4 Июля, 2014

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от КС2)

Сергей Борисов
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.

Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-SiteVPN можно испытать много горя.

Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.

Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типаSSH, консольного, терминального – не подходят.

Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.

Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу несколько цитат:

· “При использовании шлюза StoneGate Firewall/VPN, системы централизованного управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю осуществлять перезагрузку технических средств с установленными компонентами СКЗИ.” – из правил пользования 89625543.4012-001 90 02

· Криптошлюзы, использующие в своем составе КриптоПро ссылаются “ Требования по криптографической защите изложены в документе «Руководство администратора безопасности» КриптоПро CSP”. В свою очередь этот документ содержит “Требования по криптографической защите …. 10. Ежесуточная перезагрузка ПЭВМ.

У других СКЗИ могут быть аналогичные требования. Криптошлюзы у нас разбросаны по удаленным узлам, до которых добираться иногда приходится более суток (ну в среднем возьмем - пол дня)

В итоге не каждые 2 криптошлюза сертифицированных ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой безопасности придется содержать и в какую дополнительную стоимость обойдется эксплуатация такой системы защиты.
comments powered by Disqus