Комментарии 29
Простите, но как соотносится названий компании на хабре и фраза
Вы в своей компании не знали о таком решении?
В поисках компромисса мы узнали о существовании еще одного весьма интересного решения — TSS Diamond.
Вы в своей компании не знали о таком решении?
Сложно удержаться
Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.
Последний раз, когда я работал с S-Terra, то самой мощной моделью была VPN GATE 7000 (на HP сервере). Гигабит она даже близко не выдавала. По поводу 10G ничего не слышал, но если появится такая модель, то здорово! Существенно упростит жизнь проектировщикам)
Может я отстал от жизни немного, но 10G это ведь конфиграция ЦОД → ← ЦОД. В чём тут сложность для проектировщиков?
Все адекватные вендоры на рынке имеют решения с сопоставимыми скоростями.
С-Терра Шлюз 7000 выдает 2500.
При этом в тестах никто из вендоров не выдаст даже 500 Мб/с на пакетах 64 байт.
Это не относится к решениям для 10G и выше.
Насчет 10G — никто не будет ставить одну пару железок, всем нужна отказоустойчивость и здесь мы снова вернемся к схеме от С-Терра.
С-Терра Шлюз 7000 выдает 2500.
При этом в тестах никто из вендоров не выдаст даже 500 Мб/с на пакетах 64 байт.
Это не относится к решениям для 10G и выше.
Насчет 10G — никто не будет ставить одну пару железок, всем нужна отказоустойчивость и здесь мы снова вернемся к схеме от С-Терра.
На вид очень похоже на железки от Lanner.
А внутри, случаем, не VyOS/Vyatta?
Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?
А внутри, случаем, не VyOS/Vyatta?
Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?
Имхо это реально Lanner. По любому Linux какой-нибудь внутри. Хотя что тут удивляться, все остальные юзают тоже самое, добавят криптобиблиотеки и в продакшн. Производители…
В России не производятся процессоры уровня Intel.
Да и в мире таких производителей по пальцам одной руки можно пересчитать.
Если процессор все-равно буржуйский, то какая разница, кто производит остальное железо?
Да и в мире таких производителей по пальцам одной руки можно пересчитать.
Если процессор все-равно буржуйский, то какая разница, кто производит остальное железо?
Не, ну тоже решение. Не всегда надо велосипеды строить. Главное не пытаться скрыть это :).
Есть и те, кто на плис делает шифраторы. Мне такое решение больше нравится, лично.
Есть и те, кто на плис делает шифраторы. Мне такое решение больше нравится, лично.
У основных игроков на рынке есть гигабитные решения, вопрос цены.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.
Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
Требуется ли в этом случае проверка на корректность встраивания?
Действительно, за длинным перечнем сертификатов на МЭ, СОВ, НДВ и НСД от ФСТЭК как-то оказалось замылено отсутствие сертификата самого ФСБ на ПАК.
Для того, чтобы осознать разницу в сертификатах указывается целевое применение СКЗИ:
Для криптобиблиотеки выглядит так «может использоваться для криптографической защиты (шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, защита TLS-соединений»
Для шлюза выглядит так «может использоватьсядля криптографической защиты (шифрование и имитозащита данных, передаваемых в IP-пакетах»
Хотелось бы получить комментарий автора по вопросу demjj
Для того, чтобы осознать разницу в сертификатах указывается целевое применение СКЗИ:
Для криптобиблиотеки выглядит так «может использоваться для криптографической защиты (шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, защита TLS-соединений»
Для шлюза выглядит так «может использоватьсядля криптографической защиты (шифрование и имитозащита данных, передаваемых в IP-пакетах»
Хотелось бы получить комментарий автора по вопросу demjj
Ответ ниже от tssltd
Добрый день! Меня зовут Илья Шарапов. Я работаю в компании ТСС. Большое спасибо компании TS Solution за обзор программно-аппаратного комплекса. Ниже, я отвечу на вопросы:
Этот обзор посвящен младшей модели, шифрующей трафик на скоростях до 2,2 Гбит/сек на пакетах по 1500 байт. Имеено ее захотел протестировать партнер. Но наша линейка программно-аппаратных комплексов Diamond VPN/FW этим не ограничивается: в арсенале компании есть другие, более мощные устройства, показывающие значительно большую скорость шифрования. Например, модель 7-й серии показывает скорость 15 Гбит/сек на пакетах по 1500 байт. Есть и новинка размером 1U, которая продемонстрировала при тестировании на Cisco Trex и Ixia 19,3 Гбит/сек на пакетах по 1500 байт. Здесь можно узнать детали тестирования. В ближайшее время, учитывая интерес на Хабре, мы подготовим обзор старшей линейки.
Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)
Безусловно, мы активно дорабатываем функционал: выводим его в web-интерфейс, и уже сейчас практически все функции представлены в web. Благодаря этому мы твердо можешь сказать: Diamond VPN/FW – это сертифицированное СКЗИ, которое по надежности и своему функционалу не уступает другим аналогичным комплексам, а по многим параметрам значительно превосходит конкурентов.
Что касается “даймонд это proOf of concept”, наши программно-аппаратные комплексы уже давно стоят на «боевое дежурство» в нескольких десятках ЦОДах.
Согласно Формуляру и Правилам пользования на СКЗИ Dcrypt, а также соответствующей конструкторской документации, данное СКЗИ является законченным программным средством шифрования, применяемым среди прочего для защиты каналов связи и реализующего функции выработки общего секретного ключа и организации защищенного соединения по протоколу DTLS. Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
Два сертификата у нас в связи с тем, что до настоящего времени комплекс выпускается совместно с ОАО «БИТК» — разработчиком СКЗИ. В настоящее время начата процедура объединения сертификатов под общим названием и одним юр лицом — но это чисто организационный вопрос разработчиков.
belyvoron 2 августа 2017 в 08:36
Схема от S-Terra предлагалась ими для решения на 10G, а совсем даже не на 1G, как вы пишете. Более того, эта схема уже устарела, потому как S-Terra выпустила (или должна выпустить — я уже потерялся, пощупать точно можно, купить — не знаю) шлюз на 10G в одной коробке.
Этот обзор посвящен младшей модели, шифрующей трафик на скоростях до 2,2 Гбит/сек на пакетах по 1500 байт. Имеено ее захотел протестировать партнер. Но наша линейка программно-аппаратных комплексов Diamond VPN/FW этим не ограничивается: в арсенале компании есть другие, более мощные устройства, показывающие значительно большую скорость шифрования. Например, модель 7-й серии показывает скорость 15 Гбит/сек на пакетах по 1500 байт. Есть и новинка размером 1U, которая продемонстрировала при тестировании на Cisco Trex и Ixia 19,3 Гбит/сек на пакетах по 1500 байт. Здесь можно узнать детали тестирования. В ближайшее время, учитывая интерес на Хабре, мы подготовим обзор старшей линейки.
moonug 2 августа 2017 в 09:18
На вид очень похоже на железки от Lanner.
А внутри, случаем, не VyOS/Vyatta?
Вы для конфиденциальной связи VPN рассматривали, я правильно понимаю?
Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)
Vinni37 2 августа 2017 в 10:11
У основных игроков на рынке есть гигабитные решения, вопрос цены.
С полгода назад тестировали младшие модели, прошивка сырая, через «удобный» WEB интерфейс делается далеко не все, часто приходится лезть в консоль. WEB интерфейс частенько падает, и много не доработок. К примеру если master шлюз (VPN сервер) упал/умер/сгорел то клиента вы из режима slave вы уже никогда не выведете (только пере прошивка) и таких мелочей много. Общее мнение если ViPNet или Континент хоть как то напоминает Enterprise решение, то диамонд больше смахивает на proof of concept, да работает, да имеет место жить, но пилить его еще долго.
Безусловно, мы активно дорабатываем функционал: выводим его в web-интерфейс, и уже сейчас практически все функции представлены в web. Благодаря этому мы твердо можешь сказать: Diamond VPN/FW – это сертифицированное СКЗИ, которое по надежности и своему функционалу не уступает другим аналогичным комплексам, а по многим параметрам значительно превосходит конкурентов.
Что касается “даймонд это proOf of concept”, наши программно-аппаратные комплексы уже давно стоят на «боевое дежурство» в нескольких десятках ЦОДах.
demjj 2 августа 2017 в 10:14
Криптографическая подсистема изделия DCrypt имеет сертификат соответствия по классу — КС1 КС2 КС3.
Т.е. само устройство не сертифицировано как ПАК на СКЗИ?
Требуется ли в этом случае проверка на корректность встраивания?
Согласно Формуляру и Правилам пользования на СКЗИ Dcrypt, а также соответствующей конструкторской документации, данное СКЗИ является законченным программным средством шифрования, применяемым среди прочего для защиты каналов связи и реализующего функции выработки общего секретного ключа и организации защищенного соединения по протоколу DTLS. Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
Два сертификата у нас в связи с тем, что до настоящего времени комплекс выпускается совместно с ОАО «БИТК» — разработчиком СКЗИ. В настоящее время начата процедура объединения сертификатов под общим названием и одним юр лицом — но это чисто организационный вопрос разработчиков.
Мы используем оборудование нескольких крупных мировых производителей, в т.ч. Lanner. Само решение по сути программное, но поставляется как appliance для удобства поддержки линейки. Вся суть — в высокой производительности на платформе общего назначения. Кстати, платформы Lanner используются также некоторыми другими крупными мировыми производителями — можете погуглить какими :)
Да я и не говорил, что использовать Lanner это что-то плохое. Нормальные железки.
А вот поверх чего бежит ваш софт, очень важно.
Например, есть производитель, у которого раньше бегало все поверх МСВС, потом они перешли на Astra Linux.
В целом астра приятней мсвс, но, например, ethtool пропал.
А нормализатор у вас есть?
Мы не используем никакой дистрибутив, а собираем ядро и окружение под свои нужды. Это несложно и легко автоматизируется. Что Вы имеете ввиду под нормализатором?
Понятно.
И дистрибутив, собранный вами, вы не сертифицируете?
Нормализатор трафика это софт, например, который исключает канал утечки через длину пакетов, интервал и т.д.
И дистрибутив, собранный вами, вы не сертифицируете?
Нормализатор трафика это софт, например, который исключает канал утечки через длину пакетов, интервал и т.д.
В данном обзоре представлены решения, поставляемые для защиты конфиденциальной информации от типовых угроз. Cредства выравнивания характеристик траффика у нас имеются, однако они не входят в стандартный комплект поставки данного устройства. В случае, если у вас есть интерес к устройствам более высоких классов защиты, или в вашей организации актуальны угрозы, выходящие за перечень стандартно рассматриваемых угроз, целесообразно обсудить это лично.
Простыми словами — вся VPN составляющая комплекса прошла установленным порядком процедуру сертификации. Отдельной проверки корректности встраивания при использовании функционала VPN не требуется.
Тем не менее, ваши коллеги по цеху, достаточно уважаемые компании, проводят сертификацию ПАК, а не только криптобиблиотеки.
Ваша позиция, как производителя, понятна. Но она была бы куда более весомой, если бы вы, к примеру, приложили сканы запроса в ФСБ/ФСТЭК и соответствующего ответа регулятора, что проверка корректности встраивания не требуется.
Это довольно логично — если у коллег ПАК, то они проводят его сертификацию как ПАК. У нас программное решение на платформах по списку, приведенному в формуляре, выполняющее соответствующие функции. Соответственно, комплекс сертифицирован как программное решение на платформах по этому же списку.
«Вес позиции» в этом вопросе определяется не количеством писем, а действующим законодательством, конструкторской и эксплуатационной документации. Мы имеем соответствующее Техническое Задание, Формуляр и Правила Пользования СКЗИ, согласованные в уполномоченном государственном органе. Именно эти документы являются основными при эксплуатации средств криптографической защиты информации на объектах информатизации. Учитывая изложенное в этих документах, в дополнительных письмах мы смысла не видим. В случае, если ваш интерес выходит за рамки данной дискуссии, мы готовы ознакомить вас с соответствующей эксплуатационной документацией, а также необходимыми выписками из конструкторской документации. Если после этого вы будете видеть необходимость в письме — то мы можем его сделать.
«Вес позиции» в этом вопросе определяется не количеством писем, а действующим законодательством, конструкторской и эксплуатационной документации. Мы имеем соответствующее Техническое Задание, Формуляр и Правила Пользования СКЗИ, согласованные в уполномоченном государственном органе. Именно эти документы являются основными при эксплуатации средств криптографической защиты информации на объектах информатизации. Учитывая изложенное в этих документах, в дополнительных письмах мы смысла не видим. В случае, если ваш интерес выходит за рамки данной дискуссии, мы готовы ознакомить вас с соответствующей эксплуатационной документацией, а также необходимыми выписками из конструкторской документации. Если после этого вы будете видеть необходимость в письме — то мы можем его сделать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Гигабитный ГОСТ VPN. TSS Diamond