Jump to content
Калькуляторы

Установка СОРМовича. Будь он не ладен...

Являемся городским провайдером. Необходимо установить СОРМович.

УФСБ предлагает следующую систему:

Сормович - Зелакс - FOM16 - FOM16 - Зелакс - оборудование УФСБ.

Для чего такое надо? Неужели нельзя просто по Ethernet передать инфу? Особенно если учитывать, что из СОРМовича выходит Ethernet, и на стороне УФСБ ТОЖЕ Ethernet. Или я не понимаю принципа вышеописанной системы?

Share this post


Link to post
Share on other sites

Может просто транспорта другого нет до УФСБ?

Share this post


Link to post
Share on other sites

Вы действительно не понимаете принципа системы ;)

Сделайте как просят и продолжайте работать над своими задачами :)

Share this post


Link to post
Share on other sites
Может просто транспорта другого нет до УФСБ?
А его никакого нет. Нам свою магистраль до него тянуть всё-равно. Свои волокна тащить будем.

 

каналообразующее оборудование у них должно быть сертифицировано
Ну а коммутаторы H3C разве несертифицирвоаны? :)

 

Вы действительно не понимаете принципа системы ;)

Сделайте как просят и продолжайте работать над своими задачами :)

Это самый лёгкий путь. Я хочу разобраться в этом, дабы сэкономить организации пары лишних тысчи зелёненьких рубликов.

Share this post


Link to post
Share on other sites
Вы точно не понимаете принципа СИСТЕМЫ :(
Принцип СИСТЕМЫ я понимаю, но какая выгода от этого ФСБ? Мы же оборудование покупаем не у них, откаты им никакие не идут. Лишние железяки у себя размещать хотят что ли?

 

Сегодян при разговоре они заикнулись что им пофигу через какую транспортную систему мы будем им передавать трафик. Спросили - а почему нельзя через Ethernet - овтетили что слишком жирно будет :)

 

Или это типо "крещение" такое? Смог вложить энное количество бабок на бесполезную вещь - работай. Нет - извольте.

 

Верно я понимаю, что из СОРМовичка выходит обыкновенный IP трафик?

Share this post


Link to post
Share on other sites
Вы точно не понимаете принципа СИСТЕМЫ :(
Принцип СИСТЕМЫ я понимаю, но какая выгода от этого ФСБ? Мы же оборудование покупаем не у них, откаты им никакие не идут. Лишние железяки у себя размещать хотят что ли?

Сегодян при разговоре они заикнулись что им пофигу через какую транспортную систему мы будем им передавать трафик. Спросили - а почему нельзя через Ethernet - овтетили что слишком жирно будет :)

не слишком жирно, а слишком просто для того чтобы вы или тот кто вашу сеть сломает на вашей мыльнице за пять копеек мог включить порт мироринг.
Или это типо "крещение" такое? Смог вложить энное количество бабок на бесполезную вещь - работай. Нет - извольте.

Верно я понимаю, что из СОРМовичка выходит обыкновенный IP трафик?

Не обыкновенный, а позолоченный, поэтому постройте для него отдельную транспортную систему на фомах и спите спокойно.

 

Share this post


Link to post
Share on other sites

Странный аргумент про слишком жирный езернет.

Вообще транспорты от съемников до пультов управления бывают очень разные, иногда даже на тысячи километров, построенные по возможностям и средствам оператора.

Бегает обычный IP трафик.

 

кто вашу сеть сломает на вашей мыльнице за пять копеек мог включить порт мироринг.
Человек же пишет волокно будут тянуть.
Edited by Картуччо

Share this post


Link to post
Share on other sites
Человек же пишет волокно будут тянуть.
и чё это меняет при наличии уже установленного свича на площадке оператора, проблема мегаадмину ещё один шнурок туда воткнуть? хотя бред конечно.

не удивлюсь если у них требование организации доступа к сорм по выделенным каналам преимущественно tdm спущено сверху в регламенте, простейшая "защита от дурака", по крайней мере с fom и зелаксом больше вероятность что отдельный участок канала не идёт по сети спд оператора.

Share this post


Link to post
Share on other sites

по прошлой работе- поставили два медика и прямое волокно ребятам.. они были довольны...

 

Share this post


Link to post
Share on other sites

Два медика - туповаты для того, чтобы отследить исправность канала в случае чего. К тому же кто мешает где-то на муфте рубануть это волокно, спрямить его в ближайший подъезд и поставить еще два медика и тупым хабом отзеркалить трафик сормовича?

 

в случае сдх транспорта - фиг влезешь. по крайней мере вот-так дешево и сердито отзеркалить трафик не получится. ( И только прошу не начинать песню про то, что и в эзернете все можно запаролить/зашифровать - что мама родная прочесть не сможет. ) Как минимум медики не смогут отследить есть между ними еще активные устройства или нет.

 

sdh транспорт делает задачу нелегального зеркалирования трафика если не сложнее, то существенно дороже. Наверняка какой-нибудь Джеймс Бонд найдет утечку инфы в органах и в том же подъезде поставит еще два fom-а с аналогичными настройками/паролями и т.д. Только согласитесь - это задача уже гораздо менее тривиальная, чем пара медиков + хаб. Как минимум нужно умудриться получить пароли на руки. Впрочем, история с хабами тоже "забуксует", если канал сормовича окажется шифрованным.

 

Так что единственным весомым аргументом "настоятельной просьбы органов" может служить желание контролировать исправность канала и удаленно диагностировать оборудование. Кроме того - фом умеет поднимать больше, чем требуется каналов. Поэтому не исключаю, что органам потребуется еще и "тестовый канал" (читай бесплатный доступ в интернет).

 

А может чего и продадите с помощью этого фома? Мало ли кому еще сормовский канал потребуется...

 

 

Share this post


Link to post
Share on other sites

j_box

в самом деле думаете, что у фсб везде повально такие (относительно простые) схемы и легким движением руки нельзя отзеркалить в куче мест ?

А насчет исправности канала, тут мфи софт по месяцу упавшие съемники поднять не может, что там тот канал :)

И вообще есть ощущение, что местами оно им вообще нафиг не надо, раз в пол года очнутся, обнаружат, что не пашет, начинают разбираться.

Share this post


Link to post
Share on other sites

у нас обычные Planet FT-806A,B стоят, раз выделенная жила.

сам приходил и ставил.

линк конечно же мониторю...

Share this post


Link to post
Share on other sites
Являемся городским провайдером. Необходимо установить СОРМович.

УФСБ предлагает следующую систему:

Сормович - Зелакс - FOM16 - FOM16 - Зелакс - оборудование УФСБ.

Для чего такое надо? Неужели нельзя просто по Ethernet передать инфу? Особенно если учитывать, что из СОРМовича выходит Ethernet, и на стороне УФСБ ТОЖЕ Ethernet. Или я не понимаю принципа вышеописанной системы?

Странное требование.

Видимо в вашем УФСБ немного отстали от жизни и не совсем понимают принцип работы СОРМовича. Описанная схема была типовой несколько лет назад, когда абонентские скорости были от 64К до 512К. Объясните им, что сейчас скорость доступа в 10 Мбит - обычное явление и их схема будет работать с ошибками. СОРМович передает на ПУ отфильтрованные пакеты и, при клиентском доступе в 10М, эти пакеты в 2 Мбита просто не пролезут.

Share this post


Link to post
Share on other sites

Они повсемесно Омегу требуют .

с Питера приедут поставят и всё будет работать как часики .

Вам всякие припоны строют так как вы стали ставить Сормовича ,а их съёмники с ним через жопу работают.

Мой совет ставте Омегу и не партись.

Share this post


Link to post
Share on other sites

Стоп! Насколько я помню. СОРМ = сервак, который может перелопатить весь трафик прова и отфильтровать нужную инфу.

Этому серваку в онлайн режиме нужен только канал управления. 2М канал - за глаза для этих задач.

 

Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов.

Что будет сильно "напрягать" ФСБ необходимостью частого и малоэффективного апгрейда своих железок в "серых домах" в текущих реалиях.

Это нонсен. Неужели вы считаете идиотами тех, кто все это придумал?

 

Поэтому склоняюсь к мысли, что данный канал, все таки = канал управления.

А вот сервак СОРМа должен уметь "ловить" и "хранить" нужный трафик необходимое время.

Поэтому юзает ли юзер 64к или 10М - каналу управления фиолетово.

Главное - гарантированный доступ к серверу. Режим доступа - максимально защищенный (снятие инфы с канала управления третьими лицами должно быть исключено).

 

В идеале СОРМ ставится в отдельном помещении, куда запрещен доступ сотрудникам провайдера. В реале - даже если это отдельно стоящая стойка, с заведенными в нее проводами - гербовый пломбир разрешит вскрывать эту стойку только в исключительных случаях (например пожар). Да и вообще знать о существовании СОРМ, где и как он установлен - должны единицы сотрудников. С обязательной подписью о не разглашении инфы. Иначе - админы прова зачирикаются доказывать свою непричастность а зарубежным спецслужбам. Оно вам надо?

 

Вся эта "вальяжность" до поры до времени... До первого прецедента, когда кто-то сможет подломить СИСТЕМУ и виноватым окажется небрежность провайдера ( будь то нечеткий пропускной режим, безконтрольный доступ к каналам управления третьих лиц (тех, кто не прописан приказом по организации о реализации плана СОРМ) и т.п.

 

 

 

 

 

Share this post


Link to post
Share on other sites
Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов.

Что будет сильно "напрягать" ФСБ необходимостью частого и малоэффективного апгрейда своих железок в "серых домах" в текущих реалиях.

Это нонсен. Неужели вы считаете идиотами тех, кто все это придумал?

Ну то что Вы написали - говорит только о том что вы сормовича не видели...

Share this post


Link to post
Share on other sites
Ну то что Вы написали - говорит только о том что вы сормовича не видели...

Я видел только то, что мне положено видеть.

Все остальное - догадки. В открытом доступе работу ОРМ - ИМХО лучше не обсуждать. Поэтому "не горю желанием" быть посвященным в это "таинство".

 

Это мое личное ИМХО.

Share this post


Link to post
Share on other sites
Ну то что Вы написали - говорит только о том что вы сормовича не видели...

Я видел только то, что мне положено видеть.

Все остальное - догадки. В открытом доступе работу ОРМ - ИМХО лучше не обсуждать. Поэтому "не горю желанием" быть посвященным в это "таинство".

Согласен, есть закон, мы его выполнили, а детали - это очень интимная штука. Одно замечание для ищущих - правильно выбирайте точки сбора, это то, о чем не пишут в прайсах...

Share this post


Link to post
Share on other sites

Печально что те кто поставляет СОРМович только его поставляют, а никаких советов по установке (в каких точках я имею ввиду) ставить его не даёт. Тупо пришёл, поставил, настроил, пользуйтесь.... печаль-печальная.

Share this post


Link to post
Share on other sites
Стоп! Насколько я помню. СОРМ = сервак, который может перелопатить весь трафик прова и отфильтровать нужную инфу.

Этому серваку в онлайн режиме нужен только канал управления. 2М канал - за глаза для этих задач.

К сожалению нет, сервак занимается именно тем что шлет весь отзеркаленный трафик на пульт, это сделано по простой причине: Чтобы исключить хранение отфильтрованных данных на съемнике (вдруг ты ребутнешь съемник, почитаешь содержимое винта, и будешь вкурсе кого разрабатывает фсб?).

Как вариант есть возможность организации "правильного" решения о котором пишете Вы, но для этого вам прийдется обеспецить необходимый класс зашиты комплекса сорма, а это отдельное помещение, охрана, специальный человек в штате итп. Вообщем в итоге проще и дешевле поучается купить влан на 100 мбит до пульта и хреначить по нему все что ловится.

 

Печально что те кто поставляет СОРМович только его поставляют, а никаких советов по установке (в каких точках я имею ввиду) ставить его не даёт. Тупо пришёл, поставил, настроил, пользуйтесь.... печаль-печальная.

Да ну? Вообщето все начинается с схемы утвержденной ФСБ и сормовичами.

 

Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов.

Официально рекомендация по ширине звучит так: на каждый гиг лицензии должно быть 10 мбит канала до пульта. Т.е. куплена лицензия на 4000 мбит, приготовьте 40 мбит.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this