Jump to content

Recommended Posts

Это к размышлению.

Например:

Два компьютера.

На первом компьютере есть ПО ViPNet client.

На втором компьютере ничего нет. Обычный офисный компьютер.

Второй, и первый компьютер находятся в одной сети(домен).

Возможно ли получить (настроить) доступ к виртуальным IP адресам первого компьютера из второго компьютера, т.е получить доступ к защищенной сети из второго компьютера.

И если даже получится, будут ли вопросы со стороны ФСТЭК?

Сам ничего не пробовал.

Share this post


Link to post
Share on other sites

Это к размышлению.

Например:

Два компьютера.

На первом компьютере есть ПО ViPNet client.

На втором компьютере ничего нет. Обычный офисный компьютер.

Второй, и первый компьютер находятся в одной сети(домен).

Возможно ли получить (настроить) доступ к виртуальным IP адресам первого компьютера из второго компьютера, т.е получить доступ к защищенной сети из второго компьютера.

И если даже получится, будут ли вопросы со стороны ФСТЭК?

Сам ничего не пробовал.

Туннелировать вряд ли получится средствами Vipnet Client, так как данной функцией наделён координатор, а не клиент. А, если, к примеру, поставить прокси прикладного уровня на этот сервер, то доступ будет (если открыть порт необходимый). Яркий пример такого доступа - squid на компьютере с VipNet Client.

Что касается вопросов ФСТЭК. Что Вы конкретно имеете ввиду? Если Вы о защите персональных данных, то Вам, естественно, необходимо защитить пакеты с конфиденцильной информацией, идущие по ЛВС, так как в сети у Вас есть и незащищённые компьютеры. Во-вторых, если второй компьютер не защищён, как и первый, то вопросы к Вам в любом случае будут. Вы же понимаете, что VipNet Client не является полноценным средством защиты, а является лишь составляющей системы защиты, которая закрывает определённый набор угроз. В случае, если Вы используете сертифицированную ФСТЭК сборку VipNet (в чём я лично сомневаюсь), то Вы должны следовать эксплуатационной документации и ограничениям, наложенным в самом сертификате соответствия. В документации про такой способ туннелирования ничего не говорится. Хотя, это уже спорный вопрос.

Share this post


Link to post
Share on other sites

Эти 2 компьютера стоят в бок о бок. На все есть лицензия. Нет повода беспокоится.

Значит можно второй компьютер на прямую подключить к первому и тем самым защитить второй и первый компьютер от внешних угроз(шифрованием внешнего трафика двух компьютеров за счет первого компьютера), при условии что контролирует трафик обеих компьютеров VipNet "Контроль приложений" первого компьютера?

Вопрос по ФСТЭК основывается на том что во втором компьютере НЕТ ПО VipNet, но он использует защищенную сеть первого компьютера. Могут ли ФСТЭК "придраться чисто формально" из за то что у второго компьютера нет ПО VipNet прекрасно зная о том что трафик второго компьютера защищает и контролирует первый компьютер, в добавок зная о том что они стоят в ВПРИТЫК и что второй компьютер НАПРЯМУЮ подключен (по сетке) к первому компьютеру, и понимая что ПРАКТИЧЕСКИ НЕРЕАЛЬНО "СЛИТЬ ДАННЫЕ" из сети этих двух компьютеров, и зная о том что у обеих работников есть разрешение на работу с базами данных, и есть расписка о неразглашении персональных данных?

PS. Вопрос поднят из за одного Web ресурса который доступен только по защищенной сети. Этот Web Ресурс должен быть у новых работников УЖЕ на следующей неделе по приказу начальства(((((((((((

Писал Якут. за возможные орфографические ошибки просьба строго не судить!)

Share this post


Link to post
Share on other sites

Эти 2 компьютера стоят в бок о бок. На все есть лицензия. Нет повода беспокоится.

Значит можно второй компьютер на прямую подключить к первому и тем самым защитить второй и первый компьютер от внешних угроз(шифрованием внешнего трафика двух компьютеров за счет первого компьютера), при условии что контролирует трафик обеих компьютеров VipNet "Контроль приложений" первого компьютера?

Вопрос по ФСТЭК основывается на том что во втором компьютере НЕТ ПО VipNet, но он использует защищенную сеть первого компьютера. Могут ли ФСТЭК "придраться чисто формально" из за то что у второго компьютера нет ПО VipNet прекрасно зная о том что трафик второго компьютера защищает и контролирует первый компьютер, в добавок зная о том что они стоят в ВПРИТЫК и что второй компьютер НАПРЯМУЮ подключен (по сетке) к первому компьютеру, и понимая что ПРАКТИЧЕСКИ НЕРЕАЛЬНО "СЛИТЬ ДАННЫЕ" из сети этих двух компьютеров, и зная о том что у обеих работников есть разрешение на работу с базами данных, и есть расписка о неразглашении персональных данных?

PS. Вопрос поднят из за одного Web ресурса который доступен только по защищенной сети. Этот Web Ресурс должен быть у новых работников УЖЕ на следующей неделе по приказу начальства(((((((((((

Писал Якут. за возможные орфографические ошибки просьба строго не судить!)

По поводу того, что випнет только на одном компьютере контролирующие органы придираться не будут. У Вас оба компьютера в контролируемой зоне и оба получают доступ к защищённому серверу по защищённому каналу. Средствами VipNet клиента этого не достичь, а, вот, поставив squid вы решите Вашу проблему в два счёта.

По поводу контроля приложений - он контролирует только локальный компьютер. Сетевой экран же будет контролировать оба компьютера. Но учтите, что при использовании Vipnet Client (а не координатора) на обоих сетевых интерфейсах будет один режим безопасности.

Напомню только ещё раз, что для того, чтобы у контролирующих органов не было претензий, поставьте VipNet именно с сертифицированного диска, к которому прилагается формуляр. Это - сборка 5056. Она сертифицирована ФСБ и как сетевой экран, и как криптосредство. Единственное, чего она не имеет - проверка на отсутствие НДВ.

Также для того, чтобы у ФСТЭК не было претензий, необходимо защищать данные компьютеры не только VipNet, но и средствами защиты от НСД, а также антивирусами (естественно, все должны быть сертифицированы).

Share this post


Link to post
Share on other sites

Спасибо большое за исчерпывающий ответ) Лучше я подожду покупку новых АП у infotecs.) Я думаю лучше будет так.

Share this post


Link to post
Share on other sites

Спасибо большое за исчерпывающий ответ) Лучше я подожду покупку новых АП у infotecs.) Я думаю лучше будет так.

Да, так будет лучше. Главная наша задача, как специалистов по информационной безопасности - это убедить руководство в том, что это необходимо. Сейчас безопасность - это закон. Это понимают пока не все руководители. А если руководство понимает что к чему, то и безопасность будет в норме, и финансирование найдётся. Так просто от контролирующих органов не отделаться.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.