LINUX.ORG.RU

IPSec


0

0

У меня вопрос не касается непосредственно безопасности, но относится к щекотливой теме взаимоотношений нашего государства и систем построения VPN сетей(!!!). Фабула такая: в одной конторе необходимо было соеденить два удаленных друг от друга здания. Как обычно решается эта проблема? Строится туннель с помощью IPSec-а (ну или L2TP) и проблема решена. Но решена она физически. А вот административные вопросы, как оказалось, остаются. Дело в том, что в этой конторе безопасником оказался свежевышедший на пенсию товарищ в погонах и наехал на нас так: "Какого хера вы используете закрытые буржуазные протоколы для обеспечения секретности. Они же не сертифицированы в России!!!" Честно сказать даже не нашлись, что ответить (первый раз в практике), да и спорить с такими гражданами, сами понимаете, бесполезно. Взяли тайм аут "на подумать", а вот что ответить вразумительное по поводу сертификации на применение конкретных протоколов для общего пользования - пока не придумали. Кто-нибуь сталкивался с необходимостью подтверждения легитимности использования протоколов IPSec/L2TP в наших госконторах и какие мантры надо в этом случае читать?


на счет госконтор не знаю... а так это все не зависит откого-то... пусть покажут закон по которому все не должны использовать протокол ipsec. ЧТо не запрещено - то разрешено. Вот если будет бумажка, что ipsec использовать нельзя, тогда переключимся... а так пусть идут нах. Ну это не для гос.контор...

delilen ★☆
()

1. звоните интегратору и говорите: нам нужно сделать сетифицированное в России решение 2. вам выкатывают на это дело счет (сколько будет стоить само решение, сколько документация, поддержка, обучение) 3. счет уходит директору 4. profit

borisych ★★★★★
()

В некоторых госконторах используют вот такое http://www.factor-ts.ru/dionis/server/ Останется только включить в счет, развернуть и настроить :)

По поводу легитимности: ТЗ есть? Такие вещи обычно заранее оговаривают.

f00fc7c8
()
Ответ на: комментарий от MiracleMan

Что-то гложет смутное сомнение, что "товарищ нам не товарищ" :) Ему ГОСТы нужны, ибо у товарища есть более другие "товарищи", которые потом строго спросят.

Slavaz ★★★★★
()

Я не понимаю такого - "взяли таймаут, чтобы подумать". Хренли вы думать должны ? Как считали нужным - так и сделали. Ему не нравится - пусть даёт четкое ТЗ. Так докиваетесь, он и у вас армию сделает.

меня красавчики эти политруки сранные из себя выводят. У них жизненное кредо - "Я не знаю как это должно быть, но вы делаете неправильно"

ovax ★★★
()
Ответ на: комментарий от borisych

> 1. звоните интегратору и говорите: нам нужно сделать сетифицированное в России решение
> 2. вам выкатывают на это дело счет (сколько будет стоить само решение, сколько документация, поддержка, обучение)

> 3. счет уходит директору

> 4. profit


s/profit/infarct/

:)

Lumi ★★★★★
()
Ответ на: комментарий от ovax

От этих граждан всегда ждешь подвоха :-( Но на этот раз нам повезло - руководство компании осадило своих безопасников, что, согласитесь, случается не очень часто. Видимо поняли, что у них за кадры работают :)

garlic
() автор топика

На сколько я помню. Пока вы шифруетесь внутри себя. Свои собственные сети документы и.т.д., можете шифровать чем угодно и как угодно (ваши проблемы), как вы внутри фирмы сами с собой договоритесь. Но как только вы захотели обмениваться зашифрованной информацией на официальном уровне (например с другой организацией), то должны соблюсти госты и регламенты России (зарегить ключи итд итп).
Так что договаривайтесь с вашим безопасником за бутылкой водки, или он вам находит регламентирующие документы.

Aleks_IZA
()
Ответ на: комментарий от Aleks_IZA

PS: Приписка
>Пока вы шифруетесь внутри себя.

Эта строка не касается документов государственного уровня (конфиденциальная информация, секретная и.т.д.). Способы работы с такими документами должен предоставить ваш безопасник (отдел 1).

Aleks_IZA
()

Если по каналам будут ходить персональные данные, то необходимо использовать сертифицированные ФСБ средства (не алгоритмы-протоколы), в обратном случае можно класть со всей амуницией и руководствоваться собственными представлениями о технике и безопасности - см. закон "О персональных данных" и etc.

А вообще тараканы клиента всегда правы и неприкосновенны, но отлично дрессируются инкрементом стоимости договора. Только это не инженерам решать, да.

as33 ★☆☆
()
Ответ на: комментарий от as33

Конечно если пассажирам очень надо что-бы было "ГОСТ" и все, то можно и затупить гонять openvpn+openssl+gost89 или gre поверх ssl-туннеля c gost89.

as33 ★☆☆
()
Ответ на: комментарий от anonymous

это просто коробка от vpn-aip
там из нововведений только сертификаты по:

Соответствие российским требованиям по электробезопасности
* ГОСТ Р МЭК 60950-2002 (сертификат № POCC US.ME61.B03697)

Соответствие российским требованиям к допустимому уровню шума
* ГОСТ 26329-84 (сертификат № POCC US.ME61.B03697)

Соответствие российским требованиям к электромагнитной совместимости
* ГОСТ Р 51318.22-99 (сертификат № POCC US.ME61.B03697)
* ГОСТ Р 51318.24-99 (сертификат № POCC US.ME61.B03697)
* ГОСТ Р 51317.3.2-99 (сертификат № POCC US.ME61.B03697)
* ГОСТ Р 51317.3.3-99 (сертификат № POCC US.ME61.B03697)

а крипто начинка таже самая, набор протоколов ipsec он и в африке тот-же:
IPSec Encapsulating Security Payload (ESP) и/или IPSec Authentication Header (AH) при использовании ГОСТ 28147-89 (256 бит), DES/3DES (56/168 бит) или AES (128/192/256 бит) с ГОСТ Р 34.11-94, MD5 или SHA

а автару я советую послать безопасника изучать ГОСТЫ, а потом дать спеку или data sheet на маршрутизатор.

chocholl ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.