Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 4 След.
RSS
Защищенная информационная система
 
Как я заметил, здесь много спецов по сетевым технологиям разного класса. Помогите, пожалуйста, с одним вопросом. В чисто исследовательских целях надо создать защищенную сеть. Примерное описание: около 10 амтоматизированных рабочих мест в одном городе и столько же в другом, на пользовательских машинах ОС Xp SP2,локальная сеть по Ethernet 100Mb,для коммутации пакетов использовать switch, в одном из городов должен быть файл-сервер+web, связь между городами через VPN. Для меня смутен вопрос, как организовать(какое ПО) маршрутизацию между двумя городами(надо чтобы была как одна локальная сеть), по структуре маршрутизаторы и сетевые экраны выделить как отдельные машины или все запихнуть в один сервер???
Еще все это желательно подогнать под ГОСТ стандарт по классификации безопасности. И надо определиться какие ОС использовать на маршрутизаторах и сервере!?
Это дело необходимо для исследовательской работы, буду благодарен за любую информацию:)
 
-внутреннюю сеть экранируешь пакетным фильтром( доп защита от него все данные направляешь на прокси сервер ) затем создаешь DMZ туда помещаешь веб сервер на нем сносишь все лишнее и защиту обеспечиваешь также правильной настройкой защиты на уровне ОС то есть создаешь укрепленный хост и прокси(который принимает данные от внутренней сети) на конце DMZ ставишь VPN маршрутизатор ( который пропускает входной и выходной трафик только из DMZ внутренню сеть блокирует правила сам настраиваешь! ) то есть мы создали двух уровневую защиту

-на другой сети также можешь воспользоваться этой же моделью то есть тоже можешь создать экранированную подсеть и также устанаваешь VPN маршрутизатор, который также обеспечивает доп защиту

это только один из самых простейших и стандартных приемов
главное при проектировании сети не надо мудрить и использовть всякие "хитрые" приемы
основной задачей является обеспечить грамотную защиту которая удовлетворяла бы лично вашим целям а не всему сразу
так как абсолютно любая защита является относительно устойчивой
 
А можно по-конкретнее на ПО остановиться? я это примерно представляю. Можно обойтись одной машиной Win Server 2003? Можно обойтись без аппаранных маршрутизаторов?(желательно остановиться на конкретных производителях)
Еще такой момент, что должно подбивать под стандарт защищенности РОСГОСТЕХ комисии, где-то под 2Б!?
 
-начнем с того что брандмауэр это не отдельная машина или ПО это система а как ее релизовать ( архитектура стратегии это уже под свои конкретные нужды) здесь вариантов море

-для проектирования брандмауэра можешь использовать  FWTK
она бесплатно распространяется fwtk.org и в данный момент только под nix
-в качестве пак фильтра используй TCP Wrappers если под nix
-под винду используй Kerio Winroute в качестве маршрутизатора и как пакетный фильтр и как прокси( с НАТом ) или
-Microsoft Internet Security and Acceleration Server 2004 в DMZ
-wingate как прокси в DMZ


это все стандартные решения
 
А нельзя это все сделать на стандартных сервисах Win Server 2003? там же огромный выбор!
Для VPN какой лучше софт брать? Есть русские, типа Застава Джет? но в винде тоже же есть!?
 
Уважаемый! Вы звдаёте вопросы, за которые компании, занимающиеся консалтингом в области информационной безопасностью берут деньги! И деньги немалые. Я, конечно, понимаю, что выдаивая по крохам - можно многое узнать. Но если уж Вас это заинтересовало, то начинайте свои изыски не выуживанием информации по крохам, а поиском по специализированным сайтам (на одном из которых Вы находитесь), чтением специальной литературы, посвящённой этой тематике. Поверьте мне - это будет намного более продуктивно. По поводу "Заставы" от Jet - могу сказать, что впечатления от этого монстра самые негативные. Сам с ним лично не работал, но ребята, которые начинали внедрять эту систему (не успели - в силу различных объективных обстоятельств) - плевались, матерились и нервно глотали пиво. Кроме того - отношение Джет Инфосистемс к "сертифицированному" (якобы) железу, которое обязательно поставляется с этим софтом - вызывает искреннее недоумение и негодование. Когда ОБЫЧНУЮ персоналку (проверяли внутренности) впаривают по двойной (!) цене. Самое занятное, что посмотрев на сетевушку - мы обнаружили, что она к тому же была ещё и со следами ржавчины! Нормальный подход, не правда ли?
 
ViPNet.
 
если нужно по госту то iso 17799 смотри
забудь про дешевизну все лицензионное + грамотный админ иначе безопасноти не выйдет.

а так желательно 2 сервера *nix для фаеров (это дешевле)
1 file и web тоже наверное *nix как вариант смотри MCBC 3.0 Утес-К и тп
но нужна ли тебе безопасность такого уровня ?
 
Какова связь между Российским ГОСТом и международным стандартом не принятов в России  

С каких это пор сервера под никсы дешевле, а сертификация ГосТехКоммисией

забудь про дешевизну все лицензионное + грамотный админ иначе безопасноти не выйдет.  А вот с этим точно согласен :-)

genarover  Если хочешь давай нормально поговорим пиши в ПМ.
 
Цитата
qwestor пишет:
Какова связь между Российским ГОСТом и международным стандартом не принятов в России  

С каких это пор сервера под никсы дешевле, а сертификация ГосТехКоммисией

забудь про дешевизну все лицензионное + грамотный админ иначе безопасноти не выйдет.  А вот с этим точно согласен :-)

genarover  Если хочешь давай нормально поговорим пиши в ПМ.
с ценой да наверное лоханулся, хотя с чем сравнивать.

а ису надеюсь все  таки примут и нас наконец то, иначе подскажи чем руководствоваться ? ГОСТом текущим?
 
Если все по гостам, то не по гостам, а по РД ФСТЭКа
www.fstec.ru
Там есть эти самые Руководящие Документы на основании которых строятся  защищенные системы, а также перечень сертифицированных средств защиты.
Зачем "Застава"? Есть куча других сертифицированных МЭ, в перечне они есть.
 
Цитата
nmkr пишет:
а так желательно 2 сервера *nix для фаеров (это дешевле)
1 file и web тоже наверное *nix как вариант смотри MCBC 3.0 Утес-К и тп
но нужна ли тебе безопасность такого уровня ?
Если заняться нечем, то МЭ на linux наш выбор.
Сертификаты выданы для них как на системы обработки информации.
Если делать все по требованиям, то про дешевле забудьте.
 
Цитата
kutkh пишет:
Если заняться нечем, то МЭ на linux наш выбор.

поясни ? как знаю из РЕАЛЬНОГО ОПЫТА таже МинОбРФ сидит на linux фаерах (не говорю что все но много)

настройка не так уж  и сложна
 
Министерство обороны может сидеть под Dos, NT 4  и под остальными "дровами", что оно успешно и делает.
Под МСВС они сидят потому, что его сертифицировали в МО как МЭ. А сертификаты ФСТЭК там не действуют.

МСВС имеет сертификат № 802 "Встроенные средства защиты информации от несанкционированного доступа операционной системы ОС МСВС 3.0 ФЛИР.80001-04 по 3 классу СВТ и 2 уровню НДВ" - что возможно его использовать для защиты АС. Здесь нет ни слова о том, что его как-то можно использовать по другому.

Для МЭ нужен свой сертификат вот как этот № 806: "Программный комплекс межсетевой экран «Z-2», серия В на соответствие заданию по безопасности ДЖЕТ.Z-2.B.ЗБ и имеет оценочный уровень доверия ОУД 4 (усиленный) в соответствии с руководящим документом Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»".
 
Цитата
kutkh пишет:
Министерство обороны может сидеть под Dos, NT 4  и под остальными "дровами", что оно успешно и делает.
Под МСВС они сидят потому, что его сертифицировали в МО как МЭ. А сертификаты ФСТЭК там не действуют.

МСВС имеет сертификат № 802 "Встроенные средства защиты информации от несанкционированного доступа операционной системы ОС МСВС 3.0 ФЛИР.80001-04 по 3 классу СВТ и 2 уровню НДВ" - что возможно его использовать для защиты АС. Здесь нет ни слова о том, что его как-то можно использовать по другому.

Для МЭ нужен свой сертификат вот как этот № 806: "Программный комплекс межсетевой экран «Z-2», серия В на соответствие заданию по безопасности ДЖЕТ.Z-2.B.ЗБ и имеет оценочный уровень доверия ОУД 4 (усиленный) в соответствии с руководящим документом Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»".


не увидел отчета чем плох linux для фаервола

да железка во многих местах лучше, но при той численности юзверей что была сказана выше она слишком дорога
 
Linux это конечно хорошо!!! Но скажите тогда зачем купили исходники сервера 2003, и перебирают, и по-моему уже сертифицировали? И вовсех гос. да и не гос. организациях предпочитают сертифиц. средства, а некоторые даже сертифицируют по 2 экземпляра чисто для себя- это все с того списка с сайта гостехком и с рук. документов!
 
Цитата
genarover пишет:
Linux это конечно хорошо!!! Но скажите тогда зачем купили исходники сервера 2003, и перебирают, и по-моему уже сертифицировали?
это Ваши домыслы или же Вам есть чем подтвердить свои слова?
 
Это не домыслы! Это проверенная инфа! ручаюсь!
 
Цитата
genarover пишет:
Но скажите тогда зачем купили исходники сервера 2003, и перебирают, и по-моему уже сертифицировали? И вовсех гос. да и не гос. организациях предпочитают сертифиц. средства, а некоторые даже сертифицируют по 2 экземпляра чисто для себя- это все с того списка с сайта гостехком и с рук. документов!
Никто ничего не покупал. MS подала заявку на сертификацию своей продукции по Общим критериям.
В дополнение посмотрите
<a href=http://www.microsoft.com/Rus/News/Issues/2005/05/MicrosoftFederal.mspx rel="nofollow" target="_blank">здесь</a>.
Таже самая контора торгует сертифицированными Win XP.
По поводу исходных кодов: для получения сертификата по ОУД 1(усиленный) изучение исходных кодов не требуется.
 
Какая связь между  Microsoft SQL Server и Windows Server 2003, чем Вы можите опровергнуть инфу о получении бывшим подразделениям ФАПСИ исходных кодов?
Страницы: 1 2 3 4 След.
Читают тему