NvAriec Posted May 18, 2010 Posted May 18, 2010 Являемся городским провайдером. Необходимо установить СОРМович. УФСБ предлагает следующую систему: Сормович - Зелакс - FOM16 - FOM16 - Зелакс - оборудование УФСБ. Для чего такое надо? Неужели нельзя просто по Ethernet передать инфу? Особенно если учитывать, что из СОРМовича выходит Ethernet, и на стороне УФСБ ТОЖЕ Ethernet. Или я не понимаю принципа вышеописанной системы? Вставить ник Quote
mschedrin Posted May 18, 2010 Posted May 18, 2010 Может просто транспорта другого нет до УФСБ? Вставить ник Quote
Ivan Rostovikov Posted May 18, 2010 Posted May 18, 2010 каналообразующее оборудование у них должно быть сертифицировано Вставить ник Quote
RialCom.ru Posted May 18, 2010 Posted May 18, 2010 Вы действительно не понимаете принципа системы ;) Сделайте как просят и продолжайте работать над своими задачами :) Вставить ник Quote
NvAriec Posted May 18, 2010 Author Posted May 18, 2010 Может просто транспорта другого нет до УФСБ?А его никакого нет. Нам свою магистраль до него тянуть всё-равно. Свои волокна тащить будем. каналообразующее оборудование у них должно быть сертифицированоНу а коммутаторы H3C разве несертифицирвоаны? :) Вы действительно не понимаете принципа системы ;)Сделайте как просят и продолжайте работать над своими задачами :) Это самый лёгкий путь. Я хочу разобраться в этом, дабы сэкономить организации пары лишних тысчи зелёненьких рубликов. Вставить ник Quote
RialCom.ru Posted May 18, 2010 Posted May 18, 2010 Вы точно не понимаете принципа СИСТЕМЫ :( Вставить ник Quote
NvAriec Posted May 18, 2010 Author Posted May 18, 2010 Вы точно не понимаете принципа СИСТЕМЫ :(Принцип СИСТЕМЫ я понимаю, но какая выгода от этого ФСБ? Мы же оборудование покупаем не у них, откаты им никакие не идут. Лишние железяки у себя размещать хотят что ли? Сегодян при разговоре они заикнулись что им пофигу через какую транспортную систему мы будем им передавать трафик. Спросили - а почему нельзя через Ethernet - овтетили что слишком жирно будет :) Или это типо "крещение" такое? Смог вложить энное количество бабок на бесполезную вещь - работай. Нет - извольте. Верно я понимаю, что из СОРМовичка выходит обыкновенный IP трафик? Вставить ник Quote
Cr_net Posted May 18, 2010 Posted May 18, 2010 Вы точно не понимаете принципа СИСТЕМЫ :(Принцип СИСТЕМЫ я понимаю, но какая выгода от этого ФСБ? Мы же оборудование покупаем не у них, откаты им никакие не идут. Лишние железяки у себя размещать хотят что ли?Сегодян при разговоре они заикнулись что им пофигу через какую транспортную систему мы будем им передавать трафик. Спросили - а почему нельзя через Ethernet - овтетили что слишком жирно будет :) не слишком жирно, а слишком просто для того чтобы вы или тот кто вашу сеть сломает на вашей мыльнице за пять копеек мог включить порт мироринг.Или это типо "крещение" такое? Смог вложить энное количество бабок на бесполезную вещь - работай. Нет - извольте.Верно я понимаю, что из СОРМовичка выходит обыкновенный IP трафик? Не обыкновенный, а позолоченный, поэтому постройте для него отдельную транспортную систему на фомах и спите спокойно. Вставить ник Quote
Картуччо Posted May 18, 2010 Posted May 18, 2010 (edited) Странный аргумент про слишком жирный езернет. Вообще транспорты от съемников до пультов управления бывают очень разные, иногда даже на тысячи километров, построенные по возможностям и средствам оператора. Бегает обычный IP трафик. кто вашу сеть сломает на вашей мыльнице за пять копеек мог включить порт мироринг.Человек же пишет волокно будут тянуть. Edited May 18, 2010 by Картуччо Вставить ник Quote
Cr_net Posted May 18, 2010 Posted May 18, 2010 Человек же пишет волокно будут тянуть.и чё это меняет при наличии уже установленного свича на площадке оператора, проблема мегаадмину ещё один шнурок туда воткнуть? хотя бред конечно.не удивлюсь если у них требование организации доступа к сорм по выделенным каналам преимущественно tdm спущено сверху в регламенте, простейшая "защита от дурака", по крайней мере с fom и зелаксом больше вероятность что отдельный участок канала не идёт по сети спд оператора. Вставить ник Quote
zoro Posted May 18, 2010 Posted May 18, 2010 по прошлой работе- поставили два медика и прямое волокно ребятам.. они были довольны... Вставить ник Quote
j_box Posted May 18, 2010 Posted May 18, 2010 Два медика - туповаты для того, чтобы отследить исправность канала в случае чего. К тому же кто мешает где-то на муфте рубануть это волокно, спрямить его в ближайший подъезд и поставить еще два медика и тупым хабом отзеркалить трафик сормовича? в случае сдх транспорта - фиг влезешь. по крайней мере вот-так дешево и сердито отзеркалить трафик не получится. ( И только прошу не начинать песню про то, что и в эзернете все можно запаролить/зашифровать - что мама родная прочесть не сможет. ) Как минимум медики не смогут отследить есть между ними еще активные устройства или нет. sdh транспорт делает задачу нелегального зеркалирования трафика если не сложнее, то существенно дороже. Наверняка какой-нибудь Джеймс Бонд найдет утечку инфы в органах и в том же подъезде поставит еще два fom-а с аналогичными настройками/паролями и т.д. Только согласитесь - это задача уже гораздо менее тривиальная, чем пара медиков + хаб. Как минимум нужно умудриться получить пароли на руки. Впрочем, история с хабами тоже "забуксует", если канал сормовича окажется шифрованным. Так что единственным весомым аргументом "настоятельной просьбы органов" может служить желание контролировать исправность канала и удаленно диагностировать оборудование. Кроме того - фом умеет поднимать больше, чем требуется каналов. Поэтому не исключаю, что органам потребуется еще и "тестовый канал" (читай бесплатный доступ в интернет). А может чего и продадите с помощью этого фома? Мало ли кому еще сормовский канал потребуется... Вставить ник Quote
Картуччо Posted May 19, 2010 Posted May 19, 2010 j_box в самом деле думаете, что у фсб везде повально такие (относительно простые) схемы и легким движением руки нельзя отзеркалить в куче мест ? А насчет исправности канала, тут мфи софт по месяцу упавшие съемники поднять не может, что там тот канал :) И вообще есть ощущение, что местами оно им вообще нафиг не надо, раз в пол года очнутся, обнаружат, что не пашет, начинают разбираться. Вставить ник Quote
Giga-Byte Posted May 19, 2010 Posted May 19, 2010 у нас обычные Planet FT-806A,B стоят, раз выделенная жила. сам приходил и ставил. линк конечно же мониторю... Вставить ник Quote
plusplus Posted May 19, 2010 Posted May 19, 2010 Являемся городским провайдером. Необходимо установить СОРМович.УФСБ предлагает следующую систему: Сормович - Зелакс - FOM16 - FOM16 - Зелакс - оборудование УФСБ. Для чего такое надо? Неужели нельзя просто по Ethernet передать инфу? Особенно если учитывать, что из СОРМовича выходит Ethernet, и на стороне УФСБ ТОЖЕ Ethernet. Или я не понимаю принципа вышеописанной системы? Странное требование.Видимо в вашем УФСБ немного отстали от жизни и не совсем понимают принцип работы СОРМовича. Описанная схема была типовой несколько лет назад, когда абонентские скорости были от 64К до 512К. Объясните им, что сейчас скорость доступа в 10 Мбит - обычное явление и их схема будет работать с ошибками. СОРМович передает на ПУ отфильтрованные пакеты и, при клиентском доступе в 10М, эти пакеты в 2 Мбита просто не пролезут. Вставить ник Quote
мишаня сучков Posted May 19, 2010 Posted May 19, 2010 Они повсемесно Омегу требуют . с Питера приедут поставят и всё будет работать как часики . Вам всякие припоны строют так как вы стали ставить Сормовича ,а их съёмники с ним через жопу работают. Мой совет ставте Омегу и не партись. Вставить ник Quote
j_box Posted May 19, 2010 Posted May 19, 2010 Стоп! Насколько я помню. СОРМ = сервак, который может перелопатить весь трафик прова и отфильтровать нужную инфу. Этому серваку в онлайн режиме нужен только канал управления. 2М канал - за глаза для этих задач. Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов. Что будет сильно "напрягать" ФСБ необходимостью частого и малоэффективного апгрейда своих железок в "серых домах" в текущих реалиях. Это нонсен. Неужели вы считаете идиотами тех, кто все это придумал? Поэтому склоняюсь к мысли, что данный канал, все таки = канал управления. А вот сервак СОРМа должен уметь "ловить" и "хранить" нужный трафик необходимое время. Поэтому юзает ли юзер 64к или 10М - каналу управления фиолетово. Главное - гарантированный доступ к серверу. Режим доступа - максимально защищенный (снятие инфы с канала управления третьими лицами должно быть исключено). В идеале СОРМ ставится в отдельном помещении, куда запрещен доступ сотрудникам провайдера. В реале - даже если это отдельно стоящая стойка, с заведенными в нее проводами - гербовый пломбир разрешит вскрывать эту стойку только в исключительных случаях (например пожар). Да и вообще знать о существовании СОРМ, где и как он установлен - должны единицы сотрудников. С обязательной подписью о не разглашении инфы. Иначе - админы прова зачирикаются доказывать свою непричастность а зарубежным спецслужбам. Оно вам надо? Вся эта "вальяжность" до поры до времени... До первого прецедента, когда кто-то сможет подломить СИСТЕМУ и виноватым окажется небрежность провайдера ( будь то нечеткий пропускной режим, безконтрольный доступ к каналам управления третьих лиц (тех, кто не прописан приказом по организации о реализации плана СОРМ) и т.п. Вставить ник Quote
YuryD Posted May 19, 2010 Posted May 19, 2010 Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов. Что будет сильно "напрягать" ФСБ необходимостью частого и малоэффективного апгрейда своих железок в "серых домах" в текущих реалиях. Это нонсен. Неужели вы считаете идиотами тех, кто все это придумал? Ну то что Вы написали - говорит только о том что вы сормовича не видели... Вставить ник Quote
j_box Posted May 19, 2010 Posted May 19, 2010 Ну то что Вы написали - говорит только о том что вы сормовича не видели... Я видел только то, что мне положено видеть. Все остальное - догадки. В открытом доступе работу ОРМ - ИМХО лучше не обсуждать. Поэтому "не горю желанием" быть посвященным в это "таинство". Это мое личное ИМХО. Вставить ник Quote
YuryD Posted May 19, 2010 Posted May 19, 2010 Ну то что Вы написали - говорит только о том что вы сормовича не видели... Я видел только то, что мне положено видеть. Все остальное - догадки. В открытом доступе работу ОРМ - ИМХО лучше не обсуждать. Поэтому "не горю желанием" быть посвященным в это "таинство". Согласен, есть закон, мы его выполнили, а детали - это очень интимная штука. Одно замечание для ищущих - правильно выбирайте точки сбора, это то, о чем не пишут в прайсах... Вставить ник Quote
NvAriec Posted May 19, 2010 Author Posted May 19, 2010 Печально что те кто поставляет СОРМович только его поставляют, а никаких советов по установке (в каких точках я имею ввиду) ставить его не даёт. Тупо пришёл, поставил, настроил, пользуйтесь.... печаль-печальная. Вставить ник Quote
Magnum72 Posted May 19, 2010 Posted May 19, 2010 Стоп! Насколько я помню. СОРМ = сервак, который может перелопатить весь трафик прова и отфильтровать нужную инфу.Этому серваку в онлайн режиме нужен только канал управления. 2М канал - за глаза для этих задач. К сожалению нет, сервак занимается именно тем что шлет весь отзеркаленный трафик на пульт, это сделано по простой причине: Чтобы исключить хранение отфильтрованных данных на съемнике (вдруг ты ребутнешь съемник, почитаешь содержимое винта, и будешь вкурсе кого разрабатывает фсб?).Как вариант есть возможность организации "правильного" решения о котором пишете Вы, но для этого вам прийдется обеспецить необходимый класс зашиты комплекса сорма, а это отдельное помещение, охрана, специальный человек в штате итп. Вообщем в итоге проще и дешевле поучается купить влан на 100 мбит до пульта и хреначить по нему все что ловится. Печально что те кто поставляет СОРМович только его поставляют, а никаких советов по установке (в каких точках я имею ввиду) ставить его не даёт. Тупо пришёл, поставил, настроил, пользуйтесь.... печаль-печальная. Да ну? Вообщето все начинается с схемы утвержденной ФСБ и сормовичами. Если же "сормович" только тупо фильтрует трафик то большим провам, юзающим во внешку 10 х N гиг - до ФСБ нужен канал на несколько гигов. Официально рекомендация по ширине звучит так: на каждый гиг лицензии должно быть 10 мбит канала до пульта. Т.е. куплена лицензия на 4000 мбит, приготовьте 40 мбит. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.