Комментарии 19
>>Аппаратная организация VPN в РФ в основном держится на следующем оборудовании:…
Пожалуй, корректнее было бы сказать «одобренная регуляторами организация VPN». В том смысле, что эта криптография имеет сертификаты соответствия требованиям ФСБ для защиты передаваемых данных в соответствии с классами защищённости такими то.
К вендорам, стоило бы добавить НТЦ «Атлас» с их Атликс-VPN, Инфотекс с решениями VipNet и продукцию компании Stonesoft, так же имеющую ряд сертификатов от ФСБ и ФСТЭК-а.
Пожалуй, корректнее было бы сказать «одобренная регуляторами организация VPN». В том смысле, что эта криптография имеет сертификаты соответствия требованиям ФСБ для защиты передаваемых данных в соответствии с классами защищённости такими то.
К вендорам, стоило бы добавить НТЦ «Атлас» с их Атликс-VPN, Инфотекс с решениями VipNet и продукцию компании Stonesoft, так же имеющую ряд сертификатов от ФСБ и ФСТЭК-а.
Согласен, с Вами. Но, по-моему, у Инфотекса, исключительно программные решения? У Атласа еще есть криптомаршрутизатор КМ-07 (М-479), кстати очень мощный аппарат, но не для «обычных» сетей.
Неважно как оно работает и сколько проблем доставляет, главное — сертифицировано.
Да, суть заключается не в качественном продукте, а в получении на него сертификатов. Чем сложнее продукт, тем ниже вероятность получения сертификата соответствия. В итоге искусственно рынок кренится в область бумаги, т.к. первоначально говорят не о возможностях устройств, удобства для пользования, масштабируемости, а выпаливают о том, что комплекс соответствует кс1, к1, 1а и это главное…
Эта сертификация только государственным структурам важна.
Мелким частникам и VPN-то не очень нужен, не говоря уж о сертификации. Более крупным не так важна безопасность, как надёжность и скорость; не такого полёта они все птицы, чтобы кто-то перехватывал содержимое пакетов из их VPNов — много выгоды от этого всё равно не получишь.
В любом случае, уже OpenVPN, gre-over-ipsec (в т.ч. dmvpn) и прочие подобные легко удовлетворят этих клиентов.
Те частники, что покрупнее, как правило — филиалы западных (или восточных — Япония, Корея) контор. Они уже давно используют нормальные удобные решения, которые они с собой принесли и в Россию. Им вообще плевать, что у нас тут сертифицировано — им важно, чтобы там у них было сертифицировано.
И остались банки. Они каждый делают свой велосипед, кто во что горазд. Пока дело обстоит так, им не нужны универсальные удобные решения — им нужно посильнее привязать клиента к себе.
Мелким частникам и VPN-то не очень нужен, не говоря уж о сертификации. Более крупным не так важна безопасность, как надёжность и скорость; не такого полёта они все птицы, чтобы кто-то перехватывал содержимое пакетов из их VPNов — много выгоды от этого всё равно не получишь.
В любом случае, уже OpenVPN, gre-over-ipsec (в т.ч. dmvpn) и прочие подобные легко удовлетворят этих клиентов.
Те частники, что покрупнее, как правило — филиалы западных (или восточных — Япония, Корея) контор. Они уже давно используют нормальные удобные решения, которые они с собой принесли и в Россию. Им вообще плевать, что у нас тут сертифицировано — им важно, чтобы там у них было сертифицировано.
И остались банки. Они каждый делают свой велосипед, кто во что горазд. Пока дело обстоит так, им не нужны универсальные удобные решения — им нужно посильнее привязать клиента к себе.
В крупных компаниях, имеющих распределенные офисы или дочки, vpn используется по умолчанию, при том средства обязательно сертифицированные, т.к. регуляторы найдя нарушение, выпишут предписание на уплату штрафа пропорционально количеству инцидентов, что как раз в крупных компаниях и повлечет к большим затратам. По поводу зарубежных компаний, точно не могу утверждать, но к примеру у производителя нефте газового оборудования, широко известного, применяется также vpn построители, прошедшие процедуру сертификации РФ, ведь если я не путаю, работая на территории РФ, необходимо следовать ее законодательству.
Аппаратная организация VPN в РФ должна гореть в аду в полном составе.
Ох уж эта колхозно-кулибинская реализация шифрования пакетов: когда на (вроде пакетном) уровне изменяется длина пакета, что не рекомендует сам Microsoft. Так нет же, мы лучше в инсталляторе добавим опцию «меньшить MTU». Сколько километров нервов потрачено при выяснении практически вслепую — почему не поднимается канал.
Чем это отличается от IPSEC? Что, там не изменяется или как бы вы думали добавить к пакету ещё и подпись, не увеличив его длину?
Да, но IPSEC-стандарт, который вы можете использовать или взять альтернативу. В случае же FPSU возникает ситуация:
«Приходил мальчик из %организация% — сказал, что в нашей топологии сети (прокси, порт-маппинг) продукт работать не будет — надо „нормальный“ интернет».
На чтобородатый в пиджаке и галстуке админ криво усмехнётся — %организация%-стайл, мать их. И пойдет настраивать/перекраивать интернет.
«Приходил мальчик из %организация% — сказал, что в нашей топологии сети (прокси, порт-маппинг) продукт работать не будет — надо „нормальный“ интернет».
На что
Вы же вроде возмущались тем, что длина меняется? Даже выделили это слово.
Да, и sip хреновенько работает с порт-маппингом, и h323 тоже так себе, и у старого как… испражнения мамонта ftp с этим бывают проблемы, и у нового xmpp с передачей файлов через два ната не всё так просто.
випнет вполне работает за натом и за порт-маппингом
если речь о клиенте — так что угодно работает за натом
Положа руку на сердце, согласитесь: трансляция адресов — это костыль. В общем и целом негоже пенять на протоколы, что из-за некоего костыля они работают не так, как задумано.
Да, и sip хреновенько работает с порт-маппингом, и h323 тоже так себе, и у старого как… испражнения мамонта ftp с этим бывают проблемы, и у нового xmpp с передачей файлов через два ната не всё так просто.
випнет вполне работает за натом и за порт-маппингом
если речь о клиенте — так что угодно работает за натом
Положа руку на сердце, согласитесь: трансляция адресов — это костыль. В общем и целом негоже пенять на протоколы, что из-за некоего костыля они работают не так, как задумано.
Быть может это помогло бы избавиться от «детских болезней», хотя за 10 лет, можно было бы их решить, ведь версии ОС для ФПСУ меняются, а легендарный «поДудуплекс» в режимах настройки сетевых адаптеров все остается.
полагаю, «калибровку ДСЧ» уже ничем не вылечишь…
«2-ух диновый» вместо 2U, а 1U это уже блейд. Прочитав не поверил, что это на Хабре…
В данной заметке попытаюсь рассказать о ФПСУ – «Программно-аппаратный комплекс «Фильтр Пакетов Сетевого Уровня – Internet Protocol», который используют по крайней мере в двух очень больших корпорациях
Дааа уж, инженеры по крайней мере одной из этих больших корпораций могут много что про этот ваш ФПСУ рассказать. Нецензурного, в основном.
На сайте они говорят, что могут достигать скорости 20Гбит/сек на своем межсетевом экране в режиме инспекции трафика: amicon.ru/page.php?link=fpsu-ip И у меня вопрос — как они это делают на одном 10 Гбитном интерфейсе?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
ПАК ФПСУ-IP и его плюшки