Это туториал. Просто делимся опытом. Ну и, наверное, параллельно рекламируем себя. Должны же мы хоть что-то рекламировать, раз блог корпоративный:)
1) Это туториал по решению Stonesoft. Основные вендоры, с которыми мы работаем по направлению VPN, — это Cisco, CheckPoint, Stonesoft, С-терра и КриптоПро. Будет что-то интересное, напишем туториал и по cisco. Вас интересует именно этот вендор?
Это решение Stonesoft не позиционирует, как конкурента роутеров Cisco. Совершенно другой класс продуктов. Я уже писал в комментариях ниже на эту тему.
2) Клиент 1С взяли просто для примера, потому что он многим знаком, использует несколько своих портов и его интересно было попробовать «упаковать» в ГОСТовый SSL VPN. RDP заворачивается в SSL еще проще.
У нас был опыт крупного проекта, где RDP заворачивалось в SSL с сертифицированной криптографией на базе решений самого Microsoft + КриптоПро. Можно подготовить туториал и по этой теме, если вопрос интересен.
3) 1С был взят для примера, поэтому нагрузку не мерили. Нагрузка зависит от клиента, который пробрасывается через туннель, плюс накладные расходы на криптографию (сильно зависят от характера трафика, в частности его фрагментированности).
4) Stonesoft мы не рекламируем. Если бы дистрибьютеры публиковали свои прайсы в паблике, мы бы с радостью поделились ссылкой. Но их легко можно запросить. Если интересно, пишите в личку. Дам контакты продавцов.
Напишите пожалуйста в личном сообщении, что именно Вам интересно посмотреть. Попробуем помочь во взаимодействии с вендором. Как вариант, мы можем предоставить удаленный доступ к нашей лаборатории, где вы сможете покрутить настройки и изучить работу решения самостоятельно.
1. Так в этом основной плюс и есть.
Хотя многие теоретики безопасности давно уже хоронят старый добрый IPSec и говорят, что SSL его полностью заменит, пока до этого далеко и Вы можете выбрать то, что в конкретном случае лучше подойдет: классический IPSec с клиентским ПО или SSL.
2. Мы как-то работали с МагПро и их SSL. Ребятам низкий поклон за то, что они реализовали ГОСТ для OpenVPN. Однако сертифицированная версия совсем не бесплатная. Цены в целом получатся соизмеримы со StoneSoft. В StoneSoft лично мне больше нравится платформа для публикации приложений, а так решение каждый выбирает на свой вкус. Ничего плохого о МагПро OpenVPN-ГОСТ сказать не могу.
3. Про решение одного вендора: допустим, МагПро даже не исчезают с рынка, а просто решают не продлевать сертификат ФСБ именно на то решение, которое вы используете. И все, Ваше решение уже не подходит для защиты Перс. данных. Увы, риски есть всегда, особенно когда дело касается сертифицированной криптографии.
4. С iPad и вообще планшетами отдельная песня. Не так давно Алексей Комаров опубликовал неплохую статью на эту тему.
5. Нам нужно было любое клиентское ПО для демонстрации работы решения. Сначала думали показать на примере Lotus Notes, а потом решили остановиться на всем знакомом 1C. Плюс его в том, что клиент 1С использует сразу несколько портов (а значит интереснее попробовать запаковать их в один 443-й) и знаком многим. Версия непринципиальна.
Это решение корпоративного уровня, а на корпоративном уровне зачастую происходит такое «распадение» функций на разные железки.
На примере Cisco:
1) Ваша маленькая контора выросла и вы покупаете первый и единственный роутер (ISR). В нем есть и межсетевой экран, какая-никакая IPS и VPN до филиала построить можно. Ваши потребности в безопасности удовлетворены.
2) Вы растете, растет нагрузка и на сеть, и на сетевое оборудование. В роутере появляются специализированные модули, а вы докупаете еще и Cisco ASA. Ваш роутер разгружен, у вас уже довольно качественный deep packet inspection и специализированная плата в ASA обсчитывает криптографию для VPN на порядок быстрее. Вы снова вполне удовлетворены.
3) Рост продолжается. Вам снова надо разгрузить оборудование от специфических задач, появляются новые потребности (например, та же сертифицированная криптография по ГОСТ). Вы покупаете специализированное решение от DDOS, внедряете DLP, решаете приобрести SSL-VPN-концентратор (например, тот же StoneSoft) и т.д.
То есть, если для ваших потребностей достаточно будет, как вы пишите, докупить недорогую лицензию, то именно это вам и нужно сделать. Городить огород с выделенным SSL-шлюзом смысла нет. А если руководство поставило вам задачу подключить по VPN к корпоративной системе 5000 пользователей, то одной лицензией дело скорее всего не обойдется.
Удобство или неудобство продукта — понятия очень субъективные.
Можно развернуть стенд и «пощупать» решение самому, после чего сделать выводы для себя.
Процесс получения демо-лицензии, необходимой для тестирования, описан здесь.
Это по сути разные технологии, в данной статье описан SSL VPN, а S-terra CSP VPN Client или RVPN — IPSec VPN. Преимущества SSL VPN описаны в разделе статьи «Что такое SSL VPN».
1. Пользователю не нужно постоянно держать открытым браузер, через него происходит только аутентификация и запуск приложения, после чего можно спокойно закрыть браузер.
2. OpenVPN — отличное решение для маленьких организаций и для тех, кому не надо выполнять требования законодательства по шифрованию данных по ГОСТ (например, при передаче персональных данных).
С Win8 проблем не будет, т.к. КриптоПро CSP 3.6 R3 нормально встает и работает на ней.
С Хромом тоже проблем быть не должно, но его нужно запускать с ключами для поддержки TLS. Сегодня вечером поищу и отпишусь более детально.
Stonesoft отличается от конкурентов поддержкой шифрования по ГОСТ и наличием сертификатов соответствия ФСТЭК и ФСБ.
Аналогичные решения есть, например, у Checkpoint, Cisco и Juniper.
1. Опубликовать можно любое приложение, если вы знаете, какие оно использует порты.
2. Есть такой клиент, называется Access Client, который работает по SSL, есть Stonesoft IPSec VPN Client, который работает, соответственно, через IPSec. С помощью этих клиентов можно организовать доступ во всю сеть. eToken поддерживается, почитать более подробно можно здесь.
3. Управлять политиками доступа вполне удобно с веб-интерфейса администрирования самого шлюза SSL VPN.
Шлюзу SSL VPN нет разницы, какая ОС стоит на клиентском компьютере. Есть 2 условия, необходимых для того, чтобы все работало:
1. У вас стоит КриптоПро CSP (для шифрования по ГОСТ).
2. У вас стоит толстый клиент.
Если оба условия выполнены, то все будет работать.
Мы рассматривали в статье принцип проброса толстых клиентов в их классическом представлении. У 1С же немного отличная терминология. Дабы не было путаницы, вот ссылки на вики, где можно почитать о различиях толстого и тонкого клиента.
1С мы взяли для примера, таким образом можно прокинуть любой толстый клиент, например, Lotus Notes.
В каждом конкретном случае выбирается свое решение.
RDP ничем не плох, к нему так же можно прикрутить ГОСТ (мы же говорим о сертифицированном решении), для этого нужно совершить немного больше телодвижений. И плюс ко всему, RDP более ресурсоемкий на стороне сервера, чем SSL VPN.
1) Это туториал по решению Stonesoft. Основные вендоры, с которыми мы работаем по направлению VPN, — это Cisco, CheckPoint, Stonesoft, С-терра и КриптоПро. Будет что-то интересное, напишем туториал и по cisco. Вас интересует именно этот вендор?
Это решение Stonesoft не позиционирует, как конкурента роутеров Cisco. Совершенно другой класс продуктов. Я уже писал в комментариях ниже на эту тему.
2) Клиент 1С взяли просто для примера, потому что он многим знаком, использует несколько своих портов и его интересно было попробовать «упаковать» в ГОСТовый SSL VPN. RDP заворачивается в SSL еще проще.
У нас был опыт крупного проекта, где RDP заворачивалось в SSL с сертифицированной криптографией на базе решений самого Microsoft + КриптоПро. Можно подготовить туториал и по этой теме, если вопрос интересен.
3) 1С был взят для примера, поэтому нагрузку не мерили. Нагрузка зависит от клиента, который пробрасывается через туннель, плюс накладные расходы на криптографию (сильно зависят от характера трафика, в частности его фрагментированности).
4) Stonesoft мы не рекламируем. Если бы дистрибьютеры публиковали свои прайсы в паблике, мы бы с радостью поделились ссылкой. Но их легко можно запросить. Если интересно, пишите в личку. Дам контакты продавцов.
Хотя многие теоретики безопасности давно уже хоронят старый добрый IPSec и говорят, что SSL его полностью заменит, пока до этого далеко и Вы можете выбрать то, что в конкретном случае лучше подойдет: классический IPSec с клиентским ПО или SSL.
2. Мы как-то работали с МагПро и их SSL. Ребятам низкий поклон за то, что они реализовали ГОСТ для OpenVPN. Однако сертифицированная версия совсем не бесплатная. Цены в целом получатся соизмеримы со StoneSoft. В StoneSoft лично мне больше нравится платформа для публикации приложений, а так решение каждый выбирает на свой вкус. Ничего плохого о МагПро OpenVPN-ГОСТ сказать не могу.
3. Про решение одного вендора: допустим, МагПро даже не исчезают с рынка, а просто решают не продлевать сертификат ФСБ именно на то решение, которое вы используете. И все, Ваше решение уже не подходит для защиты Перс. данных. Увы, риски есть всегда, особенно когда дело касается сертифицированной криптографии.
4. С iPad и вообще планшетами отдельная песня. Не так давно Алексей Комаров опубликовал неплохую статью на эту тему.
5. Нам нужно было любое клиентское ПО для демонстрации работы решения. Сначала думали показать на примере Lotus Notes, а потом решили остановиться на всем знакомом 1C. Плюс его в том, что клиент 1С использует сразу несколько портов (а значит интереснее попробовать запаковать их в один 443-й) и знаком многим. Версия непринципиальна.
На примере Cisco:
1) Ваша маленькая контора выросла и вы покупаете первый и единственный роутер (ISR). В нем есть и межсетевой экран, какая-никакая IPS и VPN до филиала построить можно. Ваши потребности в безопасности удовлетворены.
2) Вы растете, растет нагрузка и на сеть, и на сетевое оборудование. В роутере появляются специализированные модули, а вы докупаете еще и Cisco ASA. Ваш роутер разгружен, у вас уже довольно качественный deep packet inspection и специализированная плата в ASA обсчитывает криптографию для VPN на порядок быстрее. Вы снова вполне удовлетворены.
3) Рост продолжается. Вам снова надо разгрузить оборудование от специфических задач, появляются новые потребности (например, та же сертифицированная криптография по ГОСТ). Вы покупаете специализированное решение от DDOS, внедряете DLP, решаете приобрести SSL-VPN-концентратор (например, тот же StoneSoft) и т.д.
То есть, если для ваших потребностей достаточно будет, как вы пишите, докупить недорогую лицензию, то именно это вам и нужно сделать. Городить огород с выделенным SSL-шлюзом смысла нет. А если руководство поставило вам задачу подключить по VPN к корпоративной системе 5000 пользователей, то одной лицензией дело скорее всего не обойдется.
Можно развернуть стенд и «пощупать» решение самому, после чего сделать выводы для себя.
Процесс получения демо-лицензии, необходимой для тестирования, описан здесь.
2. OpenVPN — отличное решение для маленьких организаций и для тех, кому не надо выполнять требования законодательства по шифрованию данных по ГОСТ (например, при передаче персональных данных).
С Хромом тоже проблем быть не должно, но его нужно запускать с ключами для поддержки TLS. Сегодня вечером поищу и отпишусь более детально.
Stonesoft отличается от конкурентов поддержкой шифрования по ГОСТ и наличием сертификатов соответствия ФСТЭК и ФСБ.
Аналогичные решения есть, например, у Checkpoint, Cisco и Juniper.
2. Есть такой клиент, называется Access Client, который работает по SSL, есть Stonesoft IPSec VPN Client, который работает, соответственно, через IPSec. С помощью этих клиентов можно организовать доступ во всю сеть. eToken поддерживается, почитать более подробно можно здесь.
3. Управлять политиками доступа вполне удобно с веб-интерфейса администрирования самого шлюза SSL VPN.
1. У вас стоит КриптоПро CSP (для шифрования по ГОСТ).
2. У вас стоит толстый клиент.
Если оба условия выполнены, то все будет работать.
1С мы взяли для примера, таким образом можно прокинуть любой толстый клиент, например, Lotus Notes.
Собственно, вот подключение толстого клиента к серверу 1С, описанное в Варианте 2.
RDP ничем не плох, к нему так же можно прикрутить ГОСТ (мы же говорим о сертифицированном решении), для этого нужно совершить немного больше телодвижений. И плюс ко всему, RDP более ресурсоемкий на стороне сервера, чем SSL VPN.
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».