Инквизитор Опубликовано 20 Сентября 2006 Автор Жалоба Поделиться Опубликовано 20 Сентября 2006 ИнквизиторЛогично.Но я не понимаю, почему это Вас так беспокоит. Ну узнает он пароль ГА. Чего в этом страшного то? Так же он узнает пароли всех абонентов защищенной сети.Так же он может прибить основной мастер-ключ и уничтожить VPN .Поэтому и говорится, что пароль от УКЦ надо надежно хранить. Лучше всего в голове.Это все верно))) просто я рассматриваю теоретическую возможность ))) а зная пароль ГА Ущерб катострофический Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 20 Сентября 2006 Жалоба Поделиться Опубликовано 20 Сентября 2006 ИнквизиторВывод неверный.Вот если пароль УКЦ попадет "не в те руки" тогда ушерб катастрофический. Но, согласитесь, это оргвопрос, а не доработка и никак не дыра в ПО. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 20 Сентября 2006 Автор Жалоба Поделиться Опубликовано 20 Сентября 2006 ИнквизиторВывод неверный.Вот если пароль УКЦ попадет "не в те руки" тогда ушерб катастрофический. Но, согласитесь, это оргвопрос, а не доработка и никак не дыра в ПО.Ладно спор пустой, Ты настаиваеш на том что все правильно, хотя возможно ты и согласен с тем что было бы лучше спрятать пароли, но у тя работа такая доказывать правильность политики компании ))) Заклеивай наверно тему, глупо спорить с тем кто вынужден следовать букве ИНСТРУКЦИИ Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 20 Сентября 2006 Жалоба Поделиться Опубликовано 20 Сентября 2006 ИнквизиторЯ с Вами не спорю, а обьясняю как это работает согласно общей технологии ViPNet. Хотя на протяжении двух страниц этого поста я так и не понял, в чем заключается опасность, о которой Вы говорите. Я думаю, Вам необходимо попутно ознакомиться с РД вышестоящих органов для закрытия Вашего вопроса поскольку наше ПО им соответствует (согласно классификации). И политика компании тут абсолютно ни при чем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 27 Сентября 2006 Автор Жалоба Поделиться Опубликовано 27 Сентября 2006 Гы Вчера подняли вопрос про отпуска )))Я как админ ухожу в отпуск и передаю на это время пароль от УКЦ другому человеку )) Он соответственно могет посмотреть мой пароль )))Как такая формулировка? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 27 Сентября 2006 Жалоба Поделиться Опубликовано 27 Сентября 2006 Я вот тоже не пойму... Вы же передаёте пароль УКЦ не "дяде с улицы"? Или дяде? Он соответственно могет посмотреть мой парольИ что? Если он - такой же сотрудник подразделения информационной безопасности, как и Вы - что в этом "криминального" и "дырявого"?Я сам админ довольно крупной региональной сети. И не первый год. И в отпуск хожу. Но так до сих пор и не врубил, извините, в чём проблема, собственно... :roll: Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 27 Сентября 2006 Автор Жалоба Поделиться Опубликовано 27 Сентября 2006 Я вот тоже не пойму... Вы же передаёте пароль УКЦ не "дяде с улицы"? Или дяде? Он соответственно могет посмотреть мой парольИ что? Если он - такой же сотрудник подразделения информационной безопасности, как и Вы - что в этом "криминального" и "дырявого"?Я сам админ довольно крупной региональной сети. И не первый год. И в отпуск хожу. Но так до сих пор и не врубил, извините, в чём проблема, собственно... :roll:да проблемма собственно в том. что человек который временно меня замещает получает мои пароли. это меня мягко говоря смущает немного Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 27 Сентября 2006 Жалоба Поделиться Опубликовано 27 Сентября 2006 Ну... на это я могу сказать только одно - если вы, в своём подразделении не доверяете друг другу, то это вопрос не технический 100%...По-любому невозможно сосредоточить знание ключевых паролей (да и вообще информации, критичной с точки зрения информационной безопасности) в одной, отдельно взятой, голове.Люди ходят в отпуска, болеют, умирают в конце концов (тьфу-тьфу-тьфу) и т.п. ...Если Вы лично так озабочены тем, чтобы ключевые пароли знали только-и-только-Вы (или хотите создать "комплекс Вашей незаменимости" у своего командира - бывает и такое...), боюсь Вам придётся забыть об отпусках, недомоганиях, а в утрированном варианте - о выходных и сне .В общем (IMHO конечно) поднятая Вами тема имеет очень отдалённое отношение к техническим вопросам... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 27 Сентября 2006 Жалоба Поделиться Опубликовано 27 Сентября 2006 ИнквизиторВсе Ваши проблемы легко решаются написанием соответствующих должностных инструкций по Вашему отделу. И к "дырявости" ПО это не имеет НИКАКОГО отношения. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 27 Сентября 2006 Жалоба Поделиться Опубликовано 27 Сентября 2006 Вот-вот. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Сергей Якунин Опубликовано 23 Ноября 2006 Жалоба Поделиться Опубликовано 23 Ноября 2006 ИнквизиторВсе Ваши проблемы легко решаются написанием соответствующих должностных инструкций по Вашему отделу. И к "дырявости" ПО это не имеет НИКАКОГО отношения.Неправда. Я опишу простую ситуацию - один пароль на вход в УКЦ, два ГА. Как можно гарантировать, что один ГА не подпишет очередной сертификат подписью другого ГА? При этом ему даже "заметать следы" не надо будет. Журналов то тю-тю. Это какую-же пропускную систему делать надо будет? Вход по электронным ключам, с автоматической записью времени входа/выхода и недоступности этой системы от ... администраторов безопасности.Более того, в грамотных системах администратор может выработать пароль для пользователя но он не показывается НИГДЕ и при при смене этого пароля пользователем (штатная и иногда обязательная функция) пароль становится известным только последнему. Не надо путать безопасность и доверие. В безопасности доверие кого-то кому-то скрепляется печатями, подписями и т.д. Но, если можно избежать проблемы доверия/недоверия это ДОЛЖНО БЫТЬ СДЕЛАНО с помошью технически и программных средств.Про разграничение прав вообще разговор получается странный - вспомните какое количество отдельных (а значит несущих ПЕРСОНАЛЬНУЮ ОТВЕТСТВЕННОСТЬ) администраторов рекомендуется иметь для УКЦ+ЦУС? 3 пользователя. И 2 пользователя и 4-ех будут иметь слишком много прав и в случае чего доказывать, что "это я не делал" (в том числе и в суде). Зачем этим людям такая головная боль?То-же самое, кстати, в комплексе VipNET можно сказать и про ключи подписи, которые ни в одной инструкции не должны меняться сразу после выдачи в УКЦ, а очень зря.Хотя, называя все своими именами - это не дыра, это недостаточная проработка безопасности комплекса. Насколько я знаю (по информации полученной на курсах) в УКЦ версии 3 не будет ГА, (надеюсь не останется лишь один пароль на вход для "суперпользователя"). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 23 Ноября 2006 Автор Жалоба Поделиться Опубликовано 23 Ноября 2006 ИнквизиторНеправда. Я опишу простую ситуацию - один пароль на вход в УКЦ' date=' два ГА. Как можно гарантировать, что один ГА не подпишет очередной сертификат подписью другого ГА? При этом ему даже "заметать следы" не надо будет. Журналов то тю-тю. Это какую-же пропускную систему делать надо будет? Вход по электронным ключам, с автоматической записью времени входа/выхода и недоступности этой системы от ... администраторов безопасности.[/quote'] Молодца, Одобрямс Красиво сформулировал :)ИнквизиторБолее того' date=' в грамотных системах администратор может выработать пароль для пользователя но он не показывается НИГДЕ и при при смене этого пароля пользователем (штатная и иногда обязательная функция) пароль становится известным только последнему. [/quote'] Дело в том, что для клиентов так оно и есть (за исключением того, что пароль который в УКЦ сгенерил его видно), А ВОТ С ГА тут целая комедия, его пароль можно поменять только в УКЦ и отображается в связи с этим его ТЕКУЩИЙ ПАРОЛЬ!!! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Сергей Якунин Опубликовано 24 Ноября 2006 Жалоба Поделиться Опубликовано 24 Ноября 2006 Дело в том, что для клиентов так оно и есть (за исключением того, что пароль который в УКЦ сгенерил его видно), А ВОТ С ГА тут целая комедия, его пароль можно поменять только в УКЦ и отображается в связи с этим его ТЕКУЩИЙ ПАРОЛЬ!!!Да, в общем, но лучше иметь в данном случае иметь не возможность поменять пароль, а необходимость это сделать. В этом разница подходов. Я за разумный "геноцид" :-). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 24 Ноября 2006 Автор Жалоба Поделиться Опубликовано 24 Ноября 2006 Да' date=' в общем, но лучше иметь в данном случае иметь не возможность поменять пароль, а необходимость это сделать. В этом разница подходов. Я за разумный "геноцид" :-).[/quote'] Вполне возможно, только надо учесть еще и то что половина пользователей поменяв пароль его забудут и что с ними делать тогда? Новый сертификат и новые ключи делать? :? на мой взгляд не лучший вариант 8) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Сергей Якунин Опубликовано 24 Ноября 2006 Жалоба Поделиться Опубликовано 24 Ноября 2006 Это зависит от требований к уровню безопасности. Если подписями подписываются многомиллионные документы, то это разумная жертва во благо слежения рисков. Конечно, нужно еще заставить пользователей пароли ЗАПОМИНАТЬ, а не записывать. Но это в приказно-контрольно-карательном виде (Запрещено! При обнаружении - наказание) . Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 24 Ноября 2006 Автор Жалоба Поделиться Опубликовано 24 Ноября 2006 Это зависит от требований к уровню безопасности. Если подписями подписываются многомиллионные документы, то это разумная жертва во благо слежения рисков. Конечно, нужно еще заставить пользователей пароли ЗАПОМИНАТЬ, а не записывать. Но это в приказно-контрольно-карательном виде (Запрещено! При обнаружении - наказание) .Это конечно верно, но тогда эти документы должны подписывать грамотные и технически подкованные (хоть немного) люди я только вчера подключал нового клиента и на мою фразу "запомни пароль" она схватила блокнотик со своего стола воть тякь Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 24 Ноября 2006 Жалоба Поделиться Опубликовано 24 Ноября 2006 ИнквизиторА зачем пароль запоминать? Есго можно записать на внешнее устройство типа e-Token или смарт-карту.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 24 Ноября 2006 Автор Жалоба Поделиться Опубликовано 24 Ноября 2006 ИнквизиторА зачем пароль запоминать? Есго можно записать на внешнее устройство типа e-Token или смарт-карту....Гы Я бы так и сделал ))) тока денег нужно тьма на это, а мое начальство нехочет их тратить )) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 24 Ноября 2006 Жалоба Поделиться Опубликовано 24 Ноября 2006 ИнквизиторНу извиняйте...Функционал есть, а его использовать его или нет, это уж Вам решать.Нет денег на токены - воспитывайте пресонал не записывать пароли на салфетках. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 24 Ноября 2006 Автор Жалоба Поделиться Опубликовано 24 Ноября 2006 ИнквизиторНу извиняйте...Функционал есть, а его использовать его или нет, это уж Вам решать.Нет денег на токены - воспитывайте пресонал не записывать пароли на салфетках.Одобрямс верной дорогой идем вот тока гиде интересно админы форума гуляли, или просто предпочитают грамотно отмалчиваться? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 24 Ноября 2006 Жалоба Поделиться Опубликовано 24 Ноября 2006 ИнквизиторВ смысле :shock: Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Инквизитор Опубликовано 27 Ноября 2006 Автор Жалоба Поделиться Опубликовано 27 Ноября 2006 ИнквизиторВ смысле :shock:Я собственно вот про это сообщение Добавлено: Чт Ноя 23, 2006 1:41 pm Заголовок сообщения: от Сергей Якунин Да и дело не в грамотных инструкциях а в том что пароль ГА надо прятать иначе получается что он хуже остальных пользователей, меняй не меняй пароль а он доступен Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
datn Опубликовано 21 Марта 2007 Жалоба Поделиться Опубликовано 21 Марта 2007 Я согласен, что начальное изложение вопроса было слишком запутано :shock: , но поддерживаю автора темы в том, что проблема есть.В УКЦ заходит один из Главных абонентов - это, кажется, нет смысла обсуждать - иначе зачем УКЦ тогда нужен (скажем так - наверняка, у подавляющего большинства организаций все ГА являются администраторами сети ). Однако, если зайдя в УКЦ можно посмотреть пароли всех ГА, тогда зачем им делать разные пароли ?!! О персональной ответственности каждого из Главных абонентов можно почти забыть (если не считать видеозаписи охраны, запрет появляться в УКЦ вдвоем и т.д. ). Получается, что сертификат выпускает не конкретный администратор, а лишь все подразделение безопасности, вместе взятое. 8) Но в законе об ЭЦП написано (п.4 ст.6, п.3 ст.9), что сертификат заверяет своей подписью уполномоченное лицо удостоверяющего центра (которое и несет ответственность за выпуск сертификата). И это логично.Таким образом, напрашивается вывод: УКЦ в его теперешнем виде ( версии 2.8 ) расчитан на использование только в варианте - один ГА. Несколько ГА - это хорошо, но возможности ПО не дотягивают до соответствия закону об ЭЦП. :oops:Одтельно хочу сказать - пароли ГА нужно не только не показывать, но и не хранить (т.к. если кому-то из ГА сильно понадобиться, то зная пароль УКЦ технически можно отковырять и все, что с его помощью шифруется или ограничивается в правах - в т.ч. и чужие ГА-пароли. :!: (извините, что длинно получилось). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 21 Марта 2007 Жалоба Поделиться Опубликовано 21 Марта 2007 datnПросьба указать, в чем имеено возможности ПО не дотягивают до соответсвия закону об ЭЦП. Приведите соответствующие факты.Как обычно написано много, но вот конкретики - нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
datn Опубликовано 21 Марта 2007 Жалоба Поделиться Опубликовано 21 Марта 2007 Возможности ПО ViPNet Custom 2.8 по поддержанию нескольких действующих Главных абонентов, на мой взгляд, не позволяют гарантировать использование каждым из ГА только своего сертификата (точнее своего закрытого ключа к сертификату). Т.е. уполномоченное лицо удостоверяющего центра не может гарантировать, что сертификат удостоверило именно оно (он :shock: или она :roll: ) - т.к. пароль к ключу известен другим лицам (речь об остальных ГА), и им же доступен закрытый ключ подписи.Если же ГА один - претензий нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.