Jump to content

Recommended Posts

Добавьте, пожалуйста, возможность автоматического отката сделанных изменений (что-то типа safe mode в Mikrotik).

Случай: выключили правило и пропал веб доступ к Координатору. Как вернуть - не понятно (в соседней теме зада вопрос).

Что бы избежать подобного, можно было сделать такой режим, при котором если пропал доступ к Координатору, то все принятые изменения откатывались бы.

Как-то так.

Share this post


Link to post
Share on other sites
В 29.06.2018 в 17:52, DimmKo сказал:

при котором если пропал доступ к Координатору, то все принятые изменения откатывались бы.

А как он определит, что к нему доступ пропал )? Мне видится, что создание подобной системы для криптошлюза очень ресурсоемкая задача, если вообще реальная с учетом требований предъявляемых регулятором. Администрированием должен заниматься человек, который понимает какие правила и зачем отключает.

Share this post


Link to post
Share on other sites

Человеческий фактор еще никто не отменял.

Проверять я тоже думаю, что ничего сложного нет: если есть сессия или она возможна после применения тех или иных правил, то всё ОК.

В тех же Cisc'ах есть такая функция.

Share this post


Link to post
Share on other sites

Скорее всего ФСБ с такими "фишками" не сертифицирует продукт

Share this post


Link to post
Share on other sites
28 минут назад, DimmKo сказал:

Проверять я тоже думаю, что ничего сложного нет: если есть сессия или она возможна после применения тех или иных правил, то всё ОК. 

 Как с такой логикой можно что-то запретить вообще? Ты ему запрещаещь доступ по веб, а он обратно откатывает, так как ты по этому самому веб и сидишь. Т.е. мне в shell надо заходить, чтобы доступ отключить? И таких сценариев может быть огромное количество.

 Кстати расписание для правил есть и в координаторе, это если вам надо что-то "просто проверить" и "случайно получилось".

Share this post


Link to post
Share on other sites
40 минут назад, DimmKo сказал:

В тех же Cisc'ах есть такая функция.

На цисках архитектурно предусмотрена работа с двумя сущностями startup-config и running-config. Вы предлагаете целиком архитектуру поменять?)

Еще раз СКЗИ это не обычный роутер, задачи несколько другие, и сильного юзерфрендли тут ждать не стоит, а некоторые моменты в принципе невозможно организовать из-за требований регулятора. Если Вы хотите экспериментировать заведите себе ip-kvm.

Share this post


Link to post
Share on other sites

zero,
R.Sheyn

Спасибо  за ваши ответы. Я всё понял.

zero, да, про расписания не подумал, мой косяк.

Share this post


Link to post
Share on other sites

А вы с защищенного узла подключаетесь или с открытого?

Так выглядит правило firewall vpn если у Вас версия 4.х

image.png.3d6edf40029b1036c9f553e368f9f9df.png

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.