Пробрасываем толстый клиент через SSL туннель с шифрованием по ГОСТ

  • Tutorial
Привет, Хабровчане!

Сегодня мы хотим рассказать о преимуществах технологии SSL VPN и о практике работы со шлюзом Stonesoft SSL. В статье будет описана настройка данного решения для проброса толстого клиента (на примере хорошо знакомой многим 1С Бухгалтерии) через протокол HTTPS с применением ГОСТовых алгоритмов шифрования. Это позволит нашему любимому главному бухгалтеру удаленно работать с базой 1С по зашифрованному каналу прямо с дачи, нам – быстро подключить к системе пару сотен разбросанных по стране небольших офисов, а нашей организации – выполнить требования законодательства по защите, например, персональных данных.

В статье описывается способ безопасной публикации клиент-серверных приложений через Веб, руководствуясь которым, можно организовать удаленный доступ практически к любому корпоративному ресурсу.

Что такое SSL VPN


Итак, давайте посмотрим, как SSL VPN может облегчить нам жизнь и сэкономить время и нервы. Описывать технологию смысла не вижу, чтобы не докучать сухой технической информацией продвинутому читателю. Освежить знания по SSL VPN можно здесь. Мы же остановимся на практике использования и подумаем, чем же так хорош SSL VPN в сравнении с классическим IPSec VPN.

Суть технологии SSL VPN состоит в следующем: клиент подключается по 443 порту к шлюзу, который в свою очередь инициирует соединение с удаленным сервером (в нашем случае – это 1С), как прокси-сервер.

Во-первых, это удобно. Можно организовать доступ к любому сервису/ресурсу с любого пользовательского устройства из любого места, где есть Интернет. Не надо устанавливать никаких VPN-клиентов, настраивать их, как в случае использования IPSec VPN, достаточно в браузере ввести адрес, аутентифицироваться и работать. Пользователь сможет получить удаленный доступ к корпоративному ресурсу даже через публичный или гостевой Wi-Fi, т.к. 443 порт открыт почти во всех сетях.

Во-вторых, это просто. Просто для всех. Вам не придется объяснять тетеньке-бухгалтеру пользователю, что для получения доступа к какому-то ресурсу ему надо в трее найти иконку VPN-клиента, нажать на ней правой кнопкой мыши, из списка выбрать адрес шлюза, нажать «Connect», ввести логин и пароль (снова привет IPSec VPN). Просто для администраторов, т.к. не надо выдавать пользователю рабочий ноутбук для командировок с установленным и настроенным VPN-клиентом, антивирусом и другим корпоративным ПО.

В-третьих, это безопасно. Есть много механизмов защиты, которые шлюз SSL VPN может применять к клиенту. Два главных механизма – это аутентификация и шифрование. Методы и средства аутентификации можно выбрать самые различные: по логину/паролю, RADIUS, сертификаты, одноразовые пароли, интеграция с Active Directory и многие другие, в зависимости от выбранного решения SSL VPN.

Шифрование тоже на любой вкус, все зависит от вендора. Например, Stonesoft SSL, который мы рассмотрим в этой статье, предлагает нам выбирать из следующих алгоритмов: AES, DES, 3DES, RC2, RC4 и, в версии для России, ГОСТ 28147-89, что очень радует наших гос. регуляторов. Так как мы живем в России и законы не нарушаем, то наличие у этого продукта сертификатов соответствия ФСТЭК и ФСБ позволяет существенно расширить область его применения.

Также можно выделить такие интересные механизмы защиты, как проверка конечного устройства пользователя на соответствие политике безопасности и удаление следов сессии по окончании соединения (cookies, история URL, данные из кэша и временные файлы).

Что имеем и что хотим


Задача стоит следующая: организовать защищенный доступ к серверу 1С по протоколу HTTPS с использованием ГОСТового шифрования с ноутбука бухгалтера, который любит отдыхать и работать на даче. По сути, мы будем прокидывать толстый клиент 1С, который работает по «своим» портам (1540 TCP, 1560-1591 TCP), через порт 443 TCP.

Ниже рассмотрим 2 варианта исполнения подключения через шлюз SSL VPN:
  • 1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP, база 1С хранится в СУБД, установленной на том же сервере
  • 1С-клиент работает напрямую с базой, которая находится в папке с общим доступом

Для реализации этих сценариев в лаборатории был собран стенд:
  • Сервер 1С: Windows Server 2008 R2 x64, MS SQL 2008 R2 Express, 1С 8.3.1.531
  • Клиент: Windows XP SP2, клиент 1С 8.3.1.531, КриптоПро CSP 3.6
  • Межсетевой экран (МЭ): Stonesoft FW/VPN 5.4.3.9685
  • Шлюз SSL VPN: Stonesoft SSL 1.5.200.2002 kc1 GOST, для клиента доступен по адресу https://ssl.sglab.ru/
  • Удостоверяющий центр: тестовый УЦ КриптоПро


МЭ стоит для эмуляции работы через интернет: на внешнем интерфейсе открыт только порт 443 TCP


и настроен NAT на интерфейс шлюза SSL VPN.


Как видно из схемы и правил на МЭ, доступа извне к серверу 1С нет (безопасность прежде всего!).

Настраиваем SSL VPN


Описывать процесс установки прошивки с поддержкой ГОСТ на шлюз SSL VPN и его первоначальной настройки не буду, все это можно найти в Интернетах и гайдах. Так что условимся, что у нас есть чистый Stonesoft SSL с установленными криптобиблиотеками КритоПро CSP, сгенерированными ключами, импортированными сертификатами шлюза и доверенного Удостоверяющего центра.

Ниже приведены сертификаты шлюза Stonesoft SSL и пользователя, выпущенные на тестовом Удостоверяющем центре.

Сертификат шлюза SSL VPN:


Сертификат пользователя:


Настройку шлюза SSL VPN можно разделить на следующие шаги:
  • Настройка аутентификации пользователей
  • Публикация ресурсов на портале приложений шлюза SSL VPN
    • Вариант №1: 1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP
      • Создание туннельного ресурса
      • Создание объекта на портале приложений
    • Вариант №2: 1С-клиент работает напрямую с базой, которая находится в папке с общим доступом
      • Создание стандартного ресурса

Ниже приведено подробное описание настроек со скриншотами.

Настройка аутентификации пользователей

Сначала настроим аутентификацию пользователей. Мы выбрали следующую схему: аутентификация по сертификатам, выданным только доверенным УЦ без привязки к какому-либо хранилищу пользователей. Т.е. если у пользователя есть сертификат, выданный УЦ, который шлюз считает доверенным, то пользователь может аутентифицироваться. Итак, заходим на https://10.30.0.213:8443/ и попадаем на консоль администрирования шлюза Stonesoft SSL.

Идем на вкладку Manage System – Authentication Methods.


Добавляем новый метод – жмем Add Authentication Method…, выбираем тип User Certificate, задаем имя методу и выбираем УЦ, который будет использоваться для данного типа аутентификации.


По умолчанию аутентифицироваться может не любой пользователь, а только тот, чья учетная запись известна шлюзу. Для нашей схемы нужно добавить новый атрибут для созданного метода аутентификации: жмем Add Extended Property…, выбираем атрибут Allow user not listed in Any User Storage и выставляем значение атрибута true.


Все, новый метод аутентификации готов, для применения изменений жмем кнопку Publish. Это, наверное, самая важная кнопка при работе с Stonesoft SSL, не забывайте жать ее каждый раз, когда что-то меняете.


Публикация ресурса. Вариант №1

Теперь надо опубликовать ресурс, чтобы он был доступен пользователю на портале приложений шлюза SSL VPN. Сначала рассмотрим Вариант №1: 1С-клиент подключается к серверу 1С и работает с базой в СУБД.

Процесс создания и публикации ресурса можно описать следующим образом:
  • Создание хоста (в нашем случае это сервер 1С)
  • Создание ссылки на портале приложений шлюза SSL VPN

Идем на вкладку Manage Resource Access – Tunnel Resources, жмем Add Tunnel Resource Host… Заполняем имя ресурса, IP-адрес и порты, по которым мы хотим получить доступ к серверу 1С.


Теперь нужно создать элемент на портале приложений. Идем на вкладку Manage Resource Access – Tunnel Sets, жмем Add Tunnel Set и заполняем имя, выбираем иконку, которая будет видна пользователю (можно выбрать из готовых или загрузить свою), в поле Link Text пишем текст, который будет отображаться под иконкой.


На следующем шаге мы должны указать шлюзу SSL VPN, какой трафик заворачивать в SSL, для этого добавляем динамический туннель, для чего жмем Add Dynamic Tunnel to the Set… и из выпадающего списка в поле Resource выбираем хост с сервером 1С. Все остальные поля заполняются автоматически в соответствии со свойствами ресурса, который мы выбрали.


Теперь самый ответственный момент, необходимо правильно написать команду, которая будет выполняться на клиентском ПК, автоматически запуская клиент 1С с требуемыми параметрами подключения к серверу. У меня она выглядит следующим образом: «C:\Program Files\1cv8\8.3.1.531\bin\1cv8c.exe» /S«10.30.0.238\1c». Стоит помнить о том, что если пользователей несколько, то у всех путь к исполняемому файлу должен быть одинаковым. Если это по каким-то причинам невозможно, то можно поле Startup Command оставить пустым, тогда клиент 1С придется запускать вручную и указывать все параметры после открытия ресурса на портале приложений.


После всех проделанных действий жмем Publish.


Теперь можем проверить, что у нас вышло. Запускаем браузер, пишем в адресной строке https://ssl.sglab.ru/ и видим окно с выбором сертификата.


После аутентификации попадаем на портал приложений.


Жмем на и видим, как загружается Access Client, запускается команда, которую мы писали в свойствах Tunnel Set и в итоге стартует клиент 1С: Предприятие и подключается к серверу.


В момент подключения можно посмотреть логи на МЭ и убедиться, что все работает через HTTPS.


Публикация ресурса. Вариант №2

Теперь настроим другой сценарий – пользователь жмет на иконке 1С на портале приложений и получает доступ к папке с базой на сервере 1С.

Заходим на консоль администрирования шлюза, идем на вкладку Manage Resource Access – Standard Resources – File Sharing Resources – Microsoft Windows File Share и жмем Add this Standard Resource.


Заполняем имя ресурса, IP-адрес сервера 1С, имя папки с базой, к которой открыт общий доступ, выбираем иконку для портала приложений и пишем отображаемое имя.


Собственно, все. Не забываем опубликовать изменения на портале.


Теперь с клиентского ПК снова заходим на https://ssl.sglab.ru/ и жмем на созданной иконке База 1С.


После чего мы видим папку с базой 1С.


Далее все просто и понятно – добавляем в клиенте 1С новую информационную базу, указываем путь \\10.30.0.238\1cbase и работаем с ней по защищенному каналу через HTTPS.

Заключение


Таким образом, мы настроили шлюз SSL VPN для удаленной работы с сервером 1С в двух вариантах по зашифрованному ГОСТовыми алгоритмами каналу и позволили нашим пользователям безопасно работать с корпоративными ресурсами через толстые клиенты.

Это далеко не все, на что способен Stonesoft SSL VPN. Приведенную конфигурацию несложно будет «оттюнинговать» под свои потребности.

Надеемся, эта статья будет вам полезна. В дальнейшем мы планируем продолжить делиться с хабражителями нашим опытом в области информационной безопасности. Будем рады вопросам и пожеланиям в комментах.

Всем спасибо за внимание!

newmaxidrom
АйТи
Company
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 88

    +7
    Управление информационной безопасности попросили написать:
    «Ребята из Айти, вы тут так классно процитировали документацию StoneGate, но почему-то забыли упомянуть стоимость SSL VPN»

    У меня соответственно вопрос, а какова стоимость такого решения?
      0
      Ссылка на документацию есть в статье. Мы хотели на конкретном примере разобрать технологию и помочь тем, кто в первый раз ее внедряет, не наступать на типовые грабли.

      Прайсов в паблике нет. Цены начинаются тысяч от 5 долларов, а конкретные цифры можно запросить у любого дистрибьютора (например, у того же SafeLine).
        +4
        Осторожно спрошу: не проще ли построить систему на OpenVPN, все же более понятный клиент. Пользователям 1с все время держать открытый браузер… не самая гарантированно работающая мысль, мне кажется (особенно на фоне висящего и работающего сервиса OpenVPN, который по неосторожности закрыть сложнее). Опять же, имеем vendor lock со всеми вытекающими.

        Или я сгущаю краски, и 5+ тыс у.е. того стоят? Ну, кроме что можно использовать алгоритм ГОСТ, но его-то к OpenVPN, мне кажется, прикручивали?
          –3
          1. Пользователю не нужно постоянно держать открытым браузер, через него происходит только аутентификация и запуск приложения, после чего можно спокойно закрыть браузер.
          2. OpenVPN — отличное решение для маленьких организаций и для тех, кому не надо выполнять требования законодательства по шифрованию данных по ГОСТ (например, при передаче персональных данных).
            +1
            1. Все равно не работает оно само собой…

            2. Почему для маленьких? Вполне себе масштабируется… Про ГОСТ же — www.cryptocom.ru/products/openvpn.html первая же ссылка в гугле дала ответ.

            Я вполне Вас понимаю, Вы написали по делу, но — я бы побоялся остаться с решением от одного вендора, который, может статься, через год не станет продавать железо в России. Про мобильных пользователей с iPad я молчу, там что делать с клиентским софтом?

            Скажите, а почему Вы рассматриваете 8.3, она же вроде не релизная еще?
              0
              1. Так в этом основной плюс и есть.
              Хотя многие теоретики безопасности давно уже хоронят старый добрый IPSec и говорят, что SSL его полностью заменит, пока до этого далеко и Вы можете выбрать то, что в конкретном случае лучше подойдет: классический IPSec с клиентским ПО или SSL.

              2. Мы как-то работали с МагПро и их SSL. Ребятам низкий поклон за то, что они реализовали ГОСТ для OpenVPN. Однако сертифицированная версия совсем не бесплатная. Цены в целом получатся соизмеримы со StoneSoft. В StoneSoft лично мне больше нравится платформа для публикации приложений, а так решение каждый выбирает на свой вкус. Ничего плохого о МагПро OpenVPN-ГОСТ сказать не могу.

              3. Про решение одного вендора: допустим, МагПро даже не исчезают с рынка, а просто решают не продлевать сертификат ФСБ именно на то решение, которое вы используете. И все, Ваше решение уже не подходит для защиты Перс. данных. Увы, риски есть всегда, особенно когда дело касается сертифицированной криптографии.

              4. С iPad и вообще планшетами отдельная песня. Не так давно Алексей Комаров опубликовал неплохую статью на эту тему.

              5. Нам нужно было любое клиентское ПО для демонстрации работы решения. Сначала думали показать на примере Lotus Notes, а потом решили остановиться на всем знакомом 1C. Плюс его в том, что клиент 1С использует сразу несколько портов (а значит интереснее попробовать запаковать их в один 443-й) и знаком многим. Версия непринципиальна.
                0
                Имеем расклад такой: у Вами рекламируемого (пусть не напрямик, но product placement тут точно имеет место; впрочем, я не критикую, и даже вполне понимаю Вас) есть свои сильные и слабые стороны, и если сильные (публикация приложений) вполне интересны (хотя и непонятно, почему не пойти к конкурентам), то слабые заставляют задуматься. Слабости эти уже тут перечислили не раз:

                1. Цена
                2. Необходимость держать открытым ПО клиента
                3. Привязка к вендору
                4. Фирменный формат туннеля

                При прочих равных остается: либо заморочиться с альтернативными решениями, либо надеяться на лучшее (что производителя не купят и не закроют, что он будет продлевать сертификацию крипто, что его железо будет всегда доступно, и его цена останется вменяемой...)

                Другие варианты VPN-а (pptp, который есть в любой ОС), OpenVPN (который «из коробки» ГОСТ не умеет, и не идет в поставках ОС), IPSec-решения многих вендоров — выглядят также не идеально, но и не проигрывают сильно на фоне представленного решения (кроме темы про ГОСТ, но он и здесь прикручивается отдельно), потому столько вопросов и раздается.

                Пока не очень разобрался, что у решения Stonesoft с масштабированием сети (если строим сеть доступа на всю страну, например) и резервированием (если железка вылетает)…

                P.S. Cisco (такой-то гранд!) уже показала всей стране, где раки зимуют, когда, спасибо сертификации, пропала с рынка на полгода. За это время D-link (не к обеду будет помянут) со своими IPSec-способными железками неплохо поторговал. Уровень разный, что и говорить, но зависеть от вендора — всегда нехорошо, особенно если (как здесь видим) туннель нестандартный.
                  0
                  У нас в плане несколько статей по разным решениям и проблемам в области ИБ.
                  Этот пост — туториал по конкретному решению, поэтому здесь столько Stonesoft. Цели доказать, что Stonesoft лучше конкурентов, не было.
                  Вы верно написали, что у всех решений есть и преимущества, и недостатки. Этому надо посвящать целый пост, наверное.

                  По поводу уровня цен: из нашего опыта могу сказать, что решения на Stonesoft выходят дешевле известных иностранных аналогов, но дороже той же С-терры (если здесь корректно говорить об аналоге). Если бы прайсы дистрьибьютеров были в паблике, я бы с радостью привел цифры, но увы. Цены можно запросить у какого-нибудь интегратора — так проще всего получить сравнение по нескольким вендорам. Пишите в личку — постараюсь помочь.
                    0
                    Пока тема масштабирования не раскрыта, не очень понятно, как ее готовить :) Но за приглашение спасибо!
                      0
                      Сама железка Stonesoft SSL умеет работать в кластере в режиме active-standby. Для реализации load sharing кластера можно использовать любой внешний балансировщик и нарастить производительность до необходимого уровня.
      0
      Сомнительная технология, тем более для тетеньки-бухгалтера. Маленькие организации не потянут, а в крупной никто не будет терпеть бухгалтершу — дачницу. В России менталитет, большинство хранит базы на съемных носителях в сейфе, а вы тут доступ из интернета предлагаете.
        +1
        Из нашего опыта, когда крупные организации внедряют эту технологию (то, что делали мы):

        1) Когда необходимо подключить к корпоративным системам большое число маленьких удаленных офисов. Например, у вас есть 200 точек продаж или операционных касс в разных городах, в которых 1-2 компьютера.

        2) Когда у компании много мобильных пользователей. Например, по всей стране ездят продавцы, которым постоянно надо подключаться к корпоративным системам.
          +2
          Сильная зависимость от интернета. Допустим ситуация, порвали оптику, погорело оборудование — точка стоит, не работает. Резервные каналы — дополнительные и часто необоснованные затраты. Логичнее использовать автономные решения с синхронизацией с центральным сервером.
          А чем для мобильных пользователей плох, например, RDP?
            0
            Видимо, он не по ГОСТу.
              0
              В каждом конкретном случае выбирается свое решение.
              RDP ничем не плох, к нему так же можно прикрутить ГОСТ (мы же говорим о сертифицированном решении), для этого нужно совершить немного больше телодвижений. И плюс ко всему, RDP более ресурсоемкий на стороне сервера, чем SSL VPN.
                +1
                Поясню к чему веду. Мне, как системному администратору, нужны железные аргументы, чтобы убедить руководителя (далекого от IT) в превосходстве данного решения над другими. Что потраченные деньги в долгосрочной перспективе обеспечат экономию, бесперебойность и безопасность деятельности, а таких доводов я не вижу. С другой стороны, технология интересна для любого IT специалиста, а вам большое спасибо за статью.
                  0
                  Это туториал, поэтому показать превосходство решения над другими цели не было.
                  Сейчас хороший аргумент за Stonesoft SSL — это наличие сертификата ФСБ на криптографию (именно для ssl).
                  Вообще, вендоры большие мастера доказывать именно руководителям, что их решение лучше прочих. Если реальная задача есть подобрать аргументы за какое-то решение, пишите в личку. Постараюсь помочь с материалами.
            0
            Базы бывают разные, не только БП. И многие даже хотят своим клиентам организовать доступ к базе 1С в режиме реального времени. см. например 1c-b2b решение.
            0
            В названии статьи «толстый клиент» на скриншотах и параметрах запуска 1С «тонкий клиент». Для работы тонкого клиента 1С через SSL вообще не требуется никакой VPN
              –4
              «Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.

              Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.

              «Настоящий» тонкий клиент у 1С называется «веб-клиент».
                0
                Вариант 1 описывает подключение тонкого клиента 1С.
                Вариант 2 описывает подключение файловой шары.
                А где подключение толстого клиента к серверу 1С (а именно это ожидается глядя на название статьи)? С учетом того, что 1С бухгалтерия работает только в режиме толстого клиента, то именно этот вариант и интересен. А его в статье я как-то не смог найти.
                  –1

                  Собственно, вот подключение толстого клиента к серверу 1С, описанное в Варианте 2.
                    +1
                    Предложите бухгалтеру поработать в таком варианте, и когда в базе станет больше 100 документов, бухгалтер вас проклянёт всеми проклятиями мира. Файловый вариант бухгалтерии даже по локальной сети работает крайне тяжело (очень высокие требования к пропускной способности и времени отклику), а уж через тоннель будет вообще атас. А если бухгалтер не один, а несколько — насладитесь непрерывными ошибками «превышено время ожидания блокировки»
                      –1
                      Тут совсем путаницу развели. Поясню: на скриншоте выше — тонкий клиент (в терминах 1С).
                      Он существует как в файловом, так и в клиент-серверном варианте. Еще у них есть толстый клиент. Он тоже умеет работать как в фаловом так и в клиент-серверном варианте. А еще есть web клиент. Он здесь не описан. Работает в браузере. Как ни странно, ему тоже всё равно файловая база или клиент-серверная.
                        0
                        Не очень красиво написал, но думаю понятно.
                          0
                          Нет, в терминах 1С это именно толстый клиент, как написано на скриншоте. Тонкий клиент только выглядит как толстый, но фактически им не является.
                          s61.radikal.ru/i171/1304/ae/453e2cc126c0.jpg
                    +1
                    Извините, но вы написали бред.

                    Что значит настоящий или ненастоящий? Тонкий и веб-клиенты отличаются только тем, что в тонком есть приложение от компании 1С, которое выполняет некоторые расчеты на стороне клиента, а веб-клиент — это набор JavaScript комманд, которые выполняют точно те же действия но в браузере. В обоих случаях (тонкий и веб-клиент) происходит подключение к одному и тому же опубликованному на веб-сайте URL и основные расчеты происходят где-то там (на кластере 1С или в случае файловой базы в компоненте для Apache или IIS). А если сравнивать тонкость по скорости работы, то веб-клиент тормоз еще тот.
                      0
                      Мы рассматривали в статье принцип проброса толстых клиентов в их классическом представлении. У 1С же немного отличная терминология. Дабы не было путаницы, вот ссылки на вики, где можно почитать о различиях толстого и тонкого клиента.

                      1С мы взяли для примера, таким образом можно прокинуть любой толстый клиент, например, Lotus Notes.
                      0
                      Все-таки терминологию 1С подучите, раз пишете о ней. «Тонкий» и «веб» разные вещи.
                        0
                        > «Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.

                        Эээ… Даже нет слов. Вы бы хоть пакеты посниффали в режиме тонкого и толстого клиента 1С между клиентом и сервером. Это совершенно разные режимы работы.

                        Тонкий клиент 1C — это настоящий тонкий клиент, который отправляет серверу команды в XML формате, получает от него готовые XML данные и представляет их на экране. Внутрях все XML-данные раскладываются в DOM-модель используя libxml2. Веб-клиент делает то же самое, только с помощью браузера, разгребая всё ява скриптом и активно работая с DOM средствами браузера.

                        Никакого отношения тонкий и веб-клиент не имеют к толстому клиенту.
                          0
                          +1 Молодец
                          Походу, автор маркетолог, а не технарь. Интересно, у них всё так?)
                            0
                            Автор — специалист по сетевой безопасности.
                            Пост не об 1С. Толстый и тонкий клиенты 1С приведены в посте в качестве примера приложений, работающих по нескольким портам с серверной частью. Цель поста — помочь с настройкой ssl-vpn для произвольного клиентского ПО.

                            Мы запросили информацию по работе клиента у самих 1С'ников. В принципе, ничего нового они не сказали, все уже есть выше.
                              0
                              Круто. Пост не об 1с, но все ваши скиллы лично у меня вызывают сомнения после этого поста.
                              Вы так и не ответили по теме в моих вопросах.
                              Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
                                0
                                В статье этот момент описан.
                                Когда пользователь жмет на иконку приложения на портале, загружается Stonesoft Access client (в случае, если опубликовано «не-веб» приложение).
                                Помимо этого, на ПК должно быть установлено КриптоПро CSP для поддержки шифрования по ГОСТ и, само собой, толстый клиент опубликованного приложения.
                                  0
                                  Понятно. Ничего нового. Может сама по себе железка неплохая.
                                  Но для применения на существующих инфраструктурах корпоративных не нахожу ей места. Разве что чудодейственный откат поможет.
                                  Всё это есть на цисках, очень привычно, очень понятно, очень проверено, очень отлажено, очень унифицировано.
                                    0
                                    Именно потому что на Cisco так все привычно и отлажено, мы и писали туториал не по Cisco. Этого и так полные интернеты.
                                    Мы Cisco Gold Partner на протяжении многих лет и их оборудования через нас проходит на порядок больше, чем StoneSoft. Но за последние пару лет на Российском рынке наблюдается просто взрыв продаж StoneSoft. Поэтому мы решили, что по этому новому решению туториал как раз может пригодится.
                                      0
                                      Что подтверждает моё утверждение о том, что StoneSoft берут из-за откатов.
                                        0
                                        Мы будем брать Stonesoft SSL VPN и без откатов, что подтверждает то, что ваши утверждения ложны.
                                          0
                                          Исключение из правил подтверждают правила.
                      0
                      «Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.

                      Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.

                      «Настоящий» тонкий клиент у 1С называется «веб-клиент».
                        0
                        а что с браузерами/операционными системами? На Chrome+Win8 заработает?
                          0
                          С Win8 проблем не будет, т.к. КриптоПро CSP 3.6 R3 нормально встает и работает на ней.
                          С Хромом тоже проблем быть не должно, но его нужно запускать с ключами для поддержки TLS. Сегодня вечером поищу и отпишусь более детально.
                            +1
                            Chrome надо запускать с ключом --use-system-ssl.
                              0
                              спасибо! с меня +1 ;)
                          0
                          Вы же в курсе, что у 1С для удаленной работы по защищенному каналу есть свое решение — link.1c.ru
                          При этом нет необходимости в каких-то сложных сисадминских танцах с бубном и все позиционируется как сверхпонятное для любой домохозяйки.

                          Так в чем же преимущество вашего «велосипеда» в вопросе получения удаленного доступа с любого домашнего компьютера главбуха или его родственников (у которых его застал экстренных звонок директора) в его родную Бухгалтерию (которая ни разу не на управляемых формах)?
                            0
                            Вы привязываетесь к примеру c 1C. Суть статьи в другом. В данном случае речь идет про технологию организации защищенного удаленного доступа к ресурсам компании. Это может быть почта, внутренний портал, какая-то шара, просто какой-то сервис на базе Клиент-Сервер и т.д… Решение StoneSoft ничем особенным не отличается (я так понимаю) от решений Cisco или аналогов в части построения SSL VPN, однако имеет одно неоспоримое преимущество – поддержку ГОСТ-шифрования при реализации SSL VPN.
                              0
                              Вы абсолютно правы.

                              Stonesoft отличается от конкурентов поддержкой шифрования по ГОСТ и наличием сертификатов соответствия ФСТЭК и ФСБ.
                              Аналогичные решения есть, например, у Checkpoint, Cisco и Juniper.
                            0
                            Простите, а можно такой вопрос:
                            У меня дома компьютер с Ubuntu, получится у меня работать через вашу систему, если я поставлю на него 1C 8.3 (у него вроде есть клиент для Linux)?
                              0
                              Шлюзу SSL VPN нет разницы, какая ОС стоит на клиентском компьютере. Есть 2 условия, необходимых для того, чтобы все работало:
                              1. У вас стоит КриптоПро CSP (для шифрования по ГОСТ).
                              2. У вас стоит толстый клиент.
                              Если оба условия выполнены, то все будет работать.
                                0
                                Вы имеете ввиду «Толстый клиент» 1С?
                                  0
                                  Толстый клиент любого приложения, которое вы хотите пробросить. Например, клиент 1С.
                                    0
                                    Понятно. А как 1С догадается, что ему за своей базой по адресу 10.30.0.238 нужно идти в VPN?
                                      0
                                      Это прописано в свойствах ресурса (Tunnel Set) — IP-адрес сервера, порты, команда с параметрами для запуска толстого клиента.
                                        0
                                        Хорошо, задам вопрос по-другому. На десктопных ОС есть, грубо говоря, три способа направить трафик по нужному нам направлению, например — в VPN, так, чтобы приложение этого не заметило
                                        1) Создать сетевой адаптер, который будет выглядеть для ОС «как настоящий», а на самом деле будет входной точкой туннеля, и завернуть трафик туда при помощи маршрутов (OpenVPN TAP-Win32, Linux TAP, PPTP и т.п.,)
                                        2) Завернуть трафик еще в пространстве пользователя — на уровне сокетов, если позволяет ОС (например, Client for MS ISA Server)
                                        3) Завернуть трафик в тоннель на уровне ядра — так работает IPSEC

                                        А теперь — собственно, вопрос: какой способ используется в Stonesoft VPN, и какое дополнительное ПО нужно поставить, чтобы этот способ заработал на клиентской ОС? Потому что «просто так» из этих трех способов под Windows, например, заработает только IPSEC и всякие PPTP/L2TP (но нужны админские права на настройку). Под Linux есть еще TUN/TAP адаптеры, то чтобы их создать тоже нужны админские права
                                          0
                                          Вопрос очень интересный. Вызвал бурную полемику у нас в отделе ИБ.
                                          Поскольку мы не разработчики, решили гипотезы не писать и обратиться напрямую к вендору. Финляндия не близко, поэтому придется немного подождать. Как только у нас будет точная информация, сразу ей поделимся.
                                            0
                                            Уважаемый автор!
                                            Ваша статья, честно говоря, вызвала у меня больше вопросов, чем ответов. Начну с того, что для установки и хотя бы минимального обслуживания системы необходимо знать совершенно точно, нужно ли что-то устанавливать на клиентскую машину или нет. Если же даже этот вопрос вызывает бурную полемику, то, выходит, установкой и настройкой системы вы не занимаетесь. Это же следует и стиля ваших ответов, который более характерен для маркетологов, нежели для технарей. В частности, вы не смогли сообщить практически ни одного технического аспекта, касающегося архитектуры и функционирования системы, зато забираетесь в 152 ФЗ, сертификации и прочих «бумажных» вопросах. Из этого можно сделать вывод, что ваш отдел — не технический, а, скорее, юридический. Вопросы, касающиеся закона о ПД, тоже очень интересны, но, к сожалению, формат вашей статьи совершенно не располагает к обсуждению именно юридических моментов.

                                            С одной стороны, очень хорошо, что финская компания занялась продвижение своих технологий на нашем рынке, и даже позаботилась о сертификате ФСБ. Но, видимо, по всем техническим вопросам российским обладателям вашей системы придется общаться с финскими специалистами, а Финляндия, как вы правильно заметили, не близко )

                                            Ответ на свой вопрос я уже нашел сам — на сайте вашей головной организации есть Stonesoft SSL VPN 1.5 Datasheet, а в нем сказано: «Application support. All web-based applications. Virtually all IP (TCP/UDP) based applications, dynamically downloaded access client via Java or ActiveX for crossplatform support (Windows, OS X and Linux)». Жаль, что поиск по своим же мануалам занимает у вас столько времени.

                                            Вообще, судя по съехавшей верстке и непереведенным заголовкам на вашем российском сайте, компания Stonesoft только начинает свой путь в нашей стране. Желаю вам удачи, и прошу, если будет возможность, писать еще про ваше оборудование. В частности, интересна была бы статья, в которой рассказывалось бы об аппаратной начинке SSL VPN — какая платформа, CPU/SoC, операционная система, отладочные порты, где и как производится железо. Неплохо было бы прочитать и о нагрузочном тестировании — какова максимальная скорость и задержки внутри VPN, загрузка CPU клиента и аппаратной платформы и т.п.
                                              0
                                              Момент установки Access Client описан как в статье, так и в нескольких комментариях.
                                              Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.
                                              Про решения Stonesoft обязательно будем писать еще статьи, как и по решениям других вендоров.
                                                0
                                                Спасибо за ответ!
                                                Момент загрузки Access Client действительно описан и в статье, и в комментариях, тем более не совсем понятно, почему он вызвал в вашей компании «бурную полемику». Но ни в статье, ни в комментариях не сказано, что он на Java, то есть ее надо ставить дополнительно (для не-Windows систем), а про Крипто-ПРО написано, хотя он — просто криптопровайдер, и без него ваш клиент работать скорее всего будет, правда, без ГОСТ-шифрования. Я просто хотел получить более развернутый ответ на свой вопрос, а не билет в Финляндию )

                                                >>Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.

                                                Скажите, а если контора, в которой я работаю, закажет у вас Stonesoft VPN, а потом это оборудование заглючит, вы мне тоже напишите, что оно «не ваше»? ))
                              0
                              Я так понимаю, в статье идет речь про так называемый Clientless SSL VPN (WebVPN), когда мы публикуем ресурсы для доступа. Вопросы:

                              1. Таким образом мы можем опубликовать любой сервис или приложение? Допустим, у меня есть программа для работы с каким-то сервером (реализует некий сервис). Сможем такое приложение опубликовать? Нет каких-то ограничений?
                              2. Есть у StoneGate Client SSL VPN? Когда речь идет про установку полноценного клиента на компьютер пользователя (аналог Cisco AnyConnect) с последующим открытием доступа во всю сеть компании? Если есть, то работает ли ПО, например, с ключевым носителем eToken, куда записан контейнер и сертификат пользователя? Где можно почитать более детально?
                              3. Есть ли у компании StoneSoft удобная система управления политиками доступа пользователей и устройств? Либо все в удобной форме реализуется средствами интерфейса самого шлюза StoneGate SSL VPN?

                              P.S. Все вопросы заданы из расчета использования ГОСТ-шифрования.
                                0
                                1. Опубликовать можно любое приложение, если вы знаете, какие оно использует порты.
                                2. Есть такой клиент, называется Access Client, который работает по SSL, есть Stonesoft IPSec VPN Client, который работает, соответственно, через IPSec. С помощью этих клиентов можно организовать доступ во всю сеть. eToken поддерживается, почитать более подробно можно здесь.
                                3. Управлять политиками доступа вполне удобно с веб-интерфейса администрирования самого шлюза SSL VPN.
                                +1
                                Клёво. Вы рекламировали технологию SSL VPN, или запуск приложений с сайта, или 1с с толстым клиентом по сети, или производителя StoneSoft, или себя?

                                1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
                                Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
                                2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
                                3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
                                4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
                                5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.

                                Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
                                Без обид, поясните, если что-то пропустил.
                                  0
                                  Это туториал. Просто делимся опытом. Ну и, наверное, параллельно рекламируем себя. Должны же мы хоть что-то рекламировать, раз блог корпоративный:)

                                  1) Это туториал по решению Stonesoft. Основные вендоры, с которыми мы работаем по направлению VPN, — это Cisco, CheckPoint, Stonesoft, С-терра и КриптоПро. Будет что-то интересное, напишем туториал и по cisco. Вас интересует именно этот вендор?
                                  Это решение Stonesoft не позиционирует, как конкурента роутеров Cisco. Совершенно другой класс продуктов. Я уже писал в комментариях ниже на эту тему.

                                  2) Клиент 1С взяли просто для примера, потому что он многим знаком, использует несколько своих портов и его интересно было попробовать «упаковать» в ГОСТовый SSL VPN. RDP заворачивается в SSL еще проще.
                                  У нас был опыт крупного проекта, где RDP заворачивалось в SSL с сертифицированной криптографией на базе решений самого Microsoft + КриптоПро. Можно подготовить туториал и по этой теме, если вопрос интересен.

                                  3) 1С был взят для примера, поэтому нагрузку не мерили. Нагрузка зависит от клиента, который пробрасывается через туннель, плюс накладные расходы на криптографию (сильно зависят от характера трафика, в частности его фрагментированности).

                                  4) Stonesoft мы не рекламируем. Если бы дистрибьютеры публиковали свои прайсы в паблике, мы бы с радостью поделились ссылкой. Но их легко можно запросить. Если интересно, пишите в личку. Дам контакты продавцов.

                                    0
                                    Такое ощущение, что статью писал технарь, а отвечает маркетолог.
                                    Вы очень ловко используете маркетинговые ответы на технические вопросы. В итоге блаблабла и ничего конкретного.
                                    1) Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит? Спросите у ваших технарей. Это ж туториал. На это хоть могли ответить?
                                    Вообще, я понимаю, что это социальный маркетинг и такими статьями вы хотите повысить рейтинг компании и привлечь клиентов. Но уж если пишете про какую-то хреновину, то пишите про неё исчерпывающе. Не говорите глупостей, что Cisco и Stonesoft — это разный класс. Stonesoft до классового набора Cisco ещё ой как далеко.
                                    2) Коль вы утверждаете, что показали толстый клиент, попросите главбуха одного из ваших больших-пребольших клиентов поработать в таком толстом клиенте. То, что вы показали — постится через вэб как два пальца об сервак.
                                    3) Сколько бы не было продажников, какие бы не были технологии, в каком бы году это не происходило, а в ответе на технические вопросы маркетологи делают копипаст, не меняя ни одной буквы.
                                    Соль в том, что большинство переходит на RDP именно из-за 1с. Так как гонять по сети его данные очень напряжно, и куда проще гонять по сети картинку с RDP.
                                    Запусти вы 1с толстый клиент через SSL VPN, а особенно, если это ваши большие-пребольшие клиенты, WANа не хватит в центре, а мобильные пользователи вряд ли смогут нормально поработать.
                                    Вообщем, если б вы с такой презентацией пришли мне продавать какое-то решение, ушли бы с плохим настроением.
                                    4) Снова глупости. Есть GPL, нет GPL — ebay. Нет даже там, то порядок цен точно вы можете сказать. Или вы его не знаете и за каждым чихом идёте к дистрибьютору? Запросить легко можно уже и без вашего участия. Хотелось увидеть исчерпывающую информацию в статье.
                                  0
                                  В чем приемущества применения данной технологии, скажем вместо S-terra CSP VPN Client или RVPN, которая стоит к тому же дешевле, и которая сертифицирована ФСТЭК, ФСБ и также работает по разным ГОСТам 28147-89 и ГОСТ Р 34.10-20**? Спасибо.
                                    0
                                    Это по сути разные технологии, в данной статье описан SSL VPN, а S-terra CSP VPN Client или RVPN — IPSec VPN. Преимущества SSL VPN описаны в разделе статьи «Что такое SSL VPN».
                                    0
                                    Ну хорошо, а перед ФПСУ VPN Client или FPSU TLS? В своем вопросе я не имел ввиду протоколы туннелирования, преимущества которых перед друг другом достаточно размыты и упираются в сложность закрытого ключа. Есть цель создать туннель, почему выбрать это а не другое? Должно же быть что-то «уникальное» у этого продукта. К примеру у S-terra CSP VPN Client лично мне не нравится ПО и процесс его настройки у клиентов, а у ФПСУ что-то иное, описанное в посте на хабре. Если я использую какой-то продукт для туннелирования, имеет ли смысл обдумывать вариант перехода на Stonesoft SSL, или это те же яйца только в профиль? Только без рекламы.
                                      0
                                      Ответ ниже.
                                      0
                                      Удобство или неудобство продукта — понятия очень субъективные.
                                      Можно развернуть стенд и «пощупать» решение самому, после чего сделать выводы для себя.
                                      Процесс получения демо-лицензии, необходимой для тестирования, описан здесь.
                                        0
                                        «Доступ запрещен. Просмотр файла /support/download.php запрещен.»

                                        Это с учётом уже имеющейся регистрации.
                                        Продуктом заинтересован, но брать без тестирования не есть разумно, а физическая удалённость от реселлеров исключает возможность взять железку на поиграться.
                                        Сообщите, пожалуйста, существует ли возможность «погонять» в частности virtual appliance SSL VPN?
                                          0
                                          Напишите пожалуйста в личном сообщении, что именно Вам интересно посмотреть. Попробуем помочь во взаимодействии с вендором. Как вариант, мы можем предоставить удаленный доступ к нашей лаборатории, где вы сможете покрутить настройки и изучить работу решения самостоятельно.
                                        0
                                        Хорошее решение конечно у стоунсофта, но когда же вы получите сертификат ФСБ на обычный туннель, а не только на SSL. а то приходиться ставить CISCO с C-Tеррой.
                                          0
                                          Stonesoft VPN уже получил положительное заключение. Дело за формальностями.
                                          Учитывая, что они обещают «вот-вот получим сертификат» аж с 2009 года, то ждать всего пару лет осталось :)
                                          0
                                          Я так и не понял, (нафига козе баян) зачем раскошеливаться на это решение, если оно уже есть в составе продуктов других производителей, которые предлагают гораздо больший ассортимент функциональных возможностей. И самое важное, что продукты эти уже применяются в большинстве случаев. Максимум — нужно докупить недорогую лицензию. Но не новый продукт со всеми вытекающими.
                                            0
                                            Это решение корпоративного уровня, а на корпоративном уровне зачастую происходит такое «распадение» функций на разные железки.
                                            На примере Cisco:
                                            1) Ваша маленькая контора выросла и вы покупаете первый и единственный роутер (ISR). В нем есть и межсетевой экран, какая-никакая IPS и VPN до филиала построить можно. Ваши потребности в безопасности удовлетворены.
                                            2) Вы растете, растет нагрузка и на сеть, и на сетевое оборудование. В роутере появляются специализированные модули, а вы докупаете еще и Cisco ASA. Ваш роутер разгружен, у вас уже довольно качественный deep packet inspection и специализированная плата в ASA обсчитывает криптографию для VPN на порядок быстрее. Вы снова вполне удовлетворены.
                                            3) Рост продолжается. Вам снова надо разгрузить оборудование от специфических задач, появляются новые потребности (например, та же сертифицированная криптография по ГОСТ). Вы покупаете специализированное решение от DDOS, внедряете DLP, решаете приобрести SSL-VPN-концентратор (например, тот же StoneSoft) и т.д.

                                            То есть, если для ваших потребностей достаточно будет, как вы пишите, докупить недорогую лицензию, то именно это вам и нужно сделать. Городить огород с выделенным SSL-шлюзом смысла нет. А если руководство поставило вам задачу подключить по VPN к корпоративной системе 5000 пользователей, то одной лицензией дело скорее всего не обойдется.
                                              0
                                              Лихо вы перекрутили. Хотите сказать, на Cisco нельзя сделать SSL VPN концентратор?)) Кстати, он там из коробки.
                                              Давайте рассмотрим корпоративный сектор, о котором вы говорите, а не маленькую контору из вашего примера, не будем уходить от сути вопроса попыткой перейти на выдуманные личности.
                                              Вопрос в том ЗАЧЕМ в унифицированную инфраструктуру брать непонятную железку? Есть инженеры, есть смартнеты, есть взаимозаменяемое железо. В случае нехватки мощности приобретается ещё дна унифицированная железка.
                                              Если же брать новое, малоизвестное, узкозаточенное решение, нам нужен для него инженер, время реакции на его обслуживание возрастает, единообразно управлять инфраструктурой уже не получится.

                                              Коль вы постеснялись дать ответ на предыдущие комментарий, да простит меня хабр, повторю его здесь:
                                              Клёво. Вы рекламировали технологию SSL VPN, или запуск приложений с сайта, или 1с с толстым клиентом по сети, или производителя StoneSoft, или себя?

                                              1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
                                              Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
                                              2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
                                              3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
                                              4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
                                              5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.

                                              Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
                                              Без обид, поясните, если что-то пропустил.
                                                0
                                                Уже ответил на предыдущий комментарий, извините за задержку.

                                                Если у Вас все на Cisco, то, конечно, есть смысл стараться строить все на Cisco и дальше. Сейчас у Stonesoft очевидное преимущество: есть сертифицированный ГОСТовый ssl vpn. Скоро из международных брендов должен подтянуться и CheckPoint. Cisco отдала сертифицированную криптографию на откуп С-терра и в данном направлении не работают, насколько я знаю.

                                                Пост не рекламирует Stonesoft. Если решение Вам не подходит, то этот туториал вам просто не пригодится. Только если для общего развития.
                                                  0
                                                  По ФЗ 152 готовитесь?
                                                    0
                                                    По ФЗ 152 всегда готовы!:)
                                                    Где-то час назад представитель ФСТЭК на CISO-форуме сказал, что новая нормативка по защите персональных данных уже готова и почти 2 месяца лежит в Минюсте из-за высокой загруженности последнего.
                                                    Когда она выйдет, постараемся подготовить обзор изменений для Хабра.
                                            0
                                            Как обстоят дела с подключением к VPN шлюзу не из под Windows? Нужно ли ставить клиент для OS X и Linux?
                                              0
                                              1. КриптоПро CSP 3.6 R3 поддерживает большое количество ОС, в т.ч. Mac OS X и Linux (с полным списком можно ознакомиться на сайте производителя www.cryptopro.ru/support/docs).
                                              2. Stonesoft SSL использует для подключения Access Client, который написан на Java и, соответственно, тоже может работать под Mac OS X и Linux.

                                              Так что проблем с подключением «не-из-под-Windows» не будет.
                                              0
                                              Только что наткнулся на статью, на данный момент мы настраиваем Citrix сессиии через Stonesoft, пока всё замечательно. Из комментариев ясно, что 2/3 «икспертов» хабра о фз 152 не слышали и не услышат.
                                                0
                                                Надеюсь, что-то полезное и для вас найдется в статье.
                                                Если будет какие-то интересные моменты в процессе внедрения, пишите — дополним туториал.
                                                0
                                                Работал я с этим продуктом.

                                                Вполне рабочая система публикации приложений, но стабильность работы вызывала много нареканий.

                                                Из минусов: нормально пробрасываются только веб приложения, для RDP нужен IE с включенным ActiveX или JAVA, на компе обязательно должен присутствовать крипто-про, для запуска гостового туннеля все равно нужен клиент в том или ином виде. Для доступа к ресурсам внутренней сетки напрямую, требуется наличие свободных IP на это же количество ресурсов (спасибо proxy arp) и убивается сама идея экономии адресов при одном SSL шлюзе. Решение абсолютно другое, нежели у циски. Красивые маркетинговые слова, но очень много нюансов и подводных камней, часто совсем неприятных.

                                                Вообщем, каждый вендор воспринимает эту технологию через свою призму и лепит собственные костыли. И пока у нас каждый браузер не будет поддерживать гостовую криптографию — сфера ее применения очень ограниченная. А сама концепция, конечно, красивая…
                                                  0
                                                  Спасибо тебе, мил человек, коллега. Спасибо, дорогой, за редкий адекватный отзыв о реальном опыте, за немаркетинг и за не «я думаю». Спасибо.
                                                    0
                                                    Всегда пожалуйста =)

                                                    У этого продукта киллер фича — можно очень просто и быстро создать одновременно несколько точек входа с гостовым шифрованием или с обычным AES. Для челяди и топ-менеджеров с айпадами, соответственно. Потому его так любят, лелеют, внедряют.
                                                    0
                                                    Вполне рабочая система публикации приложений, но стабильность работы вызывала много нареканий.

                                                    Поясню на всякий случай что такое "много нареканий".


                                                    Пока активно VPN-подключение — все ресурсы локальной сети недоступны. Причем эта штука еще и как-то хитро перенаправляет траффик в обход таблицы маршрутизации...


                                                    В среднем каждое пятое подключение зависает, после чего на компьютере полностью отваливается сеть до перезагрузки.


                                                    Иногда винда вылетает в BSOD.

                                                      0

                                                      Добавлю. Для комфортного использования этой штуки пришлось делать отдельную виртуалку где автокликер сам устанавливает VPN-соединение. Плюс там крутится отдельная программа которая выступает как прокси, к ней мы и цепляемся. И сверху watchdog который перезагружает виртуалку при потерях связи.


                                                      По-другому подключаться к такому VPN оказалось невозможно, слишком нестабильная хрень.

                                                        0
                                                        Похоже, прошло уже пять лет, а стало только хуже.

                                                  Only users with full accounts can post comments. Log in, please.