Есть два замечательных производителя СЗИ: CiscoSystemsпредлагает комплекс решений для создания защищенной сети без границ, но не имеет Российской криптографии; С-терра СиЭсПи – предлагает широкую линейки средств построения VPNвключающих Российскую криптографию, но не производит других средств защиты. В маркетинговых материалах этих двух производителей говорится о тесной интеграции друг с другом.
Так получилось, что в одном проекте по защите ПДе планировалось использование и интеграция решений этих двух производителей.
Один из вопросов, который необходимо было решить при проектировании – определить, как будут управляться сетевые средства защиты информации.
Приоритетным вариантом являлось использование централизованной системы управления. Причин использовать именно его несколько:
· Визуализации всех сетевых средств защиты на графической консоли
· Гибкая ролевая модель управления
· Иерархия и наследование политик (глобальные, общие и локальные политики/объекты)
· Централизованное управление событиями сетевой безопасности (сбор, просмотр и более быстрое реагирование)
· Централизованное управление состоянием сетевых средства защиты (общее состояние, загрузка процессора, памяти, интерфейсов и т.п.)
· Централизованное управление версиями сетевых средств защиты (резервное копирование, обновление)
· Централизованная отчетность о работе сетевых средств защиты
Для комплекса решений CiscoSystemsпредлагается система управления CiscoSecurityManager. Для управления решений С-терра СиЭсПи одним из основных вариантов предлагается так-же использоваться CiscoSecurityManager. Это подтверждается в маркетинговой информации двух производителей:
· С-Терра СиЭсПи. Обзор продуктовой линейки 2012
Отлично. Начинаем проектировать и интегрировать криптошлюзы С-терра СиЭсПи с CiscoSecurityManager (CSM). При детальном изучении документации и тестировании получаем следующее:
1) Базовые настройки (IP-адресация, импортирование сертификата, настройка NTP) обязательно выполняются вручную, через SSH. Применение на данном этапе CSMневозможно.
2) Построение Site-to-site IPSec VPN в конфигурации Hub-and-Spoke с резервированием шлюза как в нашей ситуации, официально не поддерживается:
“В топологии Hub and Spoke VPN не поддерживается вариант конфигурации с резервированием шлюза”
3) Построение Remote Access VPN, не предоставляется возможным, поскольку:
“Рекомендуется не использовать сценарии, в которых настройка CSP VPN Gate выполняется как через CSM, так и вручную. Если потребность в таком сценарии существует, то надо стараться задавать вручную только те команды, которые CSM не использует в процессе настраивания CSP VPN Gate.
Следует учитывать, что при отгрузке конфигурации, CSM может изменить или удалить некоторые из команд, которые существовали в изначально импортированной конфигурации, например ip local pool или crypto isakmp policy. Для примера, рассмотрим, почему создание политики безопасности шлюза через CSM для работы с мобильными клиентами невозможно. Порядок действий, который приводит к данному ограничению, следующий:
шлюз добавлен в CSM для работы по одной из топологий при помощи CSM проведена централизованная настройка шлюзов по одной из топологий – FullMesh, Hub and Spoke, Point to Point затем, например, по SSH отредактировать конфигурацию одного из шлюзов для работы с мобильными клиентами – создать пул адресов, привязать к криптокарте, создать identity и др. после загрузки на шлюз созданной конфигурации через CSM, работа с мобильными клиентами будет невозможна в созданной топологии.
Причина состоит в том, что все пулы адресов, не привязанные к команде crypto isakmp client configuration address-pool local, CSM удаляет”.
4) Поскольку CSMимеет ряд ограничений по работе с конфигурацией С-терра (затирание части конфига после загрузки), что может поставить под угрозу работу криптошлюзов из-за затирания команд:
“3. Возможны некоторые проблемы с восстановлением конфигурации. В некоторых случаях изменение или удаление существующих команд может быть безвозвратным: даже если в CSM удалить изменения, внесенные в конфигурацию, например, удалить VPN Topology, первоначальная конфигурация (которая была до Deploy) может не восстановиться в полном объеме. Более того, возможны ситуации, когда какие-то элементы конфигурации могут быть испорчены именно при отмене изменений, сделанных в CSM. Например:
в первоначальной конфигурации была настройка crypto isakmp identity dn
в CSM, в VPN Global Setings выставлена настройка Identity – Distinguished Name
в прогружаемой из CSM конфигурации команда crypto isakmp identity отсутствует
если потом удалить VPN Topology и снова прогрузить конфигурацию, то будет прописана команда crypto isakmp identity address (значение по умолчанию), что отличается от того, что было в первоначальной конфигурации.
CSP VPN Gate не поддерживает функциональность Rollback, позволяющую вернуться к конфигурациям, которые были загружены в устройство ранее”
5) Нет возможности копировать и обновлять образы средств защиты
6) Нет возможности детального мониторинга состояния средств защиты
От производителя получен комментарий, что CSMможет использоваться для создания простых политик site-to-site, hub-and-spoke и быстрого разворачивания однотипных конфигураций. То есть делается базовая преднастройка, далее одна политика распространяется на все устройства с помощью CSM, далее идет только конфигурация устройств через SSHа CSMбольше не используется.
Данный вариант использования CiscoSecurityManagerс моей точки зрения не соответствует приведенным в начале статьи целям (для которых он будет использоваться при управлении решениями CiscoSystems) и для управления устройствами С-терра её использовать не стоит.
В определенной степени исправить ситуацию может недавно вышедшая система централизованного управления С-Терра КП. Посмотрим какие функции в сравнении с CSM выполняются:
· Визуализация - нет
· Гибкая ролевая модель управления - нет
· Иерархия и наследование политик - частично, есть визарды для настройки политик и шаблоны политик
· Централизованное управление событиями сетевой безопасности (сбор, просмотр и более быстрое реагирование) - да
· Централизованное управление состоянием сетевых средства защиты (общее состояние, загрузка процессора, памяти, интерфейсов и т.п.) – частично, только общее состояние
· Централизованное управление версиями сетевых средств защиты (резервное копирование, обновление) – частично, обновление сертификатов, ключей
· Централизованная отчетность о работе сетевых средств защиты - нет
Как видим что и тут до поставленных целей ещё далеко.
Коллеги, буду признателен если вы поделитесь, как управляете большим количеством С-терра и удалось ли подружить с CSM?
PS: Если не рассматривать вопросы интеграции, то тут у меня существенных проблем с приведенными выше производителями не возникало поэтому – никаких претензий. Проблемы только с интеграцией.
