Перейти к контенту

Возможно Ли? Правильно Ли

Oktavius
 Поделиться

Рекомендуемые сообщения

Oktavius

Oktavius

Опубликовано
Опубликовано

Это к размышлению.

Например:

Два компьютера.

На первом компьютере есть ПО ViPNet client.

На втором компьютере ничего нет. Обычный офисный компьютер.

Второй, и первый компьютер находятся в одной сети(домен).

Возможно ли получить (настроить) доступ к виртуальным IP адресам первого компьютера из второго компьютера, т.е получить доступ к защищенной сети из второго компьютера.

И если даже получится, будут ли вопросы со стороны ФСТЭК?

Сам ничего не пробовал.

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Это к размышлению.

Например:

Два компьютера.

На первом компьютере есть ПО ViPNet client.

На втором компьютере ничего нет. Обычный офисный компьютер.

Второй, и первый компьютер находятся в одной сети(домен).

Возможно ли получить (настроить) доступ к виртуальным IP адресам первого компьютера из второго компьютера, т.е получить доступ к защищенной сети из второго компьютера.

И если даже получится, будут ли вопросы со стороны ФСТЭК?

Сам ничего не пробовал.

Туннелировать вряд ли получится средствами Vipnet Client, так как данной функцией наделён координатор, а не клиент. А, если, к примеру, поставить прокси прикладного уровня на этот сервер, то доступ будет (если открыть порт необходимый). Яркий пример такого доступа - squid на компьютере с VipNet Client.

Что касается вопросов ФСТЭК. Что Вы конкретно имеете ввиду? Если Вы о защите персональных данных, то Вам, естественно, необходимо защитить пакеты с конфиденцильной информацией, идущие по ЛВС, так как в сети у Вас есть и незащищённые компьютеры. Во-вторых, если второй компьютер не защищён, как и первый, то вопросы к Вам в любом случае будут. Вы же понимаете, что VipNet Client не является полноценным средством защиты, а является лишь составляющей системы защиты, которая закрывает определённый набор угроз. В случае, если Вы используете сертифицированную ФСТЭК сборку VipNet (в чём я лично сомневаюсь), то Вы должны следовать эксплуатационной документации и ограничениям, наложенным в самом сертификате соответствия. В документации про такой способ туннелирования ничего не говорится. Хотя, это уже спорный вопрос.

Ссылка на комментарий
Поделиться на других сайтах
Oktavius

Oktavius

Опубликовано
  • Автор
Опубликовано

Эти 2 компьютера стоят в бок о бок. На все есть лицензия. Нет повода беспокоится.

Значит можно второй компьютер на прямую подключить к первому и тем самым защитить второй и первый компьютер от внешних угроз(шифрованием внешнего трафика двух компьютеров за счет первого компьютера), при условии что контролирует трафик обеих компьютеров VipNet "Контроль приложений" первого компьютера?

Вопрос по ФСТЭК основывается на том что во втором компьютере НЕТ ПО VipNet, но он использует защищенную сеть первого компьютера. Могут ли ФСТЭК "придраться чисто формально" из за то что у второго компьютера нет ПО VipNet прекрасно зная о том что трафик второго компьютера защищает и контролирует первый компьютер, в добавок зная о том что они стоят в ВПРИТЫК и что второй компьютер НАПРЯМУЮ подключен (по сетке) к первому компьютеру, и понимая что ПРАКТИЧЕСКИ НЕРЕАЛЬНО "СЛИТЬ ДАННЫЕ" из сети этих двух компьютеров, и зная о том что у обеих работников есть разрешение на работу с базами данных, и есть расписка о неразглашении персональных данных?

PS. Вопрос поднят из за одного Web ресурса который доступен только по защищенной сети. Этот Web Ресурс должен быть у новых работников УЖЕ на следующей неделе по приказу начальства(((((((((((

Писал Якут. за возможные орфографические ошибки просьба строго не судить!)

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Эти 2 компьютера стоят в бок о бок. На все есть лицензия. Нет повода беспокоится.

Значит можно второй компьютер на прямую подключить к первому и тем самым защитить второй и первый компьютер от внешних угроз(шифрованием внешнего трафика двух компьютеров за счет первого компьютера), при условии что контролирует трафик обеих компьютеров VipNet "Контроль приложений" первого компьютера?

Вопрос по ФСТЭК основывается на том что во втором компьютере НЕТ ПО VipNet, но он использует защищенную сеть первого компьютера. Могут ли ФСТЭК "придраться чисто формально" из за то что у второго компьютера нет ПО VipNet прекрасно зная о том что трафик второго компьютера защищает и контролирует первый компьютер, в добавок зная о том что они стоят в ВПРИТЫК и что второй компьютер НАПРЯМУЮ подключен (по сетке) к первому компьютеру, и понимая что ПРАКТИЧЕСКИ НЕРЕАЛЬНО "СЛИТЬ ДАННЫЕ" из сети этих двух компьютеров, и зная о том что у обеих работников есть разрешение на работу с базами данных, и есть расписка о неразглашении персональных данных?

PS. Вопрос поднят из за одного Web ресурса который доступен только по защищенной сети. Этот Web Ресурс должен быть у новых работников УЖЕ на следующей неделе по приказу начальства(((((((((((

Писал Якут. за возможные орфографические ошибки просьба строго не судить!)

По поводу того, что випнет только на одном компьютере контролирующие органы придираться не будут. У Вас оба компьютера в контролируемой зоне и оба получают доступ к защищённому серверу по защищённому каналу. Средствами VipNet клиента этого не достичь, а, вот, поставив squid вы решите Вашу проблему в два счёта.

По поводу контроля приложений - он контролирует только локальный компьютер. Сетевой экран же будет контролировать оба компьютера. Но учтите, что при использовании Vipnet Client (а не координатора) на обоих сетевых интерфейсах будет один режим безопасности.

Напомню только ещё раз, что для того, чтобы у контролирующих органов не было претензий, поставьте VipNet именно с сертифицированного диска, к которому прилагается формуляр. Это - сборка 5056. Она сертифицирована ФСБ и как сетевой экран, и как криптосредство. Единственное, чего она не имеет - проверка на отсутствие НДВ.

Также для того, чтобы у ФСТЭК не было претензий, необходимо защищать данные компьютеры не только VipNet, но и средствами защиты от НСД, а также антивирусами (естественно, все должны быть сертифицированы).

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Спасибо большое за исчерпывающий ответ) Лучше я подожду покупку новых АП у infotecs.) Я думаю лучше будет так.

Да, так будет лучше. Главная наша задача, как специалистов по информационной безопасности - это убедить руководство в том, что это необходимо. Сейчас безопасность - это закон. Это понимают пока не все руководители. А если руководство понимает что к чему, то и безопасность будет в норме, и финансирование найдётся. Так просто от контролирующих органов не отделаться.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен