Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    ГТ, МЭ и ЛВС - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

ГТ, МЭ и ЛВС

К списку тем | Добавить сообщение


Автор: oko | 77414 08.09.2017 00:08
Товарищи, возник интерес. У кого-нибудь есть опыт внедрения и согласования схемы "АС ГТ -> МЭ-по-ГТ -> внутренняя ЛВС организации -> МЭ-по-Конфи -> Интернет"? Ставили ли СОВ?
Попал в руки ПАК МЭ нужного класса (сертификат старый, но действующий, ага). Цель проста: обновление баз АВЗ + получение НС-инфы из ЛВС в НС-каталоги АС. Жесткие правила фильтрации трафика (1-2 адреса ЛВС, 1-2 сетевых протокола), наличие АВЗ, наличие СЗИ НСД. Можно автоматический режим по расписанию прикрутить (аля "однонаправленный шлюз для бедных") и побайтовую регистрацию принятых данных...
Дополнительный вопрос: SMB или FTP?
Заранее спасибо!

*в сторону* знаю, что по шаловливым ручкам чаще всего и бьют, но не покидает мысль, стоит ли овчинка выделки до вступления в силу новых Требований или нет смысла морочить голову себе и регулятору...

Автор: sekira | 77416 08.09.2017 07:12
аля "однонаправленный шлюз для бедных"

Да такие системы аттестовывали. Главное настроить однонаправленность.
Для ГИС и ИСПДн когда были требования СОВ ставили.

SMB

Автор: Dfg | 77812 12.09.2017 22:05
Имхо, лучше однонаправленный шлюз. Надежнее чем просто МЭ )

Автор: Юрий | 77820 13.09.2017 07:48
А кто может посоветовать однонаправленный шлюз для ГТ ?
внутренняя ЛВС организации -> ОШ -> АС ГТ (1Б)

Рубикон, СТРОМ-100 ? Есть опыт из последних (актуальных) аттестаций?

Автор: oko | 77841 14.09.2017 01:14
to Dfg
Надежнее по своей идее. Реализации, которые я видел (камешек в сторону Рубикона, кстати) не произвели впечатления. К тому же, альтернативы нет - разве что кто-то согласится махнуться сертифицированным ОНШ на АПКШ, ага :)

to sekira
Благодарю. Причина выбора SMB, поскольку разграничение средствами СЗИ НСД, а не какого-то там ftp-сервера, верно понимаю? А в части СОВ - отсутствие явного указания регулятора для ГТ?
И да, чистой однонаправленности на базе PF все равно не добиться - либо "сессия", либо правила для входящего и исходящего трафика. Конечно, вероятность взлома и дальнейшей утечки будет весьма призрачной, но... как это обходили, если не секрет?

Автор: oko | 77842 14.09.2017 01:20
*в догонку*
Есть еще вариант сетевую карту выставить в режим "только НС" средствами СЗИ НСД. Тогда в теории будет доп.рубеж = мандатному режиму (контроль потоков, ага). Но все равно остается сетевой доступ и некоторая вероятность брута по SMB/NetBios, что, кстати, этим самым СЗИ НСД не контролируется (протоколы, не брут) даже при аппаратных ИАФ (кто догадался - молодец - сами знаете разработчика, в которого следует кидать камни)...

Автор: sekira | 77846 14.09.2017 05:13
"отсутствие явного указания регулятора для ГТ"
но люди о и мы обычно делаем если функционал позволяет - для админов спокойнее и удобнее и в протоколе пару слов вне требований мол есть такое.
про SMB да. Но была и экзотика пришлось убеждать :))

"PF все равно не добиться"
вопрос красивости отчетов сканера и их описания в протоколе.

слишком много белых пятен - ждем новых документов.

можно приплести профили по МЭ но а) нелегитимно б) не очень много толку в "белых" вопросах.

Автор: Dfg | 77866 14.09.2017 14:04
To oko
Конечно если говорить о шлюзе то только хардкор на железе, с оторванным обратным каналом передачи данных.
Посмотрите З-кросс или стром как выше написали.

Если реализация на программном МЭ то уже не кошерно.

Просмотров темы: 421

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.