Сертифицированные межсетевые экраны (часть 3)
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Продолжаем обзор сертифицированных межсетевых экранов (все части). Сегодня на очереди экзотический ФПСУ-IP, бессчётные Cisco, малоактуальные Proventia, Z-2 и Microsoft ISA Server 2006, а на закуску - ViPNet от Инфотекса.
Следующий сертифицированный межсетевой экран в реестре ФСТЭК с актуальным сертификатом на серию – «ФПСУ-IP/Клиент», сертифицированный по классу МЭ5 сам по себе и по МЭ3 в связке с базовым МЭ «ФПСУ-IP». Разработка ООО “АМИКОН” – штука весьма специфическая. Судя по описанию на сайте - это целая экосистема с собственным крипто-шлюзом, крипто-ядром и даже USB-ключом для аутентификации. Заявлено внедрение более 15 000 экземпляров в защищённых информационных системах Банка России, Сбербанка РФ, ОАО ЛУКОЙЛ, АКБ «Альфа Банк» и в ряда других организаций. Партнёрской сети у АМИКОНа замечено не было, продажи, видимо, идут напрямую, так что особо про продукт сказать нечего – ареал его обитания как-то не очень пересекается с моим.
Отмечу лишь, что в одном из вариантов исполнения «ФПСУ-IP» используется “собственная 32-разрядная DOS-подобная ОС”, а интерфейс вызывает приятные ностальгические воспоминания о студенческих годах и моих первых шагах в программировании:
Тем не менее, продукт развивается, в декабре даже новая версия вышла. Кстати, в реестре ФСТЭК сертификат №1091 на сам «ФПСУ-IP» значится как просроченный, но на сайте разработчика висит уже его обновлённый вариант.
Далее по списку опять сертифицированный межсетевой экран от Cisco. Модуль Cisco FWSM для коммутаторов Cisco Catalyst 6500 и маршрутизаторов Cisco 7600 сертифицирован серией по 4 классу для МЭ и на соответствие ТУ. Не являюсь специалистом Cisco, но вроде бы модуль жив и продаётся. А чтобы уже закончить с решениями от Cisco, вместе с этим модулем внёс в таблицу все остальные маршрутизаторы и коммутаторы Cisco, сертифицированные серией как межсетевые экраны: Cisco 1800, Cisco 2800, Cisco 3800, Cisco 7200, Cisco 7600, Cisco 3750, Cisco 1841, Cisco 2811, Cisco 6509, Cisco 3825, Cisco 2900, Cisco 3900, Cisco 3925E и Cisco 881. К слову, видно, что на некоторые модели сертификаты продлевались, а на некоторые (не попавшие в таблицу) – нет. Для конкурентов, размышляющих над целесообразностью сертификации своих моделей – отличная информация к размышлению, ну а мы движемся дальше.
Говоря о сертифицированных межсетевых экранах, нельзя не упомянуть Proventia Server и Proventia Desktop, сертификаты на которые, полученные в своё время ЗАО НИП «Информзащита» продолжают действовать. Популярное некогда решение от компании ISS после покупки последней компанией IBM, судя по всему, переживает не самые лучшие времена, так что возьму на себя смелость поставить под сомнение актуальность этих 1000 и 300 сертифицированных экземпляров. На Proventia, кстати, есть и более новые сертификаты, но в них уже не прописан класс МЭ.
Следующий сертифицированный межсетевой экран в очередной раз демонстрирует сложности установления актуальности отечественных разработок. Творение Инфосистем Джет - межсетевой экран «Z-2» - имеет действующий сертификат. Некоторые компании до сих пор его предлагают на своих сайтах и даже приглашают на курсы, но продукт, видимо, снят с продаж, хотя никаких анонсов, как это обычно бывает, об этом не было. На мысль о неактуальность наводят наличие лишь очень старых описаний и новостей. Полагаю, смысла включать Z-2 в таблицу нет.
Точно также пропустим и сертифицированный межсетевой экран Microsoft ISA Server 2006 SE. Его вроде бы ещё можно купить, но будет ли кто-то это добровольно делать?
Завершим же сегодняшнюю часть обзора, не в обиду ранее упомянутым компаниям будет сказано, одним из действительно серьёзных отечественных игроков рынка сертифицированных межсетевых экранов. Компания Инфотекс не первый год вполне себе успешно поставляет продукты семейства ViPNet. Актуальные сертификаты на межсетевые экраны есть для ViPNet CUSTOM 3.1, ViPNet Coordinator HW и ViPNet Office 2.2.
ViPNet CUSTOM – это целое семейство решений и без анализа задания по безопасности судить о сертифицированном функционале достаточно сложно, но, по идее, за межсетевое экранирование отвечают вот эти компоненты:
- ViPNet Coordinator (Windows) – программный сервер защищенной сети ViPNet, устанавливаемый на ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит).
- ViPNet Coordinator (Linux) – полнофункциональный программный сервер защищенной сети ViPNet, устанавливаемый на ОС Linux с ядрами 2.4.2/31 -2.6.2/32 (дистрибутивы RedHat, Suse и др.)
- ViPNet Client (Клиент) – программный комплекс для ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищённой почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.
ViPNet Coordinator HW – это аппаратный криптошлюз и межсетевой экран, поставляемый в модификациях HW-VPNM, HW100, HW1000 и HW2000 (последний вариант, правда, сертификата ФСТЭК по каким-то причинам не имеет). По сути своей все ViPNet Coordinator HW – это аппаратные платформы с залитым дистрибутивом Linux и программным обеспечением ViPNet Coordinator Linux. Данные «железные» варианты исполнения ViPNet Coordinator появились сравнительно недавно как ответ на продуктовую линейку АПКШ «Континент» извечного конкурента – «Кода Безопасности» (ГК «Информзащита»), имеющего в своём портфеле исключительно аппаратные криптошлюзы.
Наконец, ViPNet Office – это программный межсетевой экран, предназначенный для небольших и средних организаций. Вот только его текущая версия 3.1 сертификата ФСТЭК пока не имеет (только ФСБ) и как сертифицированный межсетевой экран использоваться не может, а версия 2.2 имеет сертификат ФСТЭК, но не сертифицирована в ФСБ. В общем, чехарда с версиями и сертификатами наводит на мысль о сомнительной актуальности этого решения как сертифицированного межсетевого экрана.
Говоря в целом, нужно отметить, что с использованием продуктов VipNet можно комплексно защитить произвольное число локальных сетей и рабочих станций, но, судя по личному опыту настройки и известным мне сравнительным анализам, решение от Инфотекс имеет определённые неудобства эксплуатационного характера. Тем не менее, ViPNet прочно «засел» в некоторых рыночных нишах (РЖД, ТФОМС, Сбербанк), косвенным доказательством чему, например, является их прямое упоминание на этой вот Схеме голосового набора:
Все сертифицированные межсетевые экраны из этого и предыдущих обзоров уже в таблице.
Комментарии из Telegram
Комментарии ВКонтакте