Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 73
Ура!
Одно непонятно, почему столько внимания шифрованию, ведь реализовать его самому не составляет большого труда.
В данном случае это несколько ресурсоёмко, хотя никто не запрещает использовать IPSec VPN из какого-нибудь линукса или бсд. Но в таком случае появляются другие проблемы.
какие, например?
Я бы разделил на две части, на железную и программную.
В своей практике никогда не сталкивался с BSD и Линуксом в качестве маршрутизаторов/брендмауэров и не могу хорошо оценить программную часть данного решения, хотя само решение имеет право на жизнь, т.к. многие люди живут так, но эти же люди с радостью бы пересели на Cisco, Juniper и т.д. при первой возможности.
Если стоимость железа примерно сопоставима или сис. блок с бсд на борту дешевле, то уровень надежности разнится капитально. К тому же стоит отметить, что на той же ASA 5505 на борту живёт 8 интерфейсов, что не так просто вкрутить в компьютер. Да и мне очень представить что-то способное заменить ASA 5550.
Можно еще про безопасность что-нибудь сказать, но тут я почти профан. В решении на линуксе, бсд надо патчить ос и софт, а в решении Cisco, например, достаточно обновлять только IOS.
В своей практике никогда не сталкивался с BSD и Линуксом в качестве маршрутизаторов/брендмауэров и не могу хорошо оценить программную часть данного решения, хотя само решение имеет право на жизнь, т.к. многие люди живут так, но эти же люди с радостью бы пересели на Cisco, Juniper и т.д. при первой возможности.
Если стоимость железа примерно сопоставима или сис. блок с бсд на борту дешевле, то уровень надежности разнится капитально. К тому же стоит отметить, что на той же ASA 5505 на борту живёт 8 интерфейсов, что не так просто вкрутить в компьютер. Да и мне очень представить что-то способное заменить ASA 5550.
Можно еще про безопасность что-нибудь сказать, но тут я почти профан. В решении на линуксе, бсд надо патчить ос и софт, а в решении Cisco, например, достаточно обновлять только IOS.
Если придут и проверят, что и для чего вы используете, то при наличии шифрования (я не знаю, как они будут или могут это проверять, но догадываюсь) потребуют лицензию ФСБ на техническое обслуживание криптосистем. Или договор с компанией на техобслуживание, у которая такая лицензия есть. Если при этом выяснится, что вы используете AES вместо DES (его вроде как можно?), или вместо ГОСТ, на который у вас есть лицензия, то могут быть применены санкции административные и уголовные.
В-общем, здесь (в использовании) пока дело темное. Пока боль-мень понятно со ввозом нового.
Например, есть у меня контора, которая имеет лицензию на техобслуживание любой криптографии на 5 лет.
Пока насколько я понял, они могут заключать договора с кем угодно и тогда можно пользовать коммерческим структурам любые ВПНы.
В-общем, здесь (в использовании) пока дело темное. Пока боль-мень понятно со ввозом нового.
Например, есть у меня контора, которая имеет лицензию на техобслуживание любой криптографии на 5 лет.
Пока насколько я понял, они могут заключать договора с кем угодно и тогда можно пользовать коммерческим структурам любые ВПНы.
Никто не мешает, все так и делают. Другое дело что за «перепрошивку» могут по голове не погладить, плюс у IOSов и лицензий тоже должен быть сертификат, если я не ошибаюсь.
не все шьется (верное замечание про ISR G2) — кончилась халява.
А если и есть такая возможность, то в ряде случаев это будет трактовано как нарушение российского законодательства, контрабанда возможно привлечение к административной или (если ущерб больше 1млн руб) — уголовной ответственности.
А если и есть такая возможность, то в ряде случаев это будет трактовано как нарушение российского законодательства, контрабанда возможно привлечение к административной или (если ущерб больше 1млн руб) — уголовной ответственности.
… и вы сразу подпадете под определение «шифрование» с требованиями по сертификации ФСБ.
Если вы не дай Бог начнете защищать персданные таким способом, то выговором дело не обойдется :(
Определение шифрования у ФСБшников настолько расплывчато, что туда даже MD5 и любой шифр подмены (Виженер, например) попадает…
Хорошо ещё 56битное вывели. Для повседеневных задач хватит — поставить lifetime 20 минут. Кому надо и так сломают, а все подряд — нет.
Если вы не дай Бог начнете защищать персданные таким способом, то выговором дело не обойдется :(
Определение шифрования у ФСБшников настолько расплывчато, что туда даже MD5 и любой шифр подмены (Виженер, например) попадает…
Хорошо ещё 56битное вывели. Для повседеневных задач хватит — поставить lifetime 20 минут. Кому надо и так сломают, а все подряд — нет.
> Позиция ФСБ проста: у нас нет ресурсов отслеживать строгое импортное шифрование, поэтому на территории РФ хотим видеть только ГОСТ.
Таки ФСБ умеют ломать ГОСТ?
Таки ФСБ умеют ломать ГОСТ?
Полагаю что только методами терморектального криптоанализоа. Остальное — понты. Хотя кто его знает, может они и в курсе некоторых ньюансов, связанных со стандартными наборами S блоков.
прикрываются заботой о нас, мол умеем ли мы вскрывать ГОСТ или нет, а иностранцы точно нет.
А про AES они такого утверждать не могут :)
А про AES они такого утверждать не могут :)
А возможно делать отверточную сборку у нас в РФ?
Отверточную сборку чего? Чипсетов?
Причем увы, сидят на таможне далеко не ленивые дураки, а въедливые, как отметил автор, и неглупые. С этим Таможенным Союзом даже C1 ввезти ой как проблемно. На кастомную партию ноутов, в которой стояла особая серия видюх, отличающаяся от обычных двумя символами в партномере, и то приходилось получать отдельную бумагу о легальности ввоза этих «комплектующих».
Причем увы, сидят на таможне далеко не ленивые дураки, а въедливые, как отметил автор, и неглупые. С этим Таможенным Союзом даже C1 ввезти ой как проблемно. На кастомную партию ноутов, в которой стояла особая серия видюх, отличающаяся от обычных двумя символами в партномере, и то приходилось получать отдельную бумагу о легальности ввоза этих «комплектующих».
На сколько я понял, blackberry у нас запрещен по этой же причине. Т.е. я предлагаю ввозить корпус и начинку отдельно. На месте собирать и прошивать.
blackberry отличное продается у мтс — не запрещен он.
В википедии говорится что операторы договорились со службами
ru.wikipedia.org/wiki/BlackBerry
ru.wikipedia.org/wiki/BlackBerry
тут ФСБ применило оригинальное решение: хочешь blackberry — ставь сервер на территории РФ.
То есть им и ломать ничего не надо, все данные идут напрямую через провайдеров.
Заключить договор на blackberry в России, если сервера здесь нет — нельзя. По крайней мере нам так ответил МТС и Билайн.
То есть им и ломать ничего не надо, все данные идут напрямую через провайдеров.
Заключить договор на blackberry в России, если сервера здесь нет — нельзя. По крайней мере нам так ответил МТС и Билайн.
Блин вот же ебанутые чиновники на всю голову. Все эти запреты обходятся простой сменой софта, который можно скачать на торрентах.
Как обычно — никаких реальных преград для террориста нет, зато честные жители поимели честный геморрой.
УРА, ТОВАРИЩИ!
Как обычно — никаких реальных преград для террориста нет, зато честные жители поимели честный геморрой.
УРА, ТОВАРИЩИ!
Прочитайте про лицензирование IOS на G2. Больше нельзя использовать какой угодно feature set без покупки соответствующей лицензии.
А где можно про них почитать? Да и вообще интересно, вот что превратились железяки.
Про лицензирование G2 я знаю с момента опубликования. Это единственное исключение, которое не меняет правило. ISR G1 таки производятся, а там заливай что хошь.
Кстати кстати. Чет я спросонья не сообразил. Там лицензируются фичи (Data/Sec/UC), но для наличия шифрования достаточно купить ее с IOS NPE, а потом залить IOS PE. Тогда даже в базовом фичсете шифрование появится.
Вы уверены что заменить IOS NPE на PE не получится просто так? Я не уверен.
Вы уверены что заменить IOS NPE на PE не получится просто так? Я не уверен.
Можно. Если делать официально, ты получаешь разрешение на ввоз софта (ИОС со строгим шифрованием), получаешь лицензию на обслугу (иди договор на ТО) и вперед.
Только ФСБ теперь по идее в курсе, кто ты, чем занимаешься, зачем шифруешься… А иначе, если им чего не понравится — не дадут :)
И придётся, для выполнения того же ФЗ-152 шифровать ГОСТом.
Я повторюсь: сейчас пока боль-мень понятно со ввозом. С проверкой, чего ты тут используешь — пока полная муть
Ну и до кучи: зальешь «левый» ИОС — нарушил правила циски (на это всем, включая похоже саму циску, в-общем… не обращают внимание :)), но теперь ещё можешь влететь под наши законы, где и административка и уголовка… Как будут считать ущерб — тоже не понятно…
Только ФСБ теперь по идее в курсе, кто ты, чем занимаешься, зачем шифруешься… А иначе, если им чего не понравится — не дадут :)
И придётся, для выполнения того же ФЗ-152 шифровать ГОСТом.
Я повторюсь: сейчас пока боль-мень понятно со ввозом. С проверкой, чего ты тут используешь — пока полная муть
Ну и до кучи: зальешь «левый» ИОС — нарушил правила циски (на это всем, включая похоже саму циску, в-общем… не обращают внимание :)), но теперь ещё можешь влететь под наши законы, где и административка и уголовка… Как будут считать ущерб — тоже не понятно…
Фигово что они 3750, 3560 и 2960 не поторопились сертифицировать, а асы мы уже скоро год будем ждать. Надеемся дождаться к июлю. :)
пускай они[спецслужбы] первые начинают использовать слабое шифрование. а там, глядишь, и все подтянутся.
Вы пишете, что с 95-го года правила никто не выполнял, так что мешает все так же забивать на их новую редакцию? Или все импортеры вдруг стали «белыми»?
… ФАПСИ (ныне ФСБ)
Основные функции ФАПСИ получило не ФСБ, а Спецсвязь ФСО. По крайней мере вопросами шифрования занимаются именно там. ФСБ от ФАПСИ не получило практически никаких функций (читай: обязанностей), но, возможно, обросло после реструктуризации полномочиями.
Основные функции ФАПСИ получило не ФСБ, а Спецсвязь ФСО. По крайней мере вопросами шифрования занимаются именно там. ФСБ от ФАПСИ не получило практически никаких функций (читай: обязанностей), но, возможно, обросло после реструктуризации полномочиями.
Кому нужны ASA K8 или маршрутизаторы без стойкого шифрования? И если я правильно понимаю ситуацию, это оборудование теперь только под заказ и только для компаний имеющих лицензию ФСБ?
эхххх… разбились надежды. А я еще так верил что девайс с модулем К9 сможем получить в разумные сроки…
Спасибо за статью! все иллюзии развеялись :(
Спасибо за статью! все иллюзии развеялись :(
>Новые таможенные правила или как жить дальше?
Поставить свою подпись здесь.
Поставить свою подпись здесь.
Хм, ссылки в html не работают почему-то — putinavotstavku.ru
Тебе не обидно, что денег госдеп за агитацию не даст? Раз занимаешься агитацией против родины, хотя бы бочку варенья потребуй.
А по теме, еще в декабре было ясно, что нормальное железо можно будет взять только со склада. Я вот АСЕю уже и не жду, пока софтверными решениями придется обойтись.
А по теме, еще в декабре было ясно, что нормальное железо можно будет взять только со склада. Я вот АСЕю уже и не жду, пока софтверными решениями придется обойтись.
Не путайте понятия Родины и власти. Родину я люблю, а от нашей власти мне смешно.
Тебе смешно, а мне тут жить.
Хочешь свалить — вали, никто тебя не держит и не порицает, но не оставляй после себя говно. Зачем это? Психология будущего эмигранта? Опошлить и представить все в черном свете, чтобы психологически легче было?
Хочешь свалить — вали, никто тебя не держит и не порицает, но не оставляй после себя говно. Зачем это? Психология будущего эмигранта? Опошлить и представить все в черном свете, чтобы психологически легче было?
Я может и не уеду еще, если на пример Путин в отставку уйдет.
Мне бы такие амбиции, премьера в личные враги записать.
Ну я не знаю. Вы видели сколько нищих в стране? Какие зарплаты в городах? Какие законы бредовые? Вы считаете, если бы правительство делало правильные реформы, все бы так и было?
Такая подсказка. Какие зп были с 90 по 2000? А с 2000 по 2010?
Потом лучше посмотреть, какие реформы проводились в указанные периоды.
Потом лучше посмотреть, какие реформы проводились в указанные периоды.
Ещё бы. Где этим нищим работать, заводов то по производству той же массовой электроники нет. Все в Китае, Корее и т.п. Просто посчитать, сколько сотовых телефонов, ноутбуков и роутеров/модемов ежегодно покупается у нас. Много. А остаётся в нашей стране с продаж сколько процентов? Отсюда и нищие. Сколько людей заняты в производстве? Отсюда и безработица.
На Хабре уже были обзоры нашего железа. Почему оно так себе? Так объём продаж маленький, где взять средства на найм лучших специалистов для доработки.
На Хабре уже были обзоры нашего железа. Почему оно так себе? Так объём продаж маленький, где взять средства на найм лучших специалистов для доработки.
К сожалению всё уже давно опошлено и представлено, эффективный менеджмент. =(
пс. никуда уезжать не собираюсь, просто констатация.
пс. никуда уезжать не собираюсь, просто констатация.
Блин такой гиморрой, я вот в европе с таким не сталкивался, государство не контролирует. Напридумали запред для взяток, если нужно что то зашифровать их контроль над циской ничого не даст.
БМВ, фольксваген уже приняли правила игры. Ауди с мерсом на подходе. Не хотят продавать технологи (дружно вспоминаем опель)? Поставим заградительные пошлины.
Наш рынок очень хорош, а в перспективе — должен стать еще лучше для той же сиско. А вдруг как подумают и примут решение начать сборку в том же Зелике? Пускай для начала крупно узловую!
А что нам еще делать, своей промышленности нет, до маразма дошли, электронику оборонки в Китае заказываем.
Наш рынок очень хорош, а в перспективе — должен стать еще лучше для той же сиско. А вдруг как подумают и примут решение начать сборку в том же Зелике? Пускай для начала крупно узловую!
А что нам еще делать, своей промышленности нет, до маразма дошли, электронику оборонки в Китае заказываем.
Я с вами согласен.
Мне тоже не понятна мышиная велирокосскошовинистская возня.
Похожая ситуация: в Китае, в Казахстане (ну ещё бы), в Индии. Может где-то ещё.
Со стороны наша ситуация кажется дикой, однако жизнь в России многим вообще кажжется невозможной :)
Прорвемся. Но «преподавателя надо знать в лицо, а перед экзаменом по имени-отчеству».
Кто предупрежден, тот вооружен.
Мне тоже не понятна мышиная велирокосскошовинистская возня.
Похожая ситуация: в Китае, в Казахстане (ну ещё бы), в Индии. Может где-то ещё.
Со стороны наша ситуация кажется дикой, однако жизнь в России многим вообще кажжется невозможной :)
Прорвемся. Но «преподавателя надо знать в лицо, а перед экзаменом по имени-отчеству».
Кто предупрежден, тот вооружен.
Я бы понял если оборудование закупалось для внутренних нужд государства, тогда да там нужен полный контроле над шифрованием.
А так, какого хера извините, вон ишодники есть шифруй нехочу. Ну вот допустим мне нужно зашифровать файлик, купить сервер в зимбабве и по шифрованному каналу в сифриванный раздел передать даже школьник может.
Внимание вопрос, при чём тут циска?
А так, какого хера извините, вон ишодники есть шифруй нехочу. Ну вот допустим мне нужно зашифровать файлик, купить сервер в зимбабве и по шифрованному каналу в сифриванный раздел передать даже школьник может.
Внимание вопрос, при чём тут циска?
Псто ненависти таможенникам
«По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
…
4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).»
«С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования „
Значит, любой IOS, содержащий шифрование по умолчанию попадает под нотацию C2?
…
4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).»
«С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования „
Значит, любой IOS, содержащий шифрование по умолчанию попадает под нотацию C2?
А чем так хорош ГОСТ и так плохо импортное шифрование?
Криптостойкость ГОСТа ниже, или есть какие-то ключики у ФСБ к нему?
И почему не ввохить оборудование с IOSом в котором нет шифрования, и для его появления надо обновлять IOS, или это не прокатит?
Криптостойкость ГОСТа ниже, или есть какие-то ключики у ФСБ к нему?
И почему не ввохить оборудование с IOSом в котором нет шифрования, и для его появления надо обновлять IOS, или это не прокатит?
Паранойя: они боятся, что враги легко декриптуют AES, а мы — нет, так как не мы разрабатывали.
А про ГОСТ (разрабатывали мы) все ровно наоборот, мол, может мы и не декриптуем, но и враги — тоже
То, что терморектальный криптоанализ рулит я в курсе. В нашей стране особенно: достаточно ребятам в удобных бронежилетах зайти в офис и вежливо попросить, как AES-256 превращается в шифр Сцитала :)
Обновить ИОС официально можно только купив его. Со всеми вытекающими (это продукт, который везут на диске и растамаживают). Если неофициально, то можно налететь на цискино регулирование (судя по существующей практике это никого не беспокоит). А теперь можно ещё и на наше законодательство.
Наверно ко всем подряд сразу приходить не будут.
Но есть замечательный закон ФЗ-152, по которому теперь можно зайти в к ЛЮБОЙ организации и вежливо спросить, а как ВЫ защищаете перс.данные? И начать проверять… Со всеми вытекающими.
Я уж не говорю про госсектор и госрегулируемый сектор. Там все ещё строже.
А про ГОСТ (разрабатывали мы) все ровно наоборот, мол, может мы и не декриптуем, но и враги — тоже
То, что терморектальный криптоанализ рулит я в курсе. В нашей стране особенно: достаточно ребятам в удобных бронежилетах зайти в офис и вежливо попросить, как AES-256 превращается в шифр Сцитала :)
Обновить ИОС официально можно только купив его. Со всеми вытекающими (это продукт, который везут на диске и растамаживают). Если неофициально, то можно налететь на цискино регулирование (судя по существующей практике это никого не беспокоит). А теперь можно ещё и на наше законодательство.
Наверно ко всем подряд сразу приходить не будут.
Но есть замечательный закон ФЗ-152, по которому теперь можно зайти в к ЛЮБОЙ организации и вежливо спросить, а как ВЫ защищаете перс.данные? И начать проверять… Со всеми вытекающими.
Я уж не говорю про госсектор и госрегулируемый сектор. Там все ещё строже.
Ну гос сектор на то и госсектор.
А вот про IOS не совсем понял, знакомцы имеют аккаунт на циске, и обновляют его вполне официально через сайт. Или я путаю что-то с чем-то =). Я просто во внутренней кухне циски и корпоративных клиентов не варюсь, поэтому для меня эти все сервисы не доступны.
Ну а на счёт страхов и параной, это конечно весело, ну да ладно, на то оно и государство, чтобы чинить проблемы бизнесам.
А вот про IOS не совсем понял, знакомцы имеют аккаунт на циске, и обновляют его вполне официально через сайт. Или я путаю что-то с чем-то =). Я просто во внутренней кухне циски и корпоративных клиентов не варюсь, поэтому для меня эти все сервисы не доступны.
Ну а на счёт страхов и параной, это конечно весело, ну да ладно, на то оно и государство, чтобы чинить проблемы бизнесам.
В рамках контракта ты можешь обновить IOS в том же фича-сете и той же major версии. Minor апдейты даже не всегда официально доступны.
Но вы правы: имея ССО логин есть доступ ко многим ИОСам. Тут то и кроется хитрость: скачать их можно, влить себе — тоже, но поддержки циски не будет.
Но вы правы: имея ССО логин есть доступ ко многим ИОСам. Тут то и кроется хитрость: скачать их можно, влить себе — тоже, но поддержки циски не будет.
Хммм поддержки циски в чём? Просто как бы варимся в уездных городах в собственном соку и силами своими всё держим, это случаем не как с редхатом, заплатил за лицензию а в техподдержу не обращался, т.к. дефолтная лицензия стоит не дорого но и ответ в течении 12-24 часов по емэйлу не устраивает и все проблемы сам решаешь. Поэтому и сползли все на CentOS.
Если надоел с вопросами то не отвечайте, у меня есть такое автоматиеское занудство =).
Если надоел с вопросами то не отвечайте, у меня есть такое автоматиеское занудство =).
не написали что есть еще и категории R, для радиооборудования, которые тоже зависают на таможне.
И так же новость этой недели, коммутаторы 29хх и 3ххх внесли в категорию С4 и сейчас их в россию не ввезти — это вообще полный маразм.
Хотя циска уже пол года с ними динамит. Срок производства коммутатора 2960 ставит 170 дней!!! Плюс еще таможня 3 месяца. Т.е. заказ делаем сейчас, оборудование получаем в конце года. Такими темпами потеряют рынок.
У нас уже клиенты выбирают альтернативы — не согласны столько ждать.
И так же новость этой недели, коммутаторы 29хх и 3ххх внесли в категорию С4 и сейчас их в россию не ввезти — это вообще полный маразм.
Хотя циска уже пол года с ними динамит. Срок производства коммутатора 2960 ставит 170 дней!!! Плюс еще таможня 3 месяца. Т.е. заказ делаем сейчас, оборудование получаем в конце года. Такими темпами потеряют рынок.
У нас уже клиенты выбирают альтернативы — не согласны столько ждать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новые таможенные правила или как жить дальше? Семинар в cisco