p2p туннель с ГОСТ шифрованием

[grifin.ru]

Нужно поднять туннель (пока один) между двумя точками, шифрованные ГОСТовым алгоритмом. На одном конце туннеля должна стоять железка/ПО с сертификатами. На другом - можно без, но чтоб шифрование было именно ГОСТ.

Скорость туннеля - 20мбит будет достаточно. Туннель через паблик-интернет.

 

Что коллективный разу предложит приобрести под эти цели(можно б/у) за адекватные деньги, а не чтоб из пушки по воробьям ?

[abab]

Cisco

[grifin.ru]

Cisco нужная, как я понял, стоит несколько сотен килорублей.

Для туннеля 20мбит - это неадекватный прайс.

Скажите какое конкретно решение от cisco вы имеет ввиду.

[grifin.ru]

У s-terra есть решения стоимость 60 круб на каждый конец, итого 120 тыс. Это дорого.

Есть другие решения ?

[snark]

stunnel

 

Stunnel uses the OpenSSL library for cryptography, so it supports whatever cryptographic algorithms are compiled into the library

openssl

 

Major changes between OpenSSL 0.9.8n and OpenSSL 1.0.0 [29 Mar 2010]:

...

New ENGINE supporting GOST algorithms.

м?

[s.lobanov]

snark

главное условие не выполнено - на stunnel нет сертификата. а вся эта криптография нужна только ради демонстрации бумажки

[grifin.ru]

snark

На обратной стороне туннеля это можно, а в офисе нужно чтоб сертификаты были.

 

s.lobanov

На самом деле криптография тоже нужна, но и бумажка нужна.

[snark]

нужно чтоб сертификаты были

Купить какой-нить DFL-260E и прикрыть jеппу его сертификатом ФСТЭК или не взлетит?

[grifin.ru]

snark

Такие есть, но они сертифицированы ФСТЭК как межсетевой экран, т.е. защищают сеть от внешних вторжений. Тут же надо ШИФРОВАТЬ, а это уже зона ответственности ФСБ а не ФСТЭК... к сожалению (

[verhoum]

АПКШ «Континент» 3.6

http://www.securitycode.ru/products/apksh_kontinent/

 

АПКШ «Континент» IPC-25 (92D9) ЦУС + АПКШ «Континент» IPC-25 (92D9) КШ

 

--------

 

С-Терра Шлюз

http://www.s-terra.com/products/productline/gate/

2x С-Терра Шлюз 100

 

есть еще vipnet

 

Есть другие решения ?

дешевле - не стоит на это надеется

 

http://clsz.fsb.ru/certification.htm

там смотрите Перечень средств защиты информации, сертифицированных ФСБ России.

выбирайте

[MonaxGT]

Дешевле стерры не встречал.

 

Континент - без комментариев

[Ivan_83]

В инфотекс посмотри.

[NiTr0]

Не факт что железка снюхается с имеющимся софтом для поднятия туннеля. Даже если софт и поддерживает алгоритм - это не значит что софт поймет протокол (производители вполне могли запилит свой нескучный велосипед, чтобы больше железок продать).

[verhoum]

ТС, самое главное, с чего начать надо, это ОПРЕДЕЛЕНИЕ ТРЕБУЕМОГО КЛАССА ЗАЩИЩЁННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

а уж инфотекс или стерра или застава какая-нибудь - это детали и определяется исходя из класса АС

[grifin.ru]

verhoum

Защита по ПД. Классификация там поменялась пару лет назад, поэтому в голове путаница из классов.

ПО старой Классификации это 3класс кажется.

[grifin.ru]

Вообще к решению задачи можно подойти двумя способами:

1. Делаем туннель сертифицированными средствами, проводим обследование силами лицензиата ФСТЭК и прикрываемся бумажкой, если что.

2. Делаем реально защищенный туннель, чтоб "если что" не произошло. На бумажки забиваем, про существование тоннеля не говорим, живем и радуемся.

 

Формально там персональные данные, но кроме персональных есть еще данные которые действительно нужно защищать. Сейчас они обрабатываются в пределах контролируемой зоны. Но, в целях увеличения надежности ИС, есть желание сделать "зеркало" на удаленной площадке.

И да, может у кого-то возникнуть желание эти данные получить, так что защита нужна реальная, а не на бумаге.

 

Отсюда вопрос. Как посоветуете поступить ? По плану 1 или, по плану 2 ?

[verhoum]

Зачем что то делать наполовину, если потом переделывать придется?