Comments 88
Управление информационной безопасности попросили написать:
«Ребята из Айти, вы тут так классно процитировали документацию StoneGate, но почему-то забыли упомянуть стоимость SSL VPN»
У меня соответственно вопрос, а какова стоимость такого решения?
«Ребята из Айти, вы тут так классно процитировали документацию StoneGate, но почему-то забыли упомянуть стоимость SSL VPN»
У меня соответственно вопрос, а какова стоимость такого решения?
Ссылка на документацию есть в статье. Мы хотели на конкретном примере разобрать технологию и помочь тем, кто в первый раз ее внедряет, не наступать на типовые грабли.
Прайсов в паблике нет. Цены начинаются тысяч от 5 долларов, а конкретные цифры можно запросить у любого дистрибьютора (например, у того же SafeLine).
Прайсов в паблике нет. Цены начинаются тысяч от 5 долларов, а конкретные цифры можно запросить у любого дистрибьютора (например, у того же SafeLine).
Осторожно спрошу: не проще ли построить систему на OpenVPN, все же более понятный клиент. Пользователям 1с все время держать открытый браузер… не самая гарантированно работающая мысль, мне кажется (особенно на фоне висящего и работающего сервиса OpenVPN, который по неосторожности закрыть сложнее). Опять же, имеем vendor lock со всеми вытекающими.
Или я сгущаю краски, и 5+ тыс у.е. того стоят? Ну, кроме что можно использовать алгоритм ГОСТ, но его-то к OpenVPN, мне кажется, прикручивали?
Или я сгущаю краски, и 5+ тыс у.е. того стоят? Ну, кроме что можно использовать алгоритм ГОСТ, но его-то к OpenVPN, мне кажется, прикручивали?
1. Пользователю не нужно постоянно держать открытым браузер, через него происходит только аутентификация и запуск приложения, после чего можно спокойно закрыть браузер.
2. OpenVPN — отличное решение для маленьких организаций и для тех, кому не надо выполнять требования законодательства по шифрованию данных по ГОСТ (например, при передаче персональных данных).
2. OpenVPN — отличное решение для маленьких организаций и для тех, кому не надо выполнять требования законодательства по шифрованию данных по ГОСТ (например, при передаче персональных данных).
1. Все равно не работает оно само собой…
2. Почему для маленьких? Вполне себе масштабируется… Про ГОСТ же — www.cryptocom.ru/products/openvpn.html первая же ссылка в гугле дала ответ.
Я вполне Вас понимаю, Вы написали по делу, но — я бы побоялся остаться с решением от одного вендора, который, может статься, через год не станет продавать железо в России. Про мобильных пользователей с iPad я молчу, там что делать с клиентским софтом?
Скажите, а почему Вы рассматриваете 8.3, она же вроде не релизная еще?
2. Почему для маленьких? Вполне себе масштабируется… Про ГОСТ же — www.cryptocom.ru/products/openvpn.html первая же ссылка в гугле дала ответ.
Я вполне Вас понимаю, Вы написали по делу, но — я бы побоялся остаться с решением от одного вендора, который, может статься, через год не станет продавать железо в России. Про мобильных пользователей с iPad я молчу, там что делать с клиентским софтом?
Скажите, а почему Вы рассматриваете 8.3, она же вроде не релизная еще?
1. Так в этом основной плюс и есть.
Хотя многие теоретики безопасности давно уже хоронят старый добрый IPSec и говорят, что SSL его полностью заменит, пока до этого далеко и Вы можете выбрать то, что в конкретном случае лучше подойдет: классический IPSec с клиентским ПО или SSL.
2. Мы как-то работали с МагПро и их SSL. Ребятам низкий поклон за то, что они реализовали ГОСТ для OpenVPN. Однако сертифицированная версия совсем не бесплатная. Цены в целом получатся соизмеримы со StoneSoft. В StoneSoft лично мне больше нравится платформа для публикации приложений, а так решение каждый выбирает на свой вкус. Ничего плохого о МагПро OpenVPN-ГОСТ сказать не могу.
3. Про решение одного вендора: допустим, МагПро даже не исчезают с рынка, а просто решают не продлевать сертификат ФСБ именно на то решение, которое вы используете. И все, Ваше решение уже не подходит для защиты Перс. данных. Увы, риски есть всегда, особенно когда дело касается сертифицированной криптографии.
4. С iPad и вообще планшетами отдельная песня. Не так давно Алексей Комаров опубликовал неплохую статью на эту тему.
5. Нам нужно было любое клиентское ПО для демонстрации работы решения. Сначала думали показать на примере Lotus Notes, а потом решили остановиться на всем знакомом 1C. Плюс его в том, что клиент 1С использует сразу несколько портов (а значит интереснее попробовать запаковать их в один 443-й) и знаком многим. Версия непринципиальна.
Хотя многие теоретики безопасности давно уже хоронят старый добрый IPSec и говорят, что SSL его полностью заменит, пока до этого далеко и Вы можете выбрать то, что в конкретном случае лучше подойдет: классический IPSec с клиентским ПО или SSL.
2. Мы как-то работали с МагПро и их SSL. Ребятам низкий поклон за то, что они реализовали ГОСТ для OpenVPN. Однако сертифицированная версия совсем не бесплатная. Цены в целом получатся соизмеримы со StoneSoft. В StoneSoft лично мне больше нравится платформа для публикации приложений, а так решение каждый выбирает на свой вкус. Ничего плохого о МагПро OpenVPN-ГОСТ сказать не могу.
3. Про решение одного вендора: допустим, МагПро даже не исчезают с рынка, а просто решают не продлевать сертификат ФСБ именно на то решение, которое вы используете. И все, Ваше решение уже не подходит для защиты Перс. данных. Увы, риски есть всегда, особенно когда дело касается сертифицированной криптографии.
4. С iPad и вообще планшетами отдельная песня. Не так давно Алексей Комаров опубликовал неплохую статью на эту тему.
5. Нам нужно было любое клиентское ПО для демонстрации работы решения. Сначала думали показать на примере Lotus Notes, а потом решили остановиться на всем знакомом 1C. Плюс его в том, что клиент 1С использует сразу несколько портов (а значит интереснее попробовать запаковать их в один 443-й) и знаком многим. Версия непринципиальна.
Имеем расклад такой: у Вами рекламируемого (пусть не напрямик, но product placement тут точно имеет место; впрочем, я не критикую, и даже вполне понимаю Вас) есть свои сильные и слабые стороны, и если сильные (публикация приложений) вполне интересны (хотя и непонятно, почему не пойти к конкурентам), то слабые заставляют задуматься. Слабости эти уже тут перечислили не раз:
1. Цена
2. Необходимость держать открытым ПО клиента
3. Привязка к вендору
4. Фирменный формат туннеля
При прочих равных остается: либо заморочиться с альтернативными решениями, либо надеяться на лучшее (что производителя не купят и не закроют, что он будет продлевать сертификацию крипто, что его железо будет всегда доступно, и его цена останется вменяемой...)
Другие варианты VPN-а (pptp, который есть в любой ОС), OpenVPN (который «из коробки» ГОСТ не умеет, и не идет в поставках ОС), IPSec-решения многих вендоров — выглядят также не идеально, но и не проигрывают сильно на фоне представленного решения (кроме темы про ГОСТ, но он и здесь прикручивается отдельно), потому столько вопросов и раздается.
Пока не очень разобрался, что у решения Stonesoft с масштабированием сети (если строим сеть доступа на всю страну, например) и резервированием (если железка вылетает)…
P.S. Cisco (такой-то гранд!) уже показала всей стране, где раки зимуют, когда, спасибо сертификации, пропала с рынка на полгода. За это время D-link (не к обеду будет помянут) со своими IPSec-способными железками неплохо поторговал. Уровень разный, что и говорить, но зависеть от вендора — всегда нехорошо, особенно если (как здесь видим) туннель нестандартный.
1. Цена
2. Необходимость держать открытым ПО клиента
3. Привязка к вендору
4. Фирменный формат туннеля
При прочих равных остается: либо заморочиться с альтернативными решениями, либо надеяться на лучшее (что производителя не купят и не закроют, что он будет продлевать сертификацию крипто, что его железо будет всегда доступно, и его цена останется вменяемой...)
Другие варианты VPN-а (pptp, который есть в любой ОС), OpenVPN (который «из коробки» ГОСТ не умеет, и не идет в поставках ОС), IPSec-решения многих вендоров — выглядят также не идеально, но и не проигрывают сильно на фоне представленного решения (кроме темы про ГОСТ, но он и здесь прикручивается отдельно), потому столько вопросов и раздается.
Пока не очень разобрался, что у решения Stonesoft с масштабированием сети (если строим сеть доступа на всю страну, например) и резервированием (если железка вылетает)…
P.S. Cisco (такой-то гранд!) уже показала всей стране, где раки зимуют, когда, спасибо сертификации, пропала с рынка на полгода. За это время D-link (не к обеду будет помянут) со своими IPSec-способными железками неплохо поторговал. Уровень разный, что и говорить, но зависеть от вендора — всегда нехорошо, особенно если (как здесь видим) туннель нестандартный.
У нас в плане несколько статей по разным решениям и проблемам в области ИБ.
Этот пост — туториал по конкретному решению, поэтому здесь столько Stonesoft. Цели доказать, что Stonesoft лучше конкурентов, не было.
Вы верно написали, что у всех решений есть и преимущества, и недостатки. Этому надо посвящать целый пост, наверное.
По поводу уровня цен: из нашего опыта могу сказать, что решения на Stonesoft выходят дешевле известных иностранных аналогов, но дороже той же С-терры (если здесь корректно говорить об аналоге). Если бы прайсы дистрьибьютеров были в паблике, я бы с радостью привел цифры, но увы. Цены можно запросить у какого-нибудь интегратора — так проще всего получить сравнение по нескольким вендорам. Пишите в личку — постараюсь помочь.
Этот пост — туториал по конкретному решению, поэтому здесь столько Stonesoft. Цели доказать, что Stonesoft лучше конкурентов, не было.
Вы верно написали, что у всех решений есть и преимущества, и недостатки. Этому надо посвящать целый пост, наверное.
По поводу уровня цен: из нашего опыта могу сказать, что решения на Stonesoft выходят дешевле известных иностранных аналогов, но дороже той же С-терры (если здесь корректно говорить об аналоге). Если бы прайсы дистрьибьютеров были в паблике, я бы с радостью привел цифры, но увы. Цены можно запросить у какого-нибудь интегратора — так проще всего получить сравнение по нескольким вендорам. Пишите в личку — постараюсь помочь.
Сомнительная технология, тем более для тетеньки-бухгалтера. Маленькие организации не потянут, а в крупной никто не будет терпеть бухгалтершу — дачницу. В России менталитет, большинство хранит базы на съемных носителях в сейфе, а вы тут доступ из интернета предлагаете.
Из нашего опыта, когда крупные организации внедряют эту технологию (то, что делали мы):
1) Когда необходимо подключить к корпоративным системам большое число маленьких удаленных офисов. Например, у вас есть 200 точек продаж или операционных касс в разных городах, в которых 1-2 компьютера.
2) Когда у компании много мобильных пользователей. Например, по всей стране ездят продавцы, которым постоянно надо подключаться к корпоративным системам.
1) Когда необходимо подключить к корпоративным системам большое число маленьких удаленных офисов. Например, у вас есть 200 точек продаж или операционных касс в разных городах, в которых 1-2 компьютера.
2) Когда у компании много мобильных пользователей. Например, по всей стране ездят продавцы, которым постоянно надо подключаться к корпоративным системам.
Сильная зависимость от интернета. Допустим ситуация, порвали оптику, погорело оборудование — точка стоит, не работает. Резервные каналы — дополнительные и часто необоснованные затраты. Логичнее использовать автономные решения с синхронизацией с центральным сервером.
А чем для мобильных пользователей плох, например, RDP?
А чем для мобильных пользователей плох, например, RDP?
Видимо, он не по ГОСТу.
В каждом конкретном случае выбирается свое решение.
RDP ничем не плох, к нему так же можно прикрутить ГОСТ (мы же говорим о сертифицированном решении), для этого нужно совершить немного больше телодвижений. И плюс ко всему, RDP более ресурсоемкий на стороне сервера, чем SSL VPN.
RDP ничем не плох, к нему так же можно прикрутить ГОСТ (мы же говорим о сертифицированном решении), для этого нужно совершить немного больше телодвижений. И плюс ко всему, RDP более ресурсоемкий на стороне сервера, чем SSL VPN.
Поясню к чему веду. Мне, как системному администратору, нужны железные аргументы, чтобы убедить руководителя (далекого от IT) в превосходстве данного решения над другими. Что потраченные деньги в долгосрочной перспективе обеспечат экономию, бесперебойность и безопасность деятельности, а таких доводов я не вижу. С другой стороны, технология интересна для любого IT специалиста, а вам большое спасибо за статью.
Это туториал, поэтому показать превосходство решения над другими цели не было.
Сейчас хороший аргумент за Stonesoft SSL — это наличие сертификата ФСБ на криптографию (именно для ssl).
Вообще, вендоры большие мастера доказывать именно руководителям, что их решение лучше прочих. Если реальная задача есть подобрать аргументы за какое-то решение, пишите в личку. Постараюсь помочь с материалами.
Сейчас хороший аргумент за Stonesoft SSL — это наличие сертификата ФСБ на криптографию (именно для ssl).
Вообще, вендоры большие мастера доказывать именно руководителям, что их решение лучше прочих. Если реальная задача есть подобрать аргументы за какое-то решение, пишите в личку. Постараюсь помочь с материалами.
Базы бывают разные, не только БП. И многие даже хотят своим клиентам организовать доступ к базе 1С в режиме реального времени. см. например 1c-b2b решение.
В названии статьи «толстый клиент» на скриншотах и параметрах запуска 1С «тонкий клиент». Для работы тонкого клиента 1С через SSL вообще не требуется никакой VPN
«Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».
Вариант 1 описывает подключение тонкого клиента 1С.
Вариант 2 описывает подключение файловой шары.
А где подключение толстого клиента к серверу 1С (а именно это ожидается глядя на название статьи)? С учетом того, что 1С бухгалтерия работает только в режиме толстого клиента, то именно этот вариант и интересен. А его в статье я как-то не смог найти.
Вариант 2 описывает подключение файловой шары.
А где подключение толстого клиента к серверу 1С (а именно это ожидается глядя на название статьи)? С учетом того, что 1С бухгалтерия работает только в режиме толстого клиента, то именно этот вариант и интересен. А его в статье я как-то не смог найти.
Собственно, вот подключение толстого клиента к серверу 1С, описанное в Варианте 2.
Предложите бухгалтеру поработать в таком варианте, и когда в базе станет больше 100 документов, бухгалтер вас проклянёт всеми проклятиями мира. Файловый вариант бухгалтерии даже по локальной сети работает крайне тяжело (очень высокие требования к пропускной способности и времени отклику), а уж через тоннель будет вообще атас. А если бухгалтер не один, а несколько — насладитесь непрерывными ошибками «превышено время ожидания блокировки»
Тут совсем путаницу развели. Поясню: на скриншоте выше — тонкий клиент (в терминах 1С).
Он существует как в файловом, так и в клиент-серверном варианте. Еще у них есть толстый клиент. Он тоже умеет работать как в фаловом так и в клиент-серверном варианте. А еще есть web клиент. Он здесь не описан. Работает в браузере. Как ни странно, ему тоже всё равно файловая база или клиент-серверная.
Он существует как в файловом, так и в клиент-серверном варианте. Еще у них есть толстый клиент. Он тоже умеет работать как в фаловом так и в клиент-серверном варианте. А еще есть web клиент. Он здесь не описан. Работает в браузере. Как ни странно, ему тоже всё равно файловая база или клиент-серверная.
Не очень красиво написал, но думаю понятно.
Нет, в терминах 1С это именно толстый клиент, как написано на скриншоте. Тонкий клиент только выглядит как толстый, но фактически им не является.
s61.radikal.ru/i171/1304/ae/453e2cc126c0.jpg
s61.radikal.ru/i171/1304/ae/453e2cc126c0.jpg
Извините, но вы написали бред.
Что значит настоящий или ненастоящий? Тонкий и веб-клиенты отличаются только тем, что в тонком есть приложение от компании 1С, которое выполняет некоторые расчеты на стороне клиента, а веб-клиент — это набор JavaScript комманд, которые выполняют точно те же действия но в браузере. В обоих случаях (тонкий и веб-клиент) происходит подключение к одному и тому же опубликованному на веб-сайте URL и основные расчеты происходят где-то там (на кластере 1С или в случае файловой базы в компоненте для Apache или IIS). А если сравнивать тонкость по скорости работы, то веб-клиент тормоз еще тот.
Что значит настоящий или ненастоящий? Тонкий и веб-клиенты отличаются только тем, что в тонком есть приложение от компании 1С, которое выполняет некоторые расчеты на стороне клиента, а веб-клиент — это набор JavaScript комманд, которые выполняют точно те же действия но в браузере. В обоих случаях (тонкий и веб-клиент) происходит подключение к одному и тому же опубликованному на веб-сайте URL и основные расчеты происходят где-то там (на кластере 1С или в случае файловой базы в компоненте для Apache или IIS). А если сравнивать тонкость по скорости работы, то веб-клиент тормоз еще тот.
Мы рассматривали в статье принцип проброса толстых клиентов в их классическом представлении. У 1С же немного отличная терминология. Дабы не было путаницы, вот ссылки на вики, где можно почитать о различиях толстого и тонкого клиента.
1С мы взяли для примера, таким образом можно прокинуть любой толстый клиент, например, Lotus Notes.
1С мы взяли для примера, таким образом можно прокинуть любой толстый клиент, например, Lotus Notes.
Все-таки терминологию 1С подучите, раз пишете о ней. «Тонкий» и «веб» разные вещи.
> «Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.
Эээ… Даже нет слов. Вы бы хоть пакеты посниффали в режиме тонкого и толстого клиента 1С между клиентом и сервером. Это совершенно разные режимы работы.
Тонкий клиент 1C — это настоящий тонкий клиент, который отправляет серверу команды в XML формате, получает от него готовые XML данные и представляет их на экране. Внутрях все XML-данные раскладываются в DOM-модель используя libxml2. Веб-клиент делает то же самое, только с помощью браузера, разгребая всё ява скриптом и активно работая с DOM средствами браузера.
Никакого отношения тонкий и веб-клиент не имеют к толстому клиенту.
Эээ… Даже нет слов. Вы бы хоть пакеты посниффали в режиме тонкого и толстого клиента 1С между клиентом и сервером. Это совершенно разные режимы работы.
Тонкий клиент 1C — это настоящий тонкий клиент, который отправляет серверу команды в XML формате, получает от него готовые XML данные и представляет их на экране. Внутрях все XML-данные раскладываются в DOM-модель используя libxml2. Веб-клиент делает то же самое, только с помощью браузера, разгребая всё ява скриптом и активно работая с DOM средствами браузера.
Никакого отношения тонкий и веб-клиент не имеют к толстому клиенту.
+1 Молодец
Походу, автор маркетолог, а не технарь. Интересно, у них всё так?)
Походу, автор маркетолог, а не технарь. Интересно, у них всё так?)
Автор — специалист по сетевой безопасности.
Пост не об 1С. Толстый и тонкий клиенты 1С приведены в посте в качестве примера приложений, работающих по нескольким портам с серверной частью. Цель поста — помочь с настройкой ssl-vpn для произвольного клиентского ПО.
Мы запросили информацию по работе клиента у самих 1С'ников. В принципе, ничего нового они не сказали, все уже есть выше.
Пост не об 1С. Толстый и тонкий клиенты 1С приведены в посте в качестве примера приложений, работающих по нескольким портам с серверной частью. Цель поста — помочь с настройкой ssl-vpn для произвольного клиентского ПО.
Мы запросили информацию по работе клиента у самих 1С'ников. В принципе, ничего нового они не сказали, все уже есть выше.
Круто. Пост не об 1с, но все ваши скиллы лично у меня вызывают сомнения после этого поста.
Вы так и не ответили по теме в моих вопросах.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
Вы так и не ответили по теме в моих вопросах.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
В статье этот момент описан.
Когда пользователь жмет на иконку приложения на портале, загружается Stonesoft Access client (в случае, если опубликовано «не-веб» приложение).
Помимо этого, на ПК должно быть установлено КриптоПро CSP для поддержки шифрования по ГОСТ и, само собой, толстый клиент опубликованного приложения.
Когда пользователь жмет на иконку приложения на портале, загружается Stonesoft Access client (в случае, если опубликовано «не-веб» приложение).
Помимо этого, на ПК должно быть установлено КриптоПро CSP для поддержки шифрования по ГОСТ и, само собой, толстый клиент опубликованного приложения.
Понятно. Ничего нового. Может сама по себе железка неплохая.
Но для применения на существующих инфраструктурах корпоративных не нахожу ей места. Разве что чудодейственный откат поможет.
Всё это есть на цисках, очень привычно, очень понятно, очень проверено, очень отлажено, очень унифицировано.
Но для применения на существующих инфраструктурах корпоративных не нахожу ей места. Разве что чудодейственный откат поможет.
Всё это есть на цисках, очень привычно, очень понятно, очень проверено, очень отлажено, очень унифицировано.
Именно потому что на Cisco так все привычно и отлажено, мы и писали туториал не по Cisco. Этого и так полные интернеты.
Мы Cisco Gold Partner на протяжении многих лет и их оборудования через нас проходит на порядок больше, чем StoneSoft. Но за последние пару лет на Российском рынке наблюдается просто взрыв продаж StoneSoft. Поэтому мы решили, что по этому новому решению туториал как раз может пригодится.
Мы Cisco Gold Partner на протяжении многих лет и их оборудования через нас проходит на порядок больше, чем StoneSoft. Но за последние пару лет на Российском рынке наблюдается просто взрыв продаж StoneSoft. Поэтому мы решили, что по этому новому решению туториал как раз может пригодится.
«Тонкий клиент» у 1С только называется тонким, по сути же, это самый обычный толстый клиент.
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».
Помимо этого, в статье рассмотрены 2 варианта публикации: «тонкий клиент» и «толстый клиент» 1С.
«Настоящий» тонкий клиент у 1С называется «веб-клиент».
а что с браузерами/операционными системами? На Chrome+Win8 заработает?
Вы же в курсе, что у 1С для удаленной работы по защищенному каналу есть свое решение — link.1c.ru
При этом нет необходимости в каких-то сложных сисадминских танцах с бубном и все позиционируется как сверхпонятное для любой домохозяйки.
Так в чем же преимущество вашего «велосипеда» в вопросе получения удаленного доступа с любого домашнего компьютера главбуха или его родственников (у которых его застал экстренных звонок директора) в его родную Бухгалтерию (которая ни разу не на управляемых формах)?
При этом нет необходимости в каких-то сложных сисадминских танцах с бубном и все позиционируется как сверхпонятное для любой домохозяйки.
Так в чем же преимущество вашего «велосипеда» в вопросе получения удаленного доступа с любого домашнего компьютера главбуха или его родственников (у которых его застал экстренных звонок директора) в его родную Бухгалтерию (которая ни разу не на управляемых формах)?
Вы привязываетесь к примеру c 1C. Суть статьи в другом. В данном случае речь идет про технологию организации защищенного удаленного доступа к ресурсам компании. Это может быть почта, внутренний портал, какая-то шара, просто какой-то сервис на базе Клиент-Сервер и т.д… Решение StoneSoft ничем особенным не отличается (я так понимаю) от решений Cisco или аналогов в части построения SSL VPN, однако имеет одно неоспоримое преимущество – поддержку ГОСТ-шифрования при реализации SSL VPN.
Простите, а можно такой вопрос:
У меня дома компьютер с Ubuntu, получится у меня работать через вашу систему, если я поставлю на него 1C 8.3 (у него вроде есть клиент для Linux)?
У меня дома компьютер с Ubuntu, получится у меня работать через вашу систему, если я поставлю на него 1C 8.3 (у него вроде есть клиент для Linux)?
Шлюзу SSL VPN нет разницы, какая ОС стоит на клиентском компьютере. Есть 2 условия, необходимых для того, чтобы все работало:
1. У вас стоит КриптоПро CSP (для шифрования по ГОСТ).
2. У вас стоит толстый клиент.
Если оба условия выполнены, то все будет работать.
1. У вас стоит КриптоПро CSP (для шифрования по ГОСТ).
2. У вас стоит толстый клиент.
Если оба условия выполнены, то все будет работать.
Вы имеете ввиду «Толстый клиент» 1С?
Толстый клиент любого приложения, которое вы хотите пробросить. Например, клиент 1С.
Понятно. А как 1С догадается, что ему за своей базой по адресу 10.30.0.238 нужно идти в VPN?
Это прописано в свойствах ресурса (Tunnel Set) — IP-адрес сервера, порты, команда с параметрами для запуска толстого клиента.
Хорошо, задам вопрос по-другому. На десктопных ОС есть, грубо говоря, три способа направить трафик по нужному нам направлению, например — в VPN, так, чтобы приложение этого не заметило
1) Создать сетевой адаптер, который будет выглядеть для ОС «как настоящий», а на самом деле будет входной точкой туннеля, и завернуть трафик туда при помощи маршрутов (OpenVPN TAP-Win32, Linux TAP, PPTP и т.п.,)
2) Завернуть трафик еще в пространстве пользователя — на уровне сокетов, если позволяет ОС (например, Client for MS ISA Server)
3) Завернуть трафик в тоннель на уровне ядра — так работает IPSEC
А теперь — собственно, вопрос: какой способ используется в Stonesoft VPN, и какое дополнительное ПО нужно поставить, чтобы этот способ заработал на клиентской ОС? Потому что «просто так» из этих трех способов под Windows, например, заработает только IPSEC и всякие PPTP/L2TP (но нужны админские права на настройку). Под Linux есть еще TUN/TAP адаптеры, то чтобы их создать тоже нужны админские права
1) Создать сетевой адаптер, который будет выглядеть для ОС «как настоящий», а на самом деле будет входной точкой туннеля, и завернуть трафик туда при помощи маршрутов (OpenVPN TAP-Win32, Linux TAP, PPTP и т.п.,)
2) Завернуть трафик еще в пространстве пользователя — на уровне сокетов, если позволяет ОС (например, Client for MS ISA Server)
3) Завернуть трафик в тоннель на уровне ядра — так работает IPSEC
А теперь — собственно, вопрос: какой способ используется в Stonesoft VPN, и какое дополнительное ПО нужно поставить, чтобы этот способ заработал на клиентской ОС? Потому что «просто так» из этих трех способов под Windows, например, заработает только IPSEC и всякие PPTP/L2TP (но нужны админские права на настройку). Под Linux есть еще TUN/TAP адаптеры, то чтобы их создать тоже нужны админские права
Вопрос очень интересный. Вызвал бурную полемику у нас в отделе ИБ.
Поскольку мы не разработчики, решили гипотезы не писать и обратиться напрямую к вендору. Финляндия не близко, поэтому придется немного подождать. Как только у нас будет точная информация, сразу ей поделимся.
Поскольку мы не разработчики, решили гипотезы не писать и обратиться напрямую к вендору. Финляндия не близко, поэтому придется немного подождать. Как только у нас будет точная информация, сразу ей поделимся.
Уважаемый автор!
Ваша статья, честно говоря, вызвала у меня больше вопросов, чем ответов. Начну с того, что для установки и хотя бы минимального обслуживания системы необходимо знать совершенно точно, нужно ли что-то устанавливать на клиентскую машину или нет. Если же даже этот вопрос вызывает бурную полемику, то, выходит, установкой и настройкой системы вы не занимаетесь. Это же следует и стиля ваших ответов, который более характерен для маркетологов, нежели для технарей. В частности, вы не смогли сообщить практически ни одного технического аспекта, касающегося архитектуры и функционирования системы, зато забираетесь в 152 ФЗ, сертификации и прочих «бумажных» вопросах. Из этого можно сделать вывод, что ваш отдел — не технический, а, скорее, юридический. Вопросы, касающиеся закона о ПД, тоже очень интересны, но, к сожалению, формат вашей статьи совершенно не располагает к обсуждению именно юридических моментов.
С одной стороны, очень хорошо, что финская компания занялась продвижение своих технологий на нашем рынке, и даже позаботилась о сертификате ФСБ. Но, видимо, по всем техническим вопросам российским обладателям вашей системы придется общаться с финскими специалистами, а Финляндия, как вы правильно заметили, не близко )
Ответ на свой вопрос я уже нашел сам — на сайте вашей головной организации есть Stonesoft SSL VPN 1.5 Datasheet, а в нем сказано: «Application support. All web-based applications. Virtually all IP (TCP/UDP) based applications, dynamically downloaded access client via Java or ActiveX for crossplatform support (Windows, OS X and Linux)». Жаль, что поиск по своим же мануалам занимает у вас столько времени.
Вообще, судя по съехавшей верстке и непереведенным заголовкам на вашем российском сайте, компания Stonesoft только начинает свой путь в нашей стране. Желаю вам удачи, и прошу, если будет возможность, писать еще про ваше оборудование. В частности, интересна была бы статья, в которой рассказывалось бы об аппаратной начинке SSL VPN — какая платформа, CPU/SoC, операционная система, отладочные порты, где и как производится железо. Неплохо было бы прочитать и о нагрузочном тестировании — какова максимальная скорость и задержки внутри VPN, загрузка CPU клиента и аппаратной платформы и т.п.
Ваша статья, честно говоря, вызвала у меня больше вопросов, чем ответов. Начну с того, что для установки и хотя бы минимального обслуживания системы необходимо знать совершенно точно, нужно ли что-то устанавливать на клиентскую машину или нет. Если же даже этот вопрос вызывает бурную полемику, то, выходит, установкой и настройкой системы вы не занимаетесь. Это же следует и стиля ваших ответов, который более характерен для маркетологов, нежели для технарей. В частности, вы не смогли сообщить практически ни одного технического аспекта, касающегося архитектуры и функционирования системы, зато забираетесь в 152 ФЗ, сертификации и прочих «бумажных» вопросах. Из этого можно сделать вывод, что ваш отдел — не технический, а, скорее, юридический. Вопросы, касающиеся закона о ПД, тоже очень интересны, но, к сожалению, формат вашей статьи совершенно не располагает к обсуждению именно юридических моментов.
С одной стороны, очень хорошо, что финская компания занялась продвижение своих технологий на нашем рынке, и даже позаботилась о сертификате ФСБ. Но, видимо, по всем техническим вопросам российским обладателям вашей системы придется общаться с финскими специалистами, а Финляндия, как вы правильно заметили, не близко )
Ответ на свой вопрос я уже нашел сам — на сайте вашей головной организации есть Stonesoft SSL VPN 1.5 Datasheet, а в нем сказано: «Application support. All web-based applications. Virtually all IP (TCP/UDP) based applications, dynamically downloaded access client via Java or ActiveX for crossplatform support (Windows, OS X and Linux)». Жаль, что поиск по своим же мануалам занимает у вас столько времени.
Вообще, судя по съехавшей верстке и непереведенным заголовкам на вашем российском сайте, компания Stonesoft только начинает свой путь в нашей стране. Желаю вам удачи, и прошу, если будет возможность, писать еще про ваше оборудование. В частности, интересна была бы статья, в которой рассказывалось бы об аппаратной начинке SSL VPN — какая платформа, CPU/SoC, операционная система, отладочные порты, где и как производится железо. Неплохо было бы прочитать и о нагрузочном тестировании — какова максимальная скорость и задержки внутри VPN, загрузка CPU клиента и аппаратной платформы и т.п.
Момент установки Access Client описан как в статье, так и в нескольких комментариях.
Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.
Про решения Stonesoft обязательно будем писать еще статьи, как и по решениям других вендоров.
Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.
Про решения Stonesoft обязательно будем писать еще статьи, как и по решениям других вендоров.
Спасибо за ответ!
Момент загрузки Access Client действительно описан и в статье, и в комментариях, тем более не совсем понятно, почему он вызвал в вашей компании «бурную полемику». Но ни в статье, ни в комментариях не сказано, что он на Java, то есть ее надо ставить дополнительно (для не-Windows систем), а про Крипто-ПРО написано, хотя он — просто криптопровайдер, и без него ваш клиент работать скорее всего будет, правда, без ГОСТ-шифрования. Я просто хотел получить более развернутый ответ на свой вопрос, а не билет в Финляндию )
>>Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.
Скажите, а если контора, в которой я работаю, закажет у вас Stonesoft VPN, а потом это оборудование заглючит, вы мне тоже напишите, что оно «не ваше»? ))
Момент загрузки Access Client действительно описан и в статье, и в комментариях, тем более не совсем понятно, почему он вызвал в вашей компании «бурную полемику». Но ни в статье, ни в комментариях не сказано, что он на Java, то есть ее надо ставить дополнительно (для не-Windows систем), а про Крипто-ПРО написано, хотя он — просто криптопровайдер, и без него ваш клиент работать скорее всего будет, правда, без ГОСТ-шифрования. Я просто хотел получить более развернутый ответ на свой вопрос, а не билет в Финляндию )
>>Непонятно, почему Вы пишите «ваш» сайт и «ваше» оборудование. Мы не являемся производителем.
Скажите, а если контора, в которой я работаю, закажет у вас Stonesoft VPN, а потом это оборудование заглючит, вы мне тоже напишите, что оно «не ваше»? ))
Я так понимаю, в статье идет речь про так называемый Clientless SSL VPN (WebVPN), когда мы публикуем ресурсы для доступа. Вопросы:
1. Таким образом мы можем опубликовать любой сервис или приложение? Допустим, у меня есть программа для работы с каким-то сервером (реализует некий сервис). Сможем такое приложение опубликовать? Нет каких-то ограничений?
2. Есть у StoneGate Client SSL VPN? Когда речь идет про установку полноценного клиента на компьютер пользователя (аналог Cisco AnyConnect) с последующим открытием доступа во всю сеть компании? Если есть, то работает ли ПО, например, с ключевым носителем eToken, куда записан контейнер и сертификат пользователя? Где можно почитать более детально?
3. Есть ли у компании StoneSoft удобная система управления политиками доступа пользователей и устройств? Либо все в удобной форме реализуется средствами интерфейса самого шлюза StoneGate SSL VPN?
P.S. Все вопросы заданы из расчета использования ГОСТ-шифрования.
1. Таким образом мы можем опубликовать любой сервис или приложение? Допустим, у меня есть программа для работы с каким-то сервером (реализует некий сервис). Сможем такое приложение опубликовать? Нет каких-то ограничений?
2. Есть у StoneGate Client SSL VPN? Когда речь идет про установку полноценного клиента на компьютер пользователя (аналог Cisco AnyConnect) с последующим открытием доступа во всю сеть компании? Если есть, то работает ли ПО, например, с ключевым носителем eToken, куда записан контейнер и сертификат пользователя? Где можно почитать более детально?
3. Есть ли у компании StoneSoft удобная система управления политиками доступа пользователей и устройств? Либо все в удобной форме реализуется средствами интерфейса самого шлюза StoneGate SSL VPN?
P.S. Все вопросы заданы из расчета использования ГОСТ-шифрования.
1. Опубликовать можно любое приложение, если вы знаете, какие оно использует порты.
2. Есть такой клиент, называется Access Client, который работает по SSL, есть Stonesoft IPSec VPN Client, который работает, соответственно, через IPSec. С помощью этих клиентов можно организовать доступ во всю сеть. eToken поддерживается, почитать более подробно можно здесь.
3. Управлять политиками доступа вполне удобно с веб-интерфейса администрирования самого шлюза SSL VPN.
2. Есть такой клиент, называется Access Client, который работает по SSL, есть Stonesoft IPSec VPN Client, который работает, соответственно, через IPSec. С помощью этих клиентов можно организовать доступ во всю сеть. eToken поддерживается, почитать более подробно можно здесь.
3. Управлять политиками доступа вполне удобно с веб-интерфейса администрирования самого шлюза SSL VPN.
Клёво. Вы рекламировали технологию SSL VPN, или запуск приложений с сайта, или 1с с толстым клиентом по сети, или производителя StoneSoft, или себя?
1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.
Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
Без обид, поясните, если что-то пропустил.
1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.
Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
Без обид, поясните, если что-то пропустил.
Это туториал. Просто делимся опытом. Ну и, наверное, параллельно рекламируем себя. Должны же мы хоть что-то рекламировать, раз блог корпоративный:)
1) Это туториал по решению Stonesoft. Основные вендоры, с которыми мы работаем по направлению VPN, — это Cisco, CheckPoint, Stonesoft, С-терра и КриптоПро. Будет что-то интересное, напишем туториал и по cisco. Вас интересует именно этот вендор?
Это решение Stonesoft не позиционирует, как конкурента роутеров Cisco. Совершенно другой класс продуктов. Я уже писал в комментариях ниже на эту тему.
2) Клиент 1С взяли просто для примера, потому что он многим знаком, использует несколько своих портов и его интересно было попробовать «упаковать» в ГОСТовый SSL VPN. RDP заворачивается в SSL еще проще.
У нас был опыт крупного проекта, где RDP заворачивалось в SSL с сертифицированной криптографией на базе решений самого Microsoft + КриптоПро. Можно подготовить туториал и по этой теме, если вопрос интересен.
3) 1С был взят для примера, поэтому нагрузку не мерили. Нагрузка зависит от клиента, который пробрасывается через туннель, плюс накладные расходы на криптографию (сильно зависят от характера трафика, в частности его фрагментированности).
4) Stonesoft мы не рекламируем. Если бы дистрибьютеры публиковали свои прайсы в паблике, мы бы с радостью поделились ссылкой. Но их легко можно запросить. Если интересно, пишите в личку. Дам контакты продавцов.
1) Это туториал по решению Stonesoft. Основные вендоры, с которыми мы работаем по направлению VPN, — это Cisco, CheckPoint, Stonesoft, С-терра и КриптоПро. Будет что-то интересное, напишем туториал и по cisco. Вас интересует именно этот вендор?
Это решение Stonesoft не позиционирует, как конкурента роутеров Cisco. Совершенно другой класс продуктов. Я уже писал в комментариях ниже на эту тему.
2) Клиент 1С взяли просто для примера, потому что он многим знаком, использует несколько своих портов и его интересно было попробовать «упаковать» в ГОСТовый SSL VPN. RDP заворачивается в SSL еще проще.
У нас был опыт крупного проекта, где RDP заворачивалось в SSL с сертифицированной криптографией на базе решений самого Microsoft + КриптоПро. Можно подготовить туториал и по этой теме, если вопрос интересен.
3) 1С был взят для примера, поэтому нагрузку не мерили. Нагрузка зависит от клиента, который пробрасывается через туннель, плюс накладные расходы на криптографию (сильно зависят от характера трафика, в частности его фрагментированности).
4) Stonesoft мы не рекламируем. Если бы дистрибьютеры публиковали свои прайсы в паблике, мы бы с радостью поделились ссылкой. Но их легко можно запросить. Если интересно, пишите в личку. Дам контакты продавцов.
Такое ощущение, что статью писал технарь, а отвечает маркетолог.
Вы очень ловко используете маркетинговые ответы на технические вопросы. В итоге блаблабла и ничего конкретного.
1) Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит? Спросите у ваших технарей. Это ж туториал. На это хоть могли ответить?
Вообще, я понимаю, что это социальный маркетинг и такими статьями вы хотите повысить рейтинг компании и привлечь клиентов. Но уж если пишете про какую-то хреновину, то пишите про неё исчерпывающе. Не говорите глупостей, что Cisco и Stonesoft — это разный класс. Stonesoft до классового набора Cisco ещё ой как далеко.
2) Коль вы утверждаете, что показали толстый клиент, попросите главбуха одного из ваших больших-пребольших клиентов поработать в таком толстом клиенте. То, что вы показали — постится через вэб как два пальца об сервак.
3) Сколько бы не было продажников, какие бы не были технологии, в каком бы году это не происходило, а в ответе на технические вопросы маркетологи делают копипаст, не меняя ни одной буквы.
Соль в том, что большинство переходит на RDP именно из-за 1с. Так как гонять по сети его данные очень напряжно, и куда проще гонять по сети картинку с RDP.
Запусти вы 1с толстый клиент через SSL VPN, а особенно, если это ваши большие-пребольшие клиенты, WANа не хватит в центре, а мобильные пользователи вряд ли смогут нормально поработать.
Вообщем, если б вы с такой презентацией пришли мне продавать какое-то решение, ушли бы с плохим настроением.
4) Снова глупости. Есть GPL, нет GPL — ebay. Нет даже там, то порядок цен точно вы можете сказать. Или вы его не знаете и за каждым чихом идёте к дистрибьютору? Запросить легко можно уже и без вашего участия. Хотелось увидеть исчерпывающую информацию в статье.
Вы очень ловко используете маркетинговые ответы на технические вопросы. В итоге блаблабла и ничего конкретного.
1) Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит? Спросите у ваших технарей. Это ж туториал. На это хоть могли ответить?
Вообще, я понимаю, что это социальный маркетинг и такими статьями вы хотите повысить рейтинг компании и привлечь клиентов. Но уж если пишете про какую-то хреновину, то пишите про неё исчерпывающе. Не говорите глупостей, что Cisco и Stonesoft — это разный класс. Stonesoft до классового набора Cisco ещё ой как далеко.
2) Коль вы утверждаете, что показали толстый клиент, попросите главбуха одного из ваших больших-пребольших клиентов поработать в таком толстом клиенте. То, что вы показали — постится через вэб как два пальца об сервак.
3) Сколько бы не было продажников, какие бы не были технологии, в каком бы году это не происходило, а в ответе на технические вопросы маркетологи делают копипаст, не меняя ни одной буквы.
Соль в том, что большинство переходит на RDP именно из-за 1с. Так как гонять по сети его данные очень напряжно, и куда проще гонять по сети картинку с RDP.
Запусти вы 1с толстый клиент через SSL VPN, а особенно, если это ваши большие-пребольшие клиенты, WANа не хватит в центре, а мобильные пользователи вряд ли смогут нормально поработать.
Вообщем, если б вы с такой презентацией пришли мне продавать какое-то решение, ушли бы с плохим настроением.
4) Снова глупости. Есть GPL, нет GPL — ebay. Нет даже там, то порядок цен точно вы можете сказать. Или вы его не знаете и за каждым чихом идёте к дистрибьютору? Запросить легко можно уже и без вашего участия. Хотелось увидеть исчерпывающую информацию в статье.
В чем приемущества применения данной технологии, скажем вместо S-terra CSP VPN Client или RVPN, которая стоит к тому же дешевле, и которая сертифицирована ФСТЭК, ФСБ и также работает по разным ГОСТам 28147-89 и ГОСТ Р 34.10-20**? Спасибо.
Ну хорошо, а перед ФПСУ VPN Client или FPSU TLS? В своем вопросе я не имел ввиду протоколы туннелирования, преимущества которых перед друг другом достаточно размыты и упираются в сложность закрытого ключа. Есть цель создать туннель, почему выбрать это а не другое? Должно же быть что-то «уникальное» у этого продукта. К примеру у S-terra CSP VPN Client лично мне не нравится ПО и процесс его настройки у клиентов, а у ФПСУ что-то иное, описанное в посте на хабре. Если я использую какой-то продукт для туннелирования, имеет ли смысл обдумывать вариант перехода на Stonesoft SSL, или это те же яйца только в профиль? Только без рекламы.
Удобство или неудобство продукта — понятия очень субъективные.
Можно развернуть стенд и «пощупать» решение самому, после чего сделать выводы для себя.
Процесс получения демо-лицензии, необходимой для тестирования, описан здесь.
Можно развернуть стенд и «пощупать» решение самому, после чего сделать выводы для себя.
Процесс получения демо-лицензии, необходимой для тестирования, описан здесь.
«Доступ запрещен. Просмотр файла /support/download.php запрещен.»
Это с учётом уже имеющейся регистрации.
Продуктом заинтересован, но брать без тестирования не есть разумно, а физическая удалённость от реселлеров исключает возможность взять железку на поиграться.
Сообщите, пожалуйста, существует ли возможность «погонять» в частности virtual appliance SSL VPN?
Это с учётом уже имеющейся регистрации.
Продуктом заинтересован, но брать без тестирования не есть разумно, а физическая удалённость от реселлеров исключает возможность взять железку на поиграться.
Сообщите, пожалуйста, существует ли возможность «погонять» в частности virtual appliance SSL VPN?
Хорошее решение конечно у стоунсофта, но когда же вы получите сертификат ФСБ на обычный туннель, а не только на SSL. а то приходиться ставить CISCO с C-Tеррой.
Я так и не понял, (нафига козе баян) зачем раскошеливаться на это решение, если оно уже есть в составе продуктов других производителей, которые предлагают гораздо больший ассортимент функциональных возможностей. И самое важное, что продукты эти уже применяются в большинстве случаев. Максимум — нужно докупить недорогую лицензию. Но не новый продукт со всеми вытекающими.
Это решение корпоративного уровня, а на корпоративном уровне зачастую происходит такое «распадение» функций на разные железки.
На примере Cisco:
1) Ваша маленькая контора выросла и вы покупаете первый и единственный роутер (ISR). В нем есть и межсетевой экран, какая-никакая IPS и VPN до филиала построить можно. Ваши потребности в безопасности удовлетворены.
2) Вы растете, растет нагрузка и на сеть, и на сетевое оборудование. В роутере появляются специализированные модули, а вы докупаете еще и Cisco ASA. Ваш роутер разгружен, у вас уже довольно качественный deep packet inspection и специализированная плата в ASA обсчитывает криптографию для VPN на порядок быстрее. Вы снова вполне удовлетворены.
3) Рост продолжается. Вам снова надо разгрузить оборудование от специфических задач, появляются новые потребности (например, та же сертифицированная криптография по ГОСТ). Вы покупаете специализированное решение от DDOS, внедряете DLP, решаете приобрести SSL-VPN-концентратор (например, тот же StoneSoft) и т.д.
То есть, если для ваших потребностей достаточно будет, как вы пишите, докупить недорогую лицензию, то именно это вам и нужно сделать. Городить огород с выделенным SSL-шлюзом смысла нет. А если руководство поставило вам задачу подключить по VPN к корпоративной системе 5000 пользователей, то одной лицензией дело скорее всего не обойдется.
На примере Cisco:
1) Ваша маленькая контора выросла и вы покупаете первый и единственный роутер (ISR). В нем есть и межсетевой экран, какая-никакая IPS и VPN до филиала построить можно. Ваши потребности в безопасности удовлетворены.
2) Вы растете, растет нагрузка и на сеть, и на сетевое оборудование. В роутере появляются специализированные модули, а вы докупаете еще и Cisco ASA. Ваш роутер разгружен, у вас уже довольно качественный deep packet inspection и специализированная плата в ASA обсчитывает криптографию для VPN на порядок быстрее. Вы снова вполне удовлетворены.
3) Рост продолжается. Вам снова надо разгрузить оборудование от специфических задач, появляются новые потребности (например, та же сертифицированная криптография по ГОСТ). Вы покупаете специализированное решение от DDOS, внедряете DLP, решаете приобрести SSL-VPN-концентратор (например, тот же StoneSoft) и т.д.
То есть, если для ваших потребностей достаточно будет, как вы пишите, докупить недорогую лицензию, то именно это вам и нужно сделать. Городить огород с выделенным SSL-шлюзом смысла нет. А если руководство поставило вам задачу подключить по VPN к корпоративной системе 5000 пользователей, то одной лицензией дело скорее всего не обойдется.
Лихо вы перекрутили. Хотите сказать, на Cisco нельзя сделать SSL VPN концентратор?)) Кстати, он там из коробки.
Давайте рассмотрим корпоративный сектор, о котором вы говорите, а не маленькую контору из вашего примера, не будем уходить от сути вопроса попыткой перейти на выдуманные личности.
Вопрос в том ЗАЧЕМ в унифицированную инфраструктуру брать непонятную железку? Есть инженеры, есть смартнеты, есть взаимозаменяемое железо. В случае нехватки мощности приобретается ещё дна унифицированная железка.
Если же брать новое, малоизвестное, узкозаточенное решение, нам нужен для него инженер, время реакции на его обслуживание возрастает, единообразно управлять инфраструктурой уже не получится.
Коль вы постеснялись дать ответ на предыдущие комментарий, да простит меня хабр, повторю его здесь:
Клёво. Вы рекламировали технологию SSL VPN, или запуск приложений с сайта, или 1с с толстым клиентом по сети, или производителя StoneSoft, или себя?
1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.
Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
Без обид, поясните, если что-то пропустил.
Давайте рассмотрим корпоративный сектор, о котором вы говорите, а не маленькую контору из вашего примера, не будем уходить от сути вопроса попыткой перейти на выдуманные личности.
Вопрос в том ЗАЧЕМ в унифицированную инфраструктуру брать непонятную железку? Есть инженеры, есть смартнеты, есть взаимозаменяемое железо. В случае нехватки мощности приобретается ещё дна унифицированная железка.
Если же брать новое, малоизвестное, узкозаточенное решение, нам нужен для него инженер, время реакции на его обслуживание возрастает, единообразно управлять инфраструктурой уже не получится.
Коль вы постеснялись дать ответ на предыдущие комментарий, да простит меня хабр, повторю его здесь:
Клёво. Вы рекламировали технологию SSL VPN, или запуск приложений с сайта, или 1с с толстым клиентом по сети, или производителя StoneSoft, или себя?
1) Если SSL VPN — то почему речи не идёт о, например, Cisco? У него неплохой клиент, плюс инфраструктура. В комментах указано, что стоимость решения на StoneSoft около 5К. За эти деньги можно Крутой рутер у Cisco взять с огромным функционалом, с унифицированной инфраструктурой. Вы же писали, что сфера применения большие компании.
Требуется ли установка какого-то компонента со стороны клиента для подключения? Если да, то как это происходит?
2) В статье вы показали тонкий клиент. Он изначально вэб-ориентирован. И очень просто запускается через вэб на чём угодно, в т.ч. на Windows Server 2008R2, который указан в статье. А раз уж он есть, зачем покупать лишний продукт? Кроме того, на нём можно предоставить запуск приложения через RDP, используя сертификат. Вот это уже был бы толстый клиент.
3) Допустим, через SSL VPN действительно запустили толстый клиент. Укажите пожалуйста, какой будет нагрузка на сеть, какая требуется ширина канала и будет ли стабильная работа, если бухгалтер через толстый клиент запустит какую-то здоровую обработку?
4) Если рекламируете StoneSoft, то почему нет цен, о компании ни слова?
5) Ну а если себя… критиковать не буду, не за тем пишу. Меня ответы интересуют на предыдущие вопросы.
Да и получается +1 сервис, новая запись в сервисном портфолио и дополнительный гемор в ITSM.
Без обид, поясните, если что-то пропустил.
Уже ответил на предыдущий комментарий, извините за задержку.
Если у Вас все на Cisco, то, конечно, есть смысл стараться строить все на Cisco и дальше. Сейчас у Stonesoft очевидное преимущество: есть сертифицированный ГОСТовый ssl vpn. Скоро из международных брендов должен подтянуться и CheckPoint. Cisco отдала сертифицированную криптографию на откуп С-терра и в данном направлении не работают, насколько я знаю.
Пост не рекламирует Stonesoft. Если решение Вам не подходит, то этот туториал вам просто не пригодится. Только если для общего развития.
Если у Вас все на Cisco, то, конечно, есть смысл стараться строить все на Cisco и дальше. Сейчас у Stonesoft очевидное преимущество: есть сертифицированный ГОСТовый ssl vpn. Скоро из международных брендов должен подтянуться и CheckPoint. Cisco отдала сертифицированную криптографию на откуп С-терра и в данном направлении не работают, насколько я знаю.
Пост не рекламирует Stonesoft. Если решение Вам не подходит, то этот туториал вам просто не пригодится. Только если для общего развития.
Как обстоят дела с подключением к VPN шлюзу не из под Windows? Нужно ли ставить клиент для OS X и Linux?
1. КриптоПро CSP 3.6 R3 поддерживает большое количество ОС, в т.ч. Mac OS X и Linux (с полным списком можно ознакомиться на сайте производителя www.cryptopro.ru/support/docs).
2. Stonesoft SSL использует для подключения Access Client, который написан на Java и, соответственно, тоже может работать под Mac OS X и Linux.
Так что проблем с подключением «не-из-под-Windows» не будет.
2. Stonesoft SSL использует для подключения Access Client, который написан на Java и, соответственно, тоже может работать под Mac OS X и Linux.
Так что проблем с подключением «не-из-под-Windows» не будет.
Только что наткнулся на статью, на данный момент мы настраиваем Citrix сессиии через Stonesoft, пока всё замечательно. Из комментариев ясно, что 2/3 «икспертов» хабра о фз 152 не слышали и не услышат.
Работал я с этим продуктом.
Вполне рабочая система публикации приложений, но стабильность работы вызывала много нареканий.
Из минусов: нормально пробрасываются только веб приложения, для RDP нужен IE с включенным ActiveX или JAVA, на компе обязательно должен присутствовать крипто-про, для запуска гостового туннеля все равно нужен клиент в том или ином виде. Для доступа к ресурсам внутренней сетки напрямую, требуется наличие свободных IP на это же количество ресурсов (спасибо proxy arp) и убивается сама идея экономии адресов при одном SSL шлюзе. Решение абсолютно другое, нежели у циски. Красивые маркетинговые слова, но очень много нюансов и подводных камней, часто совсем неприятных.
Вообщем, каждый вендор воспринимает эту технологию через свою призму и лепит собственные костыли. И пока у нас каждый браузер не будет поддерживать гостовую криптографию — сфера ее применения очень ограниченная. А сама концепция, конечно, красивая…
Вполне рабочая система публикации приложений, но стабильность работы вызывала много нареканий.
Из минусов: нормально пробрасываются только веб приложения, для RDP нужен IE с включенным ActiveX или JAVA, на компе обязательно должен присутствовать крипто-про, для запуска гостового туннеля все равно нужен клиент в том или ином виде. Для доступа к ресурсам внутренней сетки напрямую, требуется наличие свободных IP на это же количество ресурсов (спасибо proxy arp) и убивается сама идея экономии адресов при одном SSL шлюзе. Решение абсолютно другое, нежели у циски. Красивые маркетинговые слова, но очень много нюансов и подводных камней, часто совсем неприятных.
Вообщем, каждый вендор воспринимает эту технологию через свою призму и лепит собственные костыли. И пока у нас каждый браузер не будет поддерживать гостовую криптографию — сфера ее применения очень ограниченная. А сама концепция, конечно, красивая…
Спасибо тебе, мил человек, коллега. Спасибо, дорогой, за редкий адекватный отзыв о реальном опыте, за немаркетинг и за не «я думаю». Спасибо.
Вполне рабочая система публикации приложений, но стабильность работы вызывала много нареканий.
Поясню на всякий случай что такое "много нареканий".
Пока активно VPN-подключение — все ресурсы локальной сети недоступны. Причем эта штука еще и как-то хитро перенаправляет траффик в обход таблицы маршрутизации...
В среднем каждое пятое подключение зависает, после чего на компьютере полностью отваливается сеть до перезагрузки.
Иногда винда вылетает в BSOD.
Добавлю. Для комфортного использования этой штуки пришлось делать отдельную виртуалку где автокликер сам устанавливает VPN-соединение. Плюс там крутится отдельная программа которая выступает как прокси, к ней мы и цепляемся. И сверху watchdog который перезагружает виртуалку при потерях связи.
По-другому подключаться к такому VPN оказалось невозможно, слишком нестабильная хрень.
Sign up to leave a comment.
Пробрасываем толстый клиент через SSL туннель с шифрованием по ГОСТ