Доброго времени суток. Сразу хочу извиниться, если не по теме.
Суть проблемы такова. Настало время когда приходится защищать канал связи либо отказываться от него по предписанию ФСБ.
Есть организация (1) и подведомственная ей (2). У первой есть БД, к которой по средствам VPN туннеля подключается вторая. Операционная система на которой настроен PPTP сервер - CentOS.
Вот и задача что делать.
Тратить деньги на дорогостоящие средства - руководство не желает.
Вопрос.
Можно ли настроить OpenVPN с нашими сертификатами?
Или L2TP сервер?
Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на этой ОС развернуть VPN сервер и маршрутизатор?
Вопрос конечно сложный, но может у кого была подобная задача и решение к ней?!За ранее спасибо за любой ответ!
>[оверквотинг удален]
> настроен PPTP сервер - CentOS.
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!можно, все можно, но может сначала озвучите все требования ФСБ к оборудованию и ПО.
> За ранее спасибо за любой ответ!
>[оверквотинг удален]
>> Тратить деньги на дорогостоящие средства - руководство не желает.
>> Вопрос.
>> Можно ли настроить OpenVPN с нашими сертификатами?
>> Или L2TP сервер?
>> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
>> этой ОС развернуть VPN сервер и маршрутизатор?
>> Вопрос конечно сложный, но может у кого была подобная задача и решение
>> к ней?!
> можно, все можно, но может сначала озвучите все требования ФСБ к оборудованию
> и ПО.В требованиях написано одно, или защитить с использованием сертифицированных средств, или прекратить доступ по данному каналу связи.
>[оверквотинг удален]
>>> Можно ли настроить OpenVPN с нашими сертификатами?
>>> Или L2TP сервер?
>>> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
>>> этой ОС развернуть VPN сервер и маршрутизатор?
>>> Вопрос конечно сложный, но может у кого была подобная задача и решение
>>> к ней?!
>> можно, все можно, но может сначала озвучите все требования ФСБ к оборудованию
>> и ПО.
> В требованиях написано одно, или защитить с использованием сертифицированных средств,
> или прекратить доступ по данному каналу связи.значит нужно использовать сертифицированную ОС или комплекс под нужный класс и уровень, а не отдельно OpenVPN ( вроде не сертифицированный ФСТЭК ) и CentOS то же вроде не сертифицированный ФСТЭК
>[оверквотинг удален]
>>>> этой ОС развернуть VPN сервер и маршрутизатор?
>>>> Вопрос конечно сложный, но может у кого была подобная задача и решение
>>>> к ней?!
>>> можно, все можно, но может сначала озвучите все требования ФСБ к оборудованию
>>> и ПО.
>> В требованиях написано одно, или защитить с использованием сертифицированных средств,
>> или прекратить доступ по данному каналу связи.
> значит нужно использовать сертифицированную ОС или комплекс под нужный класс и уровень,
> а не отдельно OpenVPN ( вроде не сертифицированный ФСТЭК ) и
> CentOS то же вроде не сертифицированный ФСТЭКНе ФСТЭК, а именно ФСБ. Железа с сертификатом ФСТЭК много, а вот с ФСБ-шным по пальцам пересчитать. Например cisco - не имеет ФСБ-шной лицензии, а ФСТЕЭК-овская имеется, только вот толку от нее
>[оверквотинг удален]
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!
> За ранее спасибо за любой ответ!Скорее всего нужна не сертифицированная операционка, а средства криптозащиты для передачи данных. OpenVPN их не удовлетворит, нужно сертифицированное СКЗИ.
Если у вас конфиденциальные данные, подпадающие под классификацию по 152ФЗ (если память не изменяет) то вам необходимо обрабатывать эти данные только на оборудовании,операционной системе и передавать данные через криптожелезо ТОЛЬКО с сертификатами ФСТЭК+ФСБ на данный класс.
Если вы по своему желанию шифруете данные в тоннеле - точно не скажу, но думаю, для ФСБ-шников будет достаточно использовать ГОСТ-овское шифрование, но нужно спрашивать у них.
> Если у вас конфиденциальные данные, подпадающие под классификацию по 152ФЗ (если память
> не изменяет) то вам необходимо обрабатывать эти данные только на оборудовании,операционной
> системе и передавать данные через криптожелезо ТОЛЬКО с сертификатами ФСТЭК+ФСБ на
> данный класс.
> Если вы по своему желанию шифруете данные в тоннеле - точно не
> скажу, но думаю, для ФСБ-шников будет достаточно использовать ГОСТ-овское шифрование,
> но нужно спрашивать у них.коллеги хотели прикрутить stunnel от крипто-про, с сертификатом от крипто-про, который лежит на флешке от крипто-про, и их затею обломали.
покупайте vipnet, других вариантов толком нет.
>[оверквотинг удален]
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!
> За ранее спасибо за любой ответ!Попробуйте обратиться к операторам связи, может они вам смогут предоставить защищенный канал, договора с оператором связи о предоставлении защищенного канала не хватит?