Zev Опубликовано 24 Сентября 2013 Автор Жалоба Поделиться Опубликовано 24 Сентября 2013 Интересные предположения.А при обновлении ПО ПАК иногда непрогнозируемо умирает. А при удаленном обновлении эта вероятность повышается... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Сентября 2013 Жалоба Поделиться Опубликовано 24 Сентября 2013 Это Вы к чему? Только имейте ввиду, что обновлять его можно только сертифицированными обновлениями, а таких я пока не видел. Золотое правило инженера - не трогай то, что работает. Тем более, что заменять пока нечем. Да и никто пока не запрещает делать резервные копии (образы) программного обеспечения (или, хотя бы, заводские). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Zev Опубликовано 25 Сентября 2013 Автор Жалоба Поделиться Опубликовано 25 Сентября 2013 Это я к тому, что никаким стандартным средствам бекапирования у данного вендора, кроме текстовых файлов с конфигами для данного устройства я не верю в принципе. Т.к. корректно востанавливал работоспособность я только генерацией ключей заново и проливкой текстовых конфигов на девайс.Обновлять можно на любую прошикву, которую Вы имеете. Чем выше ее номер, тем больший функционал имеет ПАК и тем он надежнее работает.Крайняя сертифицированная версия - 2.1. Крайняя версия ПО (помоему) - 3.1 (не сертифицированная).Зачем мне резервные копии (образы)? Как их сделать удаленно? Способа такого я не знаю. Т.е. данный вариант мне бесполезен в силу своей неактуальности. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 25 Сентября 2013 Жалоба Поделиться Опубликовано 25 Сентября 2013 Ну, на этих железках такого функционала для удалённого бэкапирования софта нет. Да и, на самом деле, обновлять его не особо-то и нужно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 26 Сентября 2013 Жалоба Поделиться Опубликовано 26 Сентября 2013 Коллеги, я смотрю тема продолжается .Попробую разложить все по полочкам:1) при проведении процедуры backup в файл vbe требуется остановка демонов и выгрузка драйвера. Делается это для того, чтобы никто из сервисов не начал писать в резервируемые конфиги, когда вы backup создаете. Посему мы теперь не разрешаем экспорт в случае, если Вы удаленно зашли на консоль - контроль потеряете и все.2) из пункта 1 вытекает пункт 2 - отключили защиту, пропал vpn канал по которому Вы на консоль СКЗИ залогинились, А требования регуляторов обязывают хранить конфиги в защищенном виде. Если бы Вы конфиг передавали внутри VPN в доверенную зону, то и вопросов не было, а поскольку был произведен пункт 1, то защиты нет. Городить огород с шифрованием конфигов та еще тема, потому что их потом чем-то надо расшифровывать... Да, экспорт защищен паролем, но пароль-то Вы выбрали. если локально сохранять на flash, то такой пароль сойдет, а передавать такой экспорт по сети - "не фонтан".3) чтобы собирать конфиги централизовано нужно это место для сбора, хранения и т.д.. Вопрос сейчас обсуждается. Пока видится такой вариант: а) В ЦУСе будет возможность задавать ряд настроек ПАК, имеющих отношение к системе - дата, время, сетевые настройки. б) есть Policy Manager - он будет хранить политику безопасности, при наличии связи с железкой, Вы на железку всегда вышлете актуальную политику (FW, NAT и т.д.). в) появится возможность сохранять конфиги по частям (ключи, сетевые интерфейсы, iplir.conf и т.д.) и все сразу.Коллеги, все же не стоит в лоб сравнивать Cisco и нас. Как я уже писал Cisco в первую очередь пытается дать Вам usability, совсем не думая о безопасности. В нашем же случае есть четкий свод требований, которые контролируют наши возможности. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 26 Сентября 2013 Жалоба Поделиться Опубликовано 26 Сентября 2013 Полностью с Вами согласен. Хотя, Cisco позиционирует себя и как поставщик средств безопасности Кстати, в континенте сетевые настройки уже задаются через ЦУС, а управление сетевым экраном у них только централизованное. К этому нужно стремится. Хотя, полностью централизованный сетевой экран - то ещё "удобство". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 26 Сентября 2013 Жалоба Поделиться Опубликовано 26 Сентября 2013 Позиционирует. Я это не оспариваю. Но, все что соответствует требованиям FIPS от Cisco не позволит Вам задать пароль cisco и управлять устройством по открытым каналам и т.д. Хотя, полностью централизованный сетевой экран - то ещё "удобство".Ну вот StoneSoft только централизованно всем управляет. Это же вопрос привычки. Кто Cisco любит, тому нравится конфиги писать по 5 листов А4, описывая access-list и crypto-map Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 27 Сентября 2013 Жалоба Поделиться Опубликовано 27 Сентября 2013 По поводу централизации возникает следующая ситуация. Если сеть состоит из множества организаций (vipnet сеть), то у каждого есть свои нюансы, которые задаются локально. У нас есть континенты для связи с казначейством, а сетевым экраном мы управлять не можем, так как ЦУС не у нас. Конечно, никто не мешает завести свою сеть и цус, но это уже другие деньги. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.