Vipnet Custom

[ShurilloM]

Используем сабж. В главном офисе администратор и координатор, в филиалах по одному клиенту. Требуется поставить vipnet client на каждую рабочую станцию. По рекомендациям инфотекса если клиентов 10 и более нужен координатор. Работаем с местной фирмой, но хочется проверить их работу.

Вопросы:

1. Для использования координатора в качестве МСЭД на границе локальной сети и интернета требуется преобретать аппаратный координатор типа ViPNet Coordinator HW*** или можно купить программную часть и поставить на свое железо? Смущает наличие отдельных сертификатов ФСБ и ФСТЭК на ваши аппаратные координаторы. (Вопрос "можно/нельзя" рассматривается в контексте успешного прохождения проверок компетентных органов, а не в техническом плане, понятно что работать все будет.)

2. ViPNet Coordinator HW100 подойдет для небольших филиалов для наших целей? Документация не соответствует его описанию на сайте. Число LAN портов както связано с лицензионными ограничениями?

3. Может ли аппаратный координатор одновременно выступать в роли Координатора открытого интернета?

[Stratos]

ShurilloM

Отвечу по порядку:

1) Можно устанавливать либо программный либо аппаратный Координатор. Сертификаты различаются "классовостью" решений. Выбирайте то, что нужно именно Вам. Не вижу никаких проблем при проверках компетентных органов.

2) В чем именно несоответствие документации описанию ПАКа на сайте? Все зависит от того, какой у Вас офис и какие задачи вы хотите решить при установке ПАКа HW100.

3) Может.

[ShurilloM]

ShurilloM

Отвечу по порядку:

1) Можно устанавливать либо программный либо аппаратный Координатор. Сертификаты различаются "классовостью" решений. Выбирайте то, что нужно именно Вам. Не вижу никаких проблем при проверках компетентных органов.

2) В чем именно несоответствие документации описанию ПАКа на сайте? Все зависит от того, какой у Вас офис и какие задачи вы хотите решить при установке ПАКа HW100.

3) Может.

Спасибо за ответ.

1. Как-то подумалось что если на аппаратные координаторы есть отдельные сертификаты, то сертифицируется не только ПО, но и железо. А раз так то мой самосборный сервер не будет иметь такого сертификата. Зачем тогда нужен отдельный сертификат если в коробочках стоит ViPNet Coordinator (Linux) кооторый уже имеет сертификат?

2. На сайте HW100 имеет процессор Atom и несколько LAN портов. В документации описано устройство на базе процессора VIA с одним LAN и одним WAN портом. Также сказано, что для маршрутизации защищенных пакетов требуется поставить дополнительно жесткий диск для хранения очереди конвертов.

Мне нужно просто, чтобы рабочая станция с vipnet-клиентом "видела" другую в другом филиале или в главном офисе.

Из описания на сайте предназначения HW100:

эксплуатация в необслуживаемом режиме с возможностью 100%-удаленного управления,

невозможность или нецелесообразность установки программных средств защиты непосредственно на само оборудование. (а у меня то везде vipnet client будет стоять...)

Так подойдет мне это устройство?

[Stratos]

ShurilloM

1) если Вы установите программный Координатор на просто ПК ничего страшного в этом не будет. Разница в следующем - у ПАКа HW1000, например, выше скорость шифрования, сертифицирован именно как ПАК, а не отдельное ПО. Т.е. в этом случае Вы вольны выбирать сами, какое решение Вам больше подходит: программное, или уже завершенное изделие. Отпадает проблема выбора аппаратной платформы.

2) Вы изучили документацию на первое поколение ПАКов HW100. Сейчас поставляются ПАКи как первого, так и второго поколения, в которых есть различия в аппаратной платформе.Второе поколение более универсальное за счет наличия доп. LAN портов. Да и процессов там пошустрее.

Жесткий диск нужен только в варианте комплектации ПАК как HW100C - с поддержкой маршрутизации конвертов деловой почты. Если этот функционал Вам не нужен - Ваш выбор ПАКи HW100A или B.

HW1000 идет уже с предустановленными дисками.

Я не могу дать Вам однозначный ответ, какое устройство или программное решение Вам нужно, поскольку не вижу четко поставленной задачи для этого устройства.

Если нужен:

1) не обслуживаемый вариант исполнения

2) защита небольшого офиса (от 5 до 10 ПК) только с фильтрацией и маршрутизацией защищенного трафика без Деловой почты (вариант С с поддержкой ДП)

3) удаленное управление

4) невысокие нагрузки на сеть офиса

Ваш выбор - ПАКи линейки HW100

Повышенные требования к скоростным характеристикам? Отказоустойчивость канала связи и ПАКа? Ваш выбор - HW1000 в кластерном исполнении.

Нет желания тратиться на ПАК? Все тот же функционал, но в программном варианте - различные ОС Win, Lin. Поддержка кластеризации и т.п.

Хотя реально, для того чтоб уж на 100% корректно Вам ответить и предложить оптимальное решение по ИБ я бы сначала посмотрел бы схему сети, решаемые задачи и требования, а потом бы уже выбирал решение.

Как Вы говорите, Вы уже работаете с каким-то нашим региональным партнером, наверное корректнее задать все эти вопросы им Если только у Вас нет нареканий на партнера

[ShurilloM]

Огромное спасибо за ответы. Да, мне нужен HW100C. К сожалению не вижу документации на сайте на это устройство, только на старый вариант.

[Stratos]

ShurilloM

Документацию на ПАК Вы можете запросить у нашего регионального партнера. В открытом доступе ее нет.