Межсетевые экраны, ipv6, и сертификация

0

0

Прочитал на сайте http://www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/ruk...

> 2.5. Требования ко второму классу защищенности межсетевых экранов (МЭ).
> 2.5.1. Управление доступом.
> Данные требования включают аналогичные требования третьего класса (п. 2.4.1).
> Дополнительно МЭ должен обеспечивать:
> возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
> возможность трансляции сетевых адресов.

Т.е. выходит, что межсетевые экраны, поддерживающие ipv6, автоматически (так как NAT запрещен спецификацией ipv6) проваливают Российские требования ко второму классу защищенности. Весело :(

Ссылка

←	Получил в подарок пингвина =)

А кто-нить занимался таким редким извращением как??

→

И вот еще:

> 2.6. Требования к первому классу защищенности МЭ.
> ...
> 2.6.6. Администрирование: простота использования.
Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
> Должен быть предусмотрен графический интерфейс для управления МЭ.

AEP ★★★★★
(28.11.07 19:43:09 MSK) автор топика

Ответ на: комментарий от AEP 28.11.07 19:43:09 MSK

Ну мы же понимаем, что эти требования пишутся под уже готовые решения от балды. Возникнет *масштабная* необходимость в ипв6 решениях в расе^W^Wу нас - появятся и разумные требования под них заточенные. Производители готовых решений со всякими МЭ неплохо умеют продавливаться Там :)

А пока ждем и курим бамбук, в лучших традициях жанра.

as33 ★☆☆
(28.11.07 20:07:02 MSK)

Ссылка

> так как NAT запрещен спецификацией ipv6

И давно? Там же даже есть специальное пространство для локальных сетей типа 192.168.х.х!

bizanine ★
(28.11.07 20:48:12 MSK)

я тогда не понимаю кое-что...

если не NAT, то как раздать один канал интернета на несколько компов?

A2K ★
(29.11.07 00:00:17 MSK)

Ответ на: комментарий от bizanine 28.11.07 20:48:12 MSK

Специальное пространство для локальных сетей есть. NAT нет - типа приобретайте больше адресов (тем более что даже на http://go6.net/4105/freenet.asp они после регистрации раздаются бесплатно блоками по 65536 штук)

AEP ★★★★★
(29.11.07 06:31:06 MSK) автор топика

Ответ на: комментарий от A2K 29.11.07 00:00:17 MSK

NAT придумали нищебродствующие пользователи протоколов IP ранних версий для экономии мизерного адресного пространства.

А "один канал интернета" использовать при помощи маршрутизации, да да, есть такое слово! И даже сейчас некоторые не стесняются этого делать, вот затейники!

Другой вопрос, что в ип4 динамический nat (который pat) работает хорошей защитой узла за ним в случае, когда прямой доступ к нему не обязателен - узел сеть видит, а его из сети нет. В результате там, где было достаточно примитивно натящей железки за 100 баксов теперь встанут фаервольные решения потяжелее, местами сильно тяжелее. Я счастлив.

В общем таких архитектурных несовместимостей между решениями на 4 и 6 протоколах *цать. Не операторскую сеть, построеную для ип4, просто так не переведешь - проще заново собрать, а это деньги, а деньги тратятся только при потребности, а потребность возникнет когда кругом будет протокол новой версии и т.д. - порочный круг перехода на ипв6. :)

as33 ★☆☆
(29.11.07 07:32:28 MSK)