4 Июля, 2014

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от КС2)

Сергей Борисов
Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.

Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-SiteVPN можно испытать много горя.

Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.

Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типаSSH, консольного, терминального – не подходят.

Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.

Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу несколько цитат:

· “При использовании шлюза StoneGate Firewall/VPN, системы централизованного управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю осуществлять перезагрузку технических средств с установленными компонентами СКЗИ.” – из правил пользования 89625543.4012-001 90 02

· Криптошлюзы, использующие в своем составе КриптоПро ссылаются “ Требования по криптографической защите изложены в документе «Руководство администратора безопасности» КриптоПро CSP”. В свою очередь этот документ содержит “Требования по криптографической защите …. 10. Ежесуточная перезагрузка ПЭВМ.

У других СКЗИ могут быть аналогичные требования. Криптошлюзы у нас разбросаны по удаленным узлам, до которых добираться иногда приходится более суток (ну в среднем возьмем - пол дня)

В итоге не каждые 2 криптошлюза сертифицированных ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой безопасности придется содержать и в какую дополнительную стоимость обойдется эксплуатация такой системы защиты.
или введите имя

CAPTCHA
Михаил Новокрещенов
4 Июля, 2014
Насколько я помню если речь зашла о StoneGate, то у них КС2 на шлюзе достигается без замка (по крайней мере на их аппаратных платформах). Раз в правилах пользования на СКЗИ StoneGate сказано, что достаточно перезагружать раз в неделю, то требование СКЗИ КриптоПро ежедневной перезагрузки перекрываются, поскольку сертификацию проходил именно комплекс StoneGate+КриптоПро и требование выдалось на комплекс. Перезагрузка шлюзов StoneGate может осуществляться удаленно из централизованной консоли. Выходит не все так страшно.
0 |
  • Поделиться
  • Ссылка
Сергей Борисов
4 Июля, 2014
Я написал про проблему с электронными замками. Без электронных замков не всё так страшно.
0 |
  • Поделиться
  • Ссылка
Евгений Скляр
7 Июля, 2014
Сергей, а с чем связана необходимость вводить пароль администратора при перезагрузке?
0 |
  • Поделиться
  • Ссылка
Сергей Борисов
8 Июля, 2014
"При использовании СКЗИ должны выполняться следующие меры по защите информации от НСД: • Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами: • длина пароля должна быть не менее 6 символов;"
0 |
  • Поделиться
  • Ссылка
Если в шлюзе установлен замок Соболь, то там есть возможность создать пользователя AUTOLOAD (как-то так он называется), при этом перезагрузка шлюза производится без прикладывания таблетки.
0 |
  • Поделиться
  • Ссылка
7 Ноября, 2014
И смысл тогда в таком "Соболе"?
0 |
7 Ноября, 2014
Если я не ошибаюсь, у ViPNet нет такого жёсткого требования по перезагрузке. Если это на самом деле так - кто мешает использовать их? В случае с кучей удаленных криптошлюзов - также никто не мешает назначить приказом по предприятию внештатного сотрудника, ответственного за ИБ в группе/отделе/подразделении/филиале. И делегировать ему эту самую процедуру прикладывания таблетки и ввода паролей. Но в случае с удаленным филиалом, где вообще никого нет, или там только техничка Василина Евлампиевна семидесяти лет от роду, тут да - придётся кататься. Но это не везде и не всегда так. И катаются люди. Есть отделения почтовой связи, куда можно только на вертолёте добраться. И ничего - админы летают. Ответить Поделиться Спам? Пожаловать
0 |
  • Поделиться
  • Ссылка