не было отказа, патент первый,ещё, как этот пройдёт экспертизу, буду внимательно проходить этапы.
Скорее всего есть материалы, но прежде всего, необходимо провести анализ патентов, найти аналоги и описывать не только саму идею, но и в чём она отличается от других.
Похоже то, что подводные камней и рифов много, но сейчас пока я не видел их, провели верхами. Далее работа будет больше самостоятельной.
Подобная архитектура давно реализована в ряде продуктов.
Мне будет интересно из дальнейших публикаций узнать, удался ли патентный троллинг.
В том то и дело, это не какая-либо компиляция, исходно я ставил задачу просто и дёшево изолировать от сети в свою микросеть несколько элементов, не нарушая связности, включая от возможных ндв производителя или его компонентов. При этом иметь возможность не нарушая законов т.к. они в этой части достаточно строгие.
Позже, при описании патентов и находил разные решения, но они или дорогие и сложные, как те же чекпоинт или континент, предполагают квалифицированных специалистов. И/или требуют дорогих решений из-за требований законов.
А моё решение в том что изменить содержимое, чтобы штатные средства других узлов отбрасывали как неправильные и элементы вне этой внутренней сети, не могли передать штатно свои данные, так как они будут для внутренних неправильными.
Нет вопросов, пишется "vpn", который на нужные адреса нужным образом преобразует и вот тебе прохождение фильтра.
А так же лёгкий монтаж и демонтаж этого способа изоляции. Включил в канал прохождения сигнала - закрыл, убрал элементы - открыл. Не требуется перенастройки чего-либо.
Перефразируя Архимеда, который говорил «дайте мне точку опоры и я переверну Землю», можно сказать «дайте мне точку подключения вашей сети к сети Интернет и я взломаю вашу сеть»:
Посмотрите "Дайте мне точку опоры или безопасный Интернет — это реальность", может пригодится.
реально проблема с нештатными подключениями внутри сети и во внешних каналах имеет место быть. а там, где нет необходимости сегментам сети иметь доступ в интернет и они находятся внутри общей сети (например разные филиалы) - вполне решение. ведь она искажает пакеты на уровне TCP/UDP, ниже, на 2 уровне - остаётся тем же самым. получается, что когда обмен данными идёт - коммутационное оборудование ориентируется, если сильно не загоняться - 2 уровнем в модели tcp/ip или 3 уровнем в 7 уровневой. и пакеты пробегают, а на конечном этапе, перед другим объектом возвращаются в исходный вид. и если такое прямое-обратное кодирование не производить - явно пакеты не получишь. т.е. эти сегменты образуют свою виртуальную сеть.
это было простое решение вопроса защиты и сегментирования сетей без какого привлечения специалистов - тупо включили в разрыв патчкорда - выделили отдельно, убрали - вернули в штатное состояние. никаких ключей, никаких лицензий по 313-ому или другому постановлению.
Да и больше это средство разграничения, чем сзи от преднамеренного проникновения с перехватом, сбором и анализом трафика.
Ваша идея об организации некоторого прокси, с разграничением сетей через fireware реализуема и с односторонним ethernet, есть такие сзи одностороннего обмена. Надо будет организовать обратный канал, точнее при асимметрии трафика высокоскоростной это тот по которому будет идти передача основного объёма данных, а низко скоростной хоть uart. Т.е. классический "спутниковый" канал 90х-начала 2000х.
Грубо говоря это скремблер, но его как отдельного, доступного и простого решения я не нашёл, почему, собственно и занялся идеей реализации такого простого и дешёвого средства защиты. Можно, в принципе, реализовать и на не сильно сложной ПЛИС, не программным способом.
В реальности, много вопросов, которые в силу исторических причин или так было сделано, реализовано крайне своеобразно. И никуда ты от этого и не денешься. Академичные решения требуют строгого подхода, шаг влево-вправо и не работает.
А массово произрастают наколенного ныне решения, типа 64 расширения 32 битного патча 16 битной графической оболочки, написанной для 8 битной операционной системы, работающей на 4х битном калькуляторе. Это об платформе WIntel. Чисто исторически сложилось, что из простого терминала для больших ЭВМ фирмы ИБМ, в виде открытой конструкции, родилась наиболее массовая персональная ЭВМ, но сама конструкция представляет такое количество мягко говоря ошибочных и спорных решений, собранных дендро-удобряемым способом, что чуду даёшься.
Выживают не красивые решения, а массовые.
Как сейчас RISC+android в области мобильных решений. Как бы эппл не старалась, а доля их медленно падает. Хотя красивая но монопольно контролируемая платформа.
Модуль СКЗИ для выделения подсети