про сертифицированные сетевые железки....
по мере необходимости защиты разного рода конфиденциальных, персональных и проч. данных, поимелся короткий опыт использования АПКШ Континент. Сразу скажу что не впечатлила железка, не хватило банальной элементарщины в виде NAT-а на интерфейсе туннелирования, оно либо NAT, либо тунель строй почему то... напрягло отсутствие поддержки ospf, даже самой базовой, и упорное не желание пропускать от интерфейса "защищенной сети", т.е. читай локалки, IP адреса других локальных сетей... :о( В результате получили двойной сандвич из сиски за Континентом, для ospf, и NAT-ящий роутер за интерфейсом "защищенной сети" перед Континентом, для того, чтоб и из смежных сети могли попадать в светлое далёко....
но реалии постоянно меняются, сюжеты всё добавляются новыми светлыми идеями из столиц, и на сцене, с помпой и представителем фирмы производителя, появляется ПАК ViPNET Coordinator. В отличии от напрочь удельной FreeBSD в Континенте, здесь используется тоже дико обрезанный но Linux. И вновь начинает всплывать... убогость :о(, отсутствует поддержка динамической маршрутизации, нет поддержки терминации VLAN, при этом всего 3 физических интерфейса :о(, ну хоть бы пошли стопами Кода Безопасности и встроили хотя бы 5, нет.... Далее собственно дико тормозное ПО управления сетью... иногда просто убивает количество и качество обновления конфигурации, эти вечно приезжающие "грузовички", в большинстве не привозящие нужного. Особого упоминания требует система фильтрации, так называемый МСЭ. Его убогость не просто шокирует, а заставляет срочно отвлекаться на журчание воды и порхающих бабочек, для восстановления самообладания. Я конечно понимаю, что чем меньше строк в коде, тем его легче и быстрее сертифицировать, но.... такие возможности, нет.... такую блин, не подберу литературного слова... вообщем это МСЭ, если ориентироваться на настоящее время и текущие продукты и решения ПО для фильтрации трафика.., оно ооооочень много не может. Нет, во первых, понятия интерфейсов, нет чувства направления фильтрации, нет маркировки, нет переменных для унифицирования правил, NAT есть, но скорей это MASQURADE, и т.д. и т.п.... просто ужасно.
....имеется также еще и софтовая версия ViPNET Coordinator'a. Она спасает многое, т.к. ставится модулем ядра на большинство современных, или почти дистров. Правда есть ограничения. Нельзя обновлять ядро системы :о), т.к. модуль компилируется в процессе установки и жёстко привязывается к хидерам текущего ядра. Соответственно, возможно использовать в таком варианте установки и динамическую маршрутизацию, и VLAN и прочие прелести, НО.... МСЭ должен быть Координатора, ибо сертифицирован. :о) но есть возможность использовать его совместно с Iptables, ессесно пытаясь дополнять правила фильтрации. Подозреваю, что это не вполне правильно с стороны и разработчика и сертифицирующего органа, что да. Я было даже хотел обратить особое внимание на эту версию поставки... но после выходных, обдумал всё, и попытавшись представить, что будет через пол-года, или дольше, когда потребуется вспомнить, вдруг что-то сильно поменять в фильтре... и потребуется быстро совместить сразу правила и МСЭ Координатора и правила в iptables.... а если это потребуется сделать сменщику... это будет не быстро.
В результате я решил не торопиться и постараться потрогать еще одного монстра :о) ССПТ-2...
и уж потом.... :-D отдать на сертификацию ASA.... шутка конечно, но если и последний меня так разочарует... то даже незнаю.
но реалии постоянно меняются, сюжеты всё добавляются новыми светлыми идеями из столиц, и на сцене, с помпой и представителем фирмы производителя, появляется ПАК ViPNET Coordinator. В отличии от напрочь удельной FreeBSD в Континенте, здесь используется тоже дико обрезанный но Linux. И вновь начинает всплывать... убогость :о(, отсутствует поддержка динамической маршрутизации, нет поддержки терминации VLAN, при этом всего 3 физических интерфейса :о(, ну хоть бы пошли стопами Кода Безопасности и встроили хотя бы 5, нет.... Далее собственно дико тормозное ПО управления сетью... иногда просто убивает количество и качество обновления конфигурации, эти вечно приезжающие "грузовички", в большинстве не привозящие нужного. Особого упоминания требует система фильтрации, так называемый МСЭ. Его убогость не просто шокирует, а заставляет срочно отвлекаться на журчание воды и порхающих бабочек, для восстановления самообладания. Я конечно понимаю, что чем меньше строк в коде, тем его легче и быстрее сертифицировать, но.... такие возможности, нет.... такую блин, не подберу литературного слова... вообщем это МСЭ, если ориентироваться на настоящее время и текущие продукты и решения ПО для фильтрации трафика.., оно ооооочень много не может. Нет, во первых, понятия интерфейсов, нет чувства направления фильтрации, нет маркировки, нет переменных для унифицирования правил, NAT есть, но скорей это MASQURADE, и т.д. и т.п.... просто ужасно.
....имеется также еще и софтовая версия ViPNET Coordinator'a. Она спасает многое, т.к. ставится модулем ядра на большинство современных, или почти дистров. Правда есть ограничения. Нельзя обновлять ядро системы :о), т.к. модуль компилируется в процессе установки и жёстко привязывается к хидерам текущего ядра. Соответственно, возможно использовать в таком варианте установки и динамическую маршрутизацию, и VLAN и прочие прелести, НО.... МСЭ должен быть Координатора, ибо сертифицирован. :о) но есть возможность использовать его совместно с Iptables, ессесно пытаясь дополнять правила фильтрации. Подозреваю, что это не вполне правильно с стороны и разработчика и сертифицирующего органа, что да. Я было даже хотел обратить особое внимание на эту версию поставки... но после выходных, обдумал всё, и попытавшись представить, что будет через пол-года, или дольше, когда потребуется вспомнить, вдруг что-то сильно поменять в фильтре... и потребуется быстро совместить сразу правила и МСЭ Координатора и правила в iptables.... а если это потребуется сделать сменщику... это будет не быстро.
В результате я решил не торопиться и постараться потрогать еще одного монстра :о) ССПТ-2...
и уж потом.... :-D отдать на сертификацию ASA.... шутка конечно, но если и последний меня так разочарует... то даже незнаю.