Вероятно кто-нибудь хорошо знаком с ViPNet...

Кратенько, что знаю:
Протокол свой собственный (поверх IP, TCP/UDP не используется). Соответственно это может не ходить через обычные NAT, маскарадинг и тем более прокси.

Сертифицировался у них на админа ViPNet в 2001-2002 (точно не помню), тогда думал, что хуже быть не может, дело в том, что ViPNet Custom настроить весьма непросто, а изменить конфигурацию - и подавно, но сейчас всё могло измениться. Это главное на что мне кажется стоит обратить внимание, а остальное - можно проверить в своей сети, скачав демку.

И еще - для госконторы в РФ выбора по-моему особо нет, только этот продукт, остальные еще меньше похожи на что то человеческое (хотя бы по универсальности).

> И еще - для госконторы в РФ выбора по-моему особо нет, только этот продукт, остальные еще меньше похожи на что то человеческое (хотя бы по универсальности).

Вот, на мой взгляд, S-Terra вполне себе.

>Вот, на мой взгляд, S-Terra вполне себе

Oxonian, может напишешь FAQ про subj? Небольшой, чтобы прочитавший смог узнать в каком направлении двигаться.

Таки о выборе речь не идет, спустят сверху.

А вроде на сайте написано, что в UDP инкапсулируется? Таки нет?

А что там за протокол между ViPNet-клиентом и ViPNet-Координатором?

А что между двумя ViPNet-Координаторами делается?

А что лучше работает линуксовый или виндовый вариант? А то не хочется глюконат всякий на линуксовый сервер ставить.

> Oxonian, может напишешь FAQ про subj?

О чем? О сертифицированных средствах криптозащиты? Я не могу, профессиональная этика не позволяет - у меня взгляд будет однобокий.

Но если кто-то напишет - с удовольствием включу.

Не знаю, на курсах тогда про это не говорили, мы изучали меню и куда тыкать мышью и стрелками на клавиатуре. Это я про протоколы и пр.

Можете посмотреть на ЗАСТАВУ (Trustworks) от Элвиса. У них есть сертифицированный ГОСТ криптоплагин, сама Застава на криптуху не сертифицирована, только в ГТК (как сейчас с этим обстоит - не уточнял). ЗАСТАВА хороша тем, что использует IPSEC и SKIP, да и настройка ее проще ViPNet, хотя как сейчас - не скажу, может ViPNet стал проще.

S-Terra имеет сертификат ФАП$И (или уже Ф$Б) и кто разработчик, не подскажешь?
Раньше не слышал про такой продукт, вроде монстры ее не продают (Kонфидент, Инормзащита, IBS ...).

> S-Terra имеет сертификат ФАП$И (или уже Ф$Б) и кто разработчик, не подскажешь?

Вроде, только ГТК. Но криптуха у них не своя, а Крипто-ПРО, что, IMHO, правильно. Посмотри сюда: http://www.s-terra.com/CSP/RU/licenses/licenses.htm ну и полазь по сайту вообще. S-Terra, как раз писана людими из ЭЛВИСА, и реализует IPSec с IKE, что так же безусловный плюс.

IMHO, SKIP уже неадекватен.

c VipNet'ом имел "отношения" :) последнюю неделю...правда с виндовым вариантом. Ну вообще все правильно говорят: по их собственной документации первоначальную структуру сети настроить можно, переконфигурация по ней уже не проходит...в результате самому пришлось раскапывать...

По поводу udp: у клиента несколько вариантов работы. Udp'шный как раз для случая, если клиент, например, за проксей находится, так что такой вариант возможен.

Протокол у них правда свой, работает либо поверх IP, либо UDP.

Координаторы ставятся на пограничных серверах, между ними организуются "защищенные каналы" VipNet'овских подсетей.

На мой взгляд, продукт не особо...по крайней мере документация, идущая в комплекте неадекватна, а это уже в принципе показатель.

> А вроде на сайте написано, что в UDP инкапсулируется? Таки нет?

Инкапсулирует.

> А что там за протокол между ViPNet-клиентом и ViPNet-Координатором?

Свой собственный.

> А что лучше работает линуксовый или виндовый вариант? А то не хочется глюконат всякий на линуксовый сервер ставить.

Оба работают нормально. :) Единственный минус Linux версии - потребуется перекомпилировать ядро со спец-патчем.

А вообще лучше обратись в поддержку. Там достаточно грамотные люди сидят, они всё расскажут и покажут.

Также обучался у них на курсах (2003г.).

Трафик инкапсулируется в udp55777 (по умолчанию, но можно порт изменить) или ip241 в зависимости от наличия/отсутствия NAT между клиентом и сервером. Проблем с NAT и proxy не встечал.

На нестабильных каналах - самое то (транспортный модуль поддерживает докачку с места обрыва соединения, правда, это относится к передаче прикладных конвертов - почтовых, ключей и т.д.). Что же касается сетевых приложений, то subj здесь ни при чем - требования выдвигают сами приложения. Из опыта: босс принимал почту в машине через мобильник (еще до GPRS) по закрытому Випнет каналу, замечаний не было, кроме пожелания все ускорить.

Имхо, существенный минус - не поддерживает работу (на настоящий момент) с ядрами 2.6.х. На 2.4.х работает, как часы. С оффтопиком проблем вообще никогда не было.

Конфигурил и переконфигурил несчетное число раз. Никаких граблей, кроме кривизны собственных рук (исправляемой), на было.

Впечатление, в целом, положительное.

>И еще - для госконторы в РФ выбора по-моему особо нет, только этот продукт, остальные еще меньше похожи на что то человеческое (хотя бы по универсальности).

Кстати, VipNet сертифицирован только как firewall, на шифрование трафика у него "мандата" нет...так что выбор данной "поделки" довольно спорен...хотя действительно по стабильности работы настроенных версий вопросов не возникает.

>Кстати, VipNet сертифицирован только как firewall,

Чушь! Есть кроме сертификата Гостехкомиссии на МЭ 3 класса еше и сертификат на АС по классу 1В. К тому же, шифрованием (по ГОСТ 28147-89) трафика занимается криптоядро Домен-К, на которое есть сертификаты ФАПСИ.

Да, еще надо отметить: накладные расходы около 60 байт на пакет, то есть, для шифрования ip-телефонии использовать весьма разорительно.

так ведь "Домен-К" не сертифицирован на гос. тайну. Под мандатом я имел ввиду именно это.

> Да, еще надо отметить: накладные расходы около 60 байт на пакет, то есть, для шифрования ip-телефонии использовать весьма разорительно.

этот, по крайней мере ToS копирует. А то некоторые поделки (не будем показывать пальцем, хотя все знают) даже этого не делают.

>На 2.4.х работает, как часы. С оффтопиком проблем вообще никогда не было.

И сколько у вас уважаемый этих зверьков?

Что то про отсутствие проблем я давно не слышал.

Под ядра 2.4.х - штук 30. Под оффтопик - на порядок больше.

От саппорта, собственно: в следующей сборке ViPNet Linux пересборка ядра уже не будет нужна, начинаем таки работать через netfilter. 2.6 начнет поддерживаться, видимо с той же версии. По вопросам лицензирования ничего не добавлю - я суппорт. От себя добавлю, что вопросы, касающиеся не стабильности работы и удобства настройки (тут мы можем быть субъективны), а сертификатов, протоколов и пр. и пр. все таки действительно лучше задавать не здесь а в поддержку и продажным менеджерам компании Infotecs =)