Comments 53
А зачем его покупать? ИМХО стандартные средства резервирования линукса неплохо справляются. Или главным тут является Специальная Сертификация ФСБ, которая Доказывает, что Продукт Прошёл Сертификацию ФСБ и по этому является Сертифицированным Продуктом, Прошедшим Сертификацию ФСБ?
Такое ощущение, что вы боретесь за Большую Столлмановскую Медаль.
Нет, просто меня традиционно раздражает сертификация ИБ. В отличие от сертификации по соответствию техническим требованиям (curl сертифицирован на соответствие HTTP/1.1, а wget нет, потому что метод DELETE не поддерживает), сертификация ИБ (и всяких госконтор) обычно означает просто соблюдение бюрократических «ку», а не какие-то объективные характеристики системы.
Да нет, я про то, что такое ощущение, что вы выкроили от работы 15 минут, и отбомбились по всем топикам сегодня комментами на одну и ту же тему.
В нашей стране на практике это так. Но это вовсе не значит, что ИБ-сертификация сама по себе зло.
Ну давайте поговорим про это.
Что удостоверяет сертификат, связанный с ИБ?
Что удостоверяет сертификат, связанный с ИБ?
Смотря какой. О каком будем говорить?
Любой. Можете в качестве примера взять самый вами уважаемый.
У меня нет особых предпочтений.
Можно начать с FIPS-140.
Можно начать с FIPS-140.
Ок, имея на руках FIPS-140 l4 для решения, в чём я могу быть уверен?
Рекомендую прочитать чуть больше, чем написано в википедии. Тогда сможем побеседовать предметно.
То есть ничего. Спасибо.
Данная позиция выглядит как «Пастернака не читал, но осуждаю». Т.е. это не позиция, а эмоция, грубо говоря. Обсуждать эмоции на хабре не вижу смысла, это не форум овуляшек (хотя все больше походит на него).
Пожалуйста.
если вдруг наберешься мужества продолжить изучение, начни вот с этого, там есть ответ и на твой первый вопрос, цитировать сюда полдокумента не вижу смысла, потому и предлагаю изучить матчасть, хотя бы поверхностно. Это правило любого приличного общества — влезать в обсуждение только тех тем, которые хоть немного изучал.
Пожалуйста.
если вдруг наберешься мужества продолжить изучение, начни вот с этого, там есть ответ и на твой первый вопрос, цитировать сюда полдокумента не вижу смысла, потому и предлагаю изучить матчасть, хотя бы поверхностно. Это правило любого приличного общества — влезать в обсуждение только тех тем, которые хоть немного изучал.
Моя позиция проще: я спрашиваю, что удостоверяет этот сертификат? По сути, а не в бюрократических терминах.
Для какого-нибудь HTTP я могу точно сказать — если ко мне пришла строка GET location HTTP/1.1, то я отдам то, что по моему мнению соответствует оному location, или ошибку по прилагающемуся списку.
А вот с ИБ — нет такого. В финале есть лишь экспертные мнения без объективного фактора.
Потому я и спрашиваю, что обещают сертификаты ИБ?
Для какого-нибудь HTTP я могу точно сказать — если ко мне пришла строка GET location HTTP/1.1, то я отдам то, что по моему мнению соответствует оному location, или ошибку по прилагающемуся списку.
А вот с ИБ — нет такого. В финале есть лишь экспертные мнения без объективного фактора.
Потому я и спрашиваю, что обещают сертификаты ИБ?
Проблема в том, что ты сравниваешь сосиску с лопатой.
ИБ работает на стыке технологий и человека/окружающей среды, поэтому ничего гарантировать нельзя по определению. Твой пример с HTTP работает для межмашинного взаимодействия, где все просто и предсказуемо до байта, как и для всех остальных «технических» стандартов и требований. ИБ-шные стандарты/сертификации сочетают в себе техническую и организационную части.
Взятый для примера FIPS-140 обещает примерно вот это:
Подробнее про каждый пункт читай в документе, не ленись, если действительно хочешь докопаться до ответа. Тематика ИБ много сложнее и вариативнее тематики ИТ, поэтому гораздо более интересна, но из-за этого доступна для понимания гораздо меньшему количеству людей. Так уж сложилось. Можно сравнить с юриспруденцией. Многие знают, что это. Некоторые знакомы с терминологией и текстами некоторых законов/актов. Но детально понять смысл даже небольшого закона могут единицы. Яркий пример — свеженький 187-ФЗ.
ИБ работает на стыке технологий и человека/окружающей среды, поэтому ничего гарантировать нельзя по определению. Твой пример с HTTP работает для межмашинного взаимодействия, где все просто и предсказуемо до байта, как и для всех остальных «технических» стандартов и требований. ИБ-шные стандарты/сертификации сочетают в себе техническую и организационную части.
Взятый для примера FIPS-140 обещает примерно вот это:
Подробнее про каждый пункт читай в документе, не ленись, если действительно хочешь докопаться до ответа. Тематика ИБ много сложнее и вариативнее тематики ИТ, поэтому гораздо более интересна, но из-за этого доступна для понимания гораздо меньшему количеству людей. Так уж сложилось. Можно сравнить с юриспруденцией. Многие знают, что это. Некоторые знакомы с терминологией и текстами некоторых законов/актов. Но детально понять смысл даже небольшого закона могут единицы. Яркий пример — свеженький 187-ФЗ.
Именно потому, что как только ИБ копнёшь, там внутри «ничего гарантировать нельзя», то я не понимаю отношения к этому вопросу со стороны всяких «около-ИБ-спецов».
Когда с ними сталкиваешься, они стоят на патетичных позициях сертфикации, следования практикам и т.д., при этом как только начинаешь докапываться до сути, выясняется, что от сертификата требуется его наличие, а практики надо выполнять, потому что надо.
Не так давно был маленький сисадминский скандальчик — какая-то ИБ-аудит-суперконтора приказала сисадмину прислать список паролей пользователей для аудита на стойкость. Для меня этот случай был как раз ярким примером того, что чем больше ИБшным является человек, тем больше он далёк от реального мира.
Относительно же законодательства и технологий, это вообще традиционный писк восторга, о котором говорят либо в режиме «хихи», либо с постно-трагичным выражением лица.
Когда с ними сталкиваешься, они стоят на патетичных позициях сертфикации, следования практикам и т.д., при этом как только начинаешь докапываться до сути, выясняется, что от сертификата требуется его наличие, а практики надо выполнять, потому что надо.
Не так давно был маленький сисадминский скандальчик — какая-то ИБ-аудит-суперконтора приказала сисадмину прислать список паролей пользователей для аудита на стойкость. Для меня этот случай был как раз ярким примером того, что чем больше ИБшным является человек, тем больше он далёк от реального мира.
Относительно же законодательства и технологий, это вообще традиционный писк восторга, о котором говорят либо в режиме «хихи», либо с постно-трагичным выражением лица.
Жаль, а я надеялся на конструктивный разговор, а не на «я этого не понимаю, значит этого не существует!» или даже «я ничего не понял, значит это говно, а мой друг рассказал смешную историю, она все подтверждает!».
Печально, на первый взгляд ты производишь впечатление неглупого человека, а потом внезапно нелепые передергивания начинаются.
Печально, на первый взгляд ты производишь впечатление неглупого человека, а потом внезапно нелепые передергивания начинаются.
ok.
Хотя я считал, что говорю вполне аргументировано и по сути. Впрочем, у меня нет сертификата, так что извините.
Хотя я считал, что говорю вполне аргументировано и по сути. Впрочем, у меня нет сертификата, так что извините.
Да, аргументировано и по существу, но совсем мимо кассы.
— Давайте поговорим про брусничное варенье. Как мне из него сделать велосипед или хотя бы сковороду?
— Ну, как бы нужно понимать, что брусничное варенье не используется так. Его нужно добавлять в кашу или кушать с чаем, оно вкусное и полезное, содержит витамины А и С.
— АХАХА, я так и знал, что брусничное варенье непригодно и не нужно! *с демоническим хохотом убегает во тьму…
— Давайте поговорим про брусничное варенье. Как мне из него сделать велосипед или хотя бы сковороду?
— Ну, как бы нужно понимать, что брусничное варенье не используется так. Его нужно добавлять в кашу или кушать с чаем, оно вкусное и полезное, содержит витамины А и С.
— АХАХА, я так и знал, что брусничное варенье непригодно и не нужно! *с демоническим хохотом убегает во тьму…
Вы немного потерялись в терминалогии — сертификат, стандарт и практики это разные вещи.
Вы немного потерялись в терминалогии — сертификат, стандарт и практики это разные вещи.
Сертификат — это заключение органа о том, что средство защиты содержит необходимый набор функций защиты. И что эти функции защиты действительно защищают. Что криптографический модуль действительно делает криптографическое преобразование, фильтр действительно фильтрует, модуль аутентификации действительно проверяет соответствие и т.д. Сам по себе сертификат ничего не защищает.
То, что вы пишите про протокол HTTP — это стандарт, это описание технологии. То, что пишите о сисадмине, который отправил пароли, это отсутствие организационной политики или ее не соблюдение.
ИБ — это не что-то невероятно крутое и супер интеллектуальное, что всех спасет в случае нападения.
ИБ — вам гарантирует защиту в рамках того уровня защищенности, который выбрал владелец бизнеса. Если CEO дал на ИБ 100килобаксов и при этом хочет максимум свобод для своих сотрудников, то не надо ожидать какого-то чуда,
Сертификат — это заключение органа о том, что средство защиты содержит необходимый набор функций защиты. И что эти функции защиты действительно защищают. Что криптографический модуль действительно делает криптографическое преобразование, фильтр действительно фильтрует, модуль аутентификации действительно проверяет соответствие и т.д. Сам по себе сертификат ничего не защищает.
То, что вы пишите про протокол HTTP — это стандарт, это описание технологии. То, что пишите о сисадмине, который отправил пароли, это отсутствие организационной политики или ее не соблюдение.
ИБ — это не что-то невероятно крутое и супер интеллектуальное, что всех спасет в случае нападения.
ИБ — вам гарантирует защиту в рамках того уровня защищенности, который выбрал владелец бизнеса. Если CEO дал на ИБ 100килобаксов и при этом хочет максимум свобод для своих сотрудников, то не надо ожидать какого-то чуда,
Вот на первом же я и спотыкаюсь.
«что эти функции действительно защищают».
Лично мне совершенно не понятно каким образом планируется проверять, что «А» защищает «Б» при всём спектре входных данных. Для линейного алгоритма от малого числа возможных состояний — могу поверить. Для хотя бы пяти входящих int64 — не могу.
Что такое «уровень защищённости», кроме суммы вложеных денег? Само слово «уровень» подразумевает некую скалярную величину. И как её измеряют? В чём её измеряют? И каким образом можно независимо и со скептическим взглядом в значении этой величины убедиться?
«что эти функции действительно защищают».
Лично мне совершенно не понятно каким образом планируется проверять, что «А» защищает «Б» при всём спектре входных данных. Для линейного алгоритма от малого числа возможных состояний — могу поверить. Для хотя бы пяти входящих int64 — не могу.
Что такое «уровень защищённости», кроме суммы вложеных денег? Само слово «уровень» подразумевает некую скалярную величину. И как её измеряют? В чём её измеряют? И каким образом можно независимо и со скептическим взглядом в значении этой величины убедиться?
Как проверить функции пакетной фильтрации? Вы серьезно?
А вы вообще знакомились с документацией организаций проводящих сертификацию средств защиты? Думаю нет. Так вот для каждой функции защиты тем же ФСБ или ФСТЭК подготовленны киры документации, по которомы проверяющий орган проводит тесты в своих лабораториях
А вы вообще знакомились с документацией организаций проводящих сертификацию средств защиты? Думаю нет. Так вот для каждой функции защиты тем же ФСБ или ФСТЭК подготовленны киры документации, по которомы проверяющий орган проводит тесты в своих лабораториях
Я абсолютно серьёзно. Каким образом вы планируете проверять функцию на всём множестве входных значений?
Мы сейчас через 3-5 комментариев плавно перейдём к задаче об оставнове машины Тьюринга, задаче занятых бобров и прочих ужасах чистого CS.
Проблема в том, что программист, который код написал, гарантировать что этот код точно работает, не может, а вот какой-то посторонний дядя вдруг берётся гарантировать, что код работает так, как все от него ожидают, причём всегда.
Вот эта профанация проблематики предсказания поведения алгоритмов меня и возмущает.
Мы сейчас через 3-5 комментариев плавно перейдём к задаче об оставнове машины Тьюринга, задаче занятых бобров и прочих ужасах чистого CS.
Проблема в том, что программист, который код написал, гарантировать что этот код точно работает, не может, а вот какой-то посторонний дядя вдруг берётся гарантировать, что код работает так, как все от него ожидают, причём всегда.
Вот эта профанация проблематики предсказания поведения алгоритмов меня и возмущает.
Давайте договоримся о терминалогии
Уровень защищенности относится к ФУНКЦИЯМ СРЕДСТВ ЗАЩИТЫ а не к системе или к информации.
Пожалуйста, прочитайте еще раз, что я написал:
Уровень защищенности относится к ФУНКЦИЯМ СРЕДСТВ ЗАЩИТЫ а не к системе или к информации.
Пожалуйста, прочитайте еще раз, что я написал:
Уровни защищенности для системы врядли можно определить, так как система всегда не статичная, в ней происходят изменения постоянно.
специалист ИБ вам сожет только сказать, что на данный момент мы защищены от следующих типов УГРОЗ… Но при этом остаются риски 1 2 3… С которыми можно сделать слудующее 1 2 3
Вам никто не скажет, что созданная система защиты отразит все атаки. Хотя и это возможно, но тогда не надо плакать, что приходится вводить сложные пароли, их постоянно менять, использовать токен для доступа, личный сертификат, что у вас рабочее место в закрваемом БРОНИРОВАННОМ помещении, под видеонаблюдением, охранник с собакой вас записывает, мобильник отбирает и т.д.
И все равно при этом найдется очередной Сноуден, который покажет себя супер умником.
Эта система без гарантий, но с обоснованным разбором всех рисков.
Вам никто не скажет, что созданная система защиты отразит все атаки. Хотя и это возможно, но тогда не надо плакать, что приходится вводить сложные пароли, их постоянно менять, использовать токен для доступа, личный сертификат, что у вас рабочее место в закрваемом БРОНИРОВАННОМ помещении, под видеонаблюдением, охранник с собакой вас записывает, мобильник отбирает и т.д.
И все равно при этом найдется очередной Сноуден, который покажет себя супер умником.
Эта система без гарантий, но с обоснованным разбором всех рисков.
Уровень защищенности относится к средству защиты а не ко всей системе. Это опять, если ьы вы были в «теме» вы бы понимали разницу.
Уровень защищенности определяет набор защитныйх функций, который содержит в себе например межсетевой экран фильтрация, аутентификация, целостность и тд
Уровни защищенности для системы врядли можно определить, так как система всегда не статичная, в ней происходят изменения постоянно. Поэтому делают аудит, анализ защищенности, анализ рисков, поддерживают в актуальном состоянии модель угроз, модель нарушителя. ИБ это намного более сложная сфера, чем любая другая сфера ИТ, потому как кроме огромных знаний буквально во всем нужно еще уметь предвидеть, видеть ситуацию вцелом и иметь креативное мышление.
Уровень защищенности определяет набор защитныйх функций, который содержит в себе например межсетевой экран фильтрация, аутентификация, целостность и тд
Уровни защищенности для системы врядли можно определить, так как система всегда не статичная, в ней происходят изменения постоянно. Поэтому делают аудит, анализ защищенности, анализ рисков, поддерживают в актуальном состоянии модель угроз, модель нарушителя. ИБ это намного более сложная сфера, чем любая другая сфера ИТ, потому как кроме огромных знаний буквально во всем нужно еще уметь предвидеть, видеть ситуацию вцелом и иметь креативное мышление.
… Выглядит как краткая выжимка курса для начинаюих экстрасенсов, честное слово. К науке, очевидно, не относится.
Давайте я вам понаучному объясню
пакетный фильтр должен блокировать сетевые соединения на заданный порт. Если политика межсетевого экрана указывает на блокировку порта 80, то фильтр должен ответить на такое соединение DROP
Вот таким незатейливым способом мы проверили одну из функций пакетной фильтрации.
Еще немного тестов и экран будет готов для защиты гостайны! :)
пакетный фильтр должен блокировать сетевые соединения на заданный порт. Если политика межсетевого экрана указывает на блокировку порта 80, то фильтр должен ответить на такое соединение DROP
Вот таким незатейливым способом мы проверили одну из функций пакетной фильтрации.
Еще немного тестов и экран будет готов для защиты гостайны! :)
Я понимаю, что вы неразбираясь в тематике ИБ понаставили мне минусов. Обсуждай мы гинекологию, наверное, вам бы тоже ненравилось то, что вам говорят
Дорогой amarao, вы нашли меня, я видел несколько раз, как вы искали человека, с которым можно поговорить про сертификаты :)
Немного подробнее.
В зависимости от категории защищаемой информации необходимо применение сетевых экранов определенного уровня защиты. Уровень защиты определяется комиссией на основании проведенных тестов этого самого экрана. Сертификат и подтверждает, что набор защитных функций данного экрана может применятся для защиты данной категории информации.
Чем выше категория информации тем выше уровень должен иметь экран.
В зависимости от категории защищаемой информации необходимо применение сетевых экранов определенного уровня защиты. Уровень защиты определяется комиссией на основании проведенных тестов этого самого экрана. Сертификат и подтверждает, что набор защитных функций данного экрана может применятся для защиты данной категории информации.
Чем выше категория информации тем выше уровень должен иметь экран.
Вот мы и пришли к тому, что сертификат доказывает, что систему сертифицировали и выдали ей сертификат.
Давайте сфокусируемся на самом простом: у нас есть тупой пакетный фильтр, который может сматчить биты заголовков и на основании этого сказать либо pass, либо drop (специально упрощаю). Допустим, мы его упрощаем до уровня, когда даже нет поддержки звёзд, то есть мы можем только для данной полной комбинации адресов и портов сказать drop/pass. Допустим, он поддерживает до 1024 правил.
Как вы его планируете проверять? Единственный метод реально _проверить_ — это прогнать полный тест на всех возможных комбинациях. А это 2x32 бита на IP адреса, 2x48 маков, байт на протокол, 2x16 бит на порты, 1 бит на команду, плюс все возможные комбинации в правилах. А теперь ещё каждую комбинацию правил надо проверить на всех возможных входящих данных…
Таким образом, мы получаем невозможность достоверно ответить на вопрос «работает ли этот файрвол». Точнее, мы можем проверить его на небольшом подмножестве данных, но на основании этого что-либо «гарантировать» может либо шарлатан, либо экстрасенс (шарлатан с сертификатом).
Давайте сфокусируемся на самом простом: у нас есть тупой пакетный фильтр, который может сматчить биты заголовков и на основании этого сказать либо pass, либо drop (специально упрощаю). Допустим, мы его упрощаем до уровня, когда даже нет поддержки звёзд, то есть мы можем только для данной полной комбинации адресов и портов сказать drop/pass. Допустим, он поддерживает до 1024 правил.
Как вы его планируете проверять? Единственный метод реально _проверить_ — это прогнать полный тест на всех возможных комбинациях. А это 2x32 бита на IP адреса, 2x48 маков, байт на протокол, 2x16 бит на порты, 1 бит на команду, плюс все возможные комбинации в правилах. А теперь ещё каждую комбинацию правил надо проверить на всех возможных входящих данных…
Таким образом, мы получаем невозможность достоверно ответить на вопрос «работает ли этот файрвол». Точнее, мы можем проверить его на небольшом подмножестве данных, но на основании этого что-либо «гарантировать» может либо шарлатан, либо экстрасенс (шарлатан с сертификатом).
Вы опять не поняли, хотя я вам это уже писал.
«сертификат доказывает, что систему сертифицировали и выдали ей сертификат.»
Не систему, а средство защиты!!! В данном конкретном случае межсетевой экран
«прогнать полный тест на всех возможных комбинациях»
комбинациях чего?
«сертификат доказывает, что систему сертифицировали и выдали ей сертификат.»
Не систему, а средство защиты!!! В данном конкретном случае межсетевой экран
«прогнать полный тест на всех возможных комбинациях»
комбинациях чего?
Я не пойму, вы думаете, что орган выдаст вам сертификат на то, что средство защиты будет работать всегда точно не ошибаясь и это средство защиты нельзя будет никак обойти и перевести в нештатную работу? А вы где-нибудь такой сертификат видели? Даже в любой другой сфере? Любую программу можно использовать не по назначению, о чем вообще разговор тогда? О сферических конях в вакууме?
Для каждого уровня защищенности приведено описание функций защиты. В этом описании подробно указано КАК конкретно должен работать пакетный фильтр и КАК конкретно он должен фильтровать, до как здесь сказали «предсказуемо до байта». Ровно так, как стандарт протокола HTTP описывает «если ко мне пришла строка GET location HTTP/1.1, то я отдам то, что по моему мнению соответствует оному location, или ошибку по прилагающемуся списку.»
Поэтому, уважаемый amarao Вам и пишут, что «Данная позиция выглядит как «Пастернака не читал, но осуждаю»»
Поэтому, уважаемый amarao Вам и пишут, что «Данная позиция выглядит как «Пастернака не читал, но осуждаю»»
да, сертификаты — это наше всё.
Черт, первый Ваш коммент, который я плюсую ;)
Но, кстати, сертификация(не только отечественная) это еще и бизнес — все хотят зарабатывать с минимум усилий 8)
Но, кстати, сертификация(не только отечественная) это еще и бизнес — все хотят зарабатывать с минимум усилий 8)
Соглашусь с автором про Координатор. Довольно легко настраивать и пользоваться, если хорошо знать документацию.
ViPNet координатор — золотая вещь.
А если походить по офисам аттестаторв/лабораторий/сертификаторов — сразу станет ясно, что бизнес этот, может быть для кого-то и прибылен, но не для них — так точно.
А если походить по офисам аттестаторв/лабораторий/сертификаторов — сразу станет ясно, что бизнес этот, может быть для кого-то и прибылен, но не для них — так точно.
Что-то только на пост наткнулся.
Интересно узнать у автора, что из нижеперечисленного является преимуществом ViPNet-недопродуктов:
— уродливый и непонятный разумному человеку интерфейс Администратора и Клиента, и я говорю отнюдь не про красоту.
— нагромождение бесполезных, ненужных функций.
— типичное поведение в духе «не работало — прошло пол часа — заработало», часто связано с обновлениями ЦУС, которые могут идти до часа от ЦУСа до клиента/координатора, находящихся «на расстоянии» одного хопа.
— переворачивание терминов с ног на голову. Например, туннель. Всегда считалось, что туннель — это защищенный канал, но не у доблестных разработчиков компанюшки Инфотекс, у них туннель — это открытый канал в защищенную сеть. Что в свою очередь влечет полную нечитаемость документации. (Хотя для чего это — будет ниже).
— упоротый HW100C с характеристиками: 20 минут загружаюсь распаковывая свой образ заново из флеш, греюсь как примус, глючу до аппаратного ребута и магически работаю опять.
— усложнение построения логики сети ненужными заморочками, ака проектирование (проектирование ли?) сети в ЦУС с опять же с кучей своих «блекджеков и дам легкого поведения» типа типов коллективов (какой упоротый чел придумывал все эти термины?!?!?!).
— очешуенный способ «дружения» двух защищенных сетей с «упрощением» этого дела с помощью встроенных средств (не пытайтесь, нативно не поймете без бутылки). Проще и быстрее в совершенстве изучить стандарты защищенных сетей на GRE, IPSec и подобного, чем пользоваться «упрощением» от инфотексы.
— супер-политика (ака причина «популярности» недопродуктов) распространения методом насильственного насаждения с помощью властьимущих (особенно на гос. предприятиях и в федеральных проектах). И не надо мне рассказывать про цены. Цены вполне себе не ниже конкурентов. А вот аффиляция — здоровенная, по моему оценочному суждению.
— политика общая по созданию продуктов: «а давайте сделаем продукт, который будет такой, чтоб его внедрять можно было только после хорошего изучения (не вообще сетей, протоколов безопасности и распространенных практик), а конкретно нашего продукта. И сразу будет предлагать курсы, на которых по сути и преподы толком ничего знать не будут и учить особо ничему не будем». Продукты изучал методом тыка и по «бразильской» системе на реальных объектах, но о курсах знаю, так как посылал людей на обучение… зачем-то. А… вспомнил… для партнерского договора.
В принципе можно еще долго расписывать.
Так какой из «плюсов» вам больше всего по душе. По мне так вы больше похожи на засланного казачка.
Проще говоря… Мастерское умение жонглирования какашками не делает какашки «некакашками».
А не легче ли купить сертифицированный OpenVPN с ГОСТ?
Интересно узнать у автора, что из нижеперечисленного является преимуществом ViPNet-недопродуктов:
— уродливый и непонятный разумному человеку интерфейс Администратора и Клиента, и я говорю отнюдь не про красоту.
— нагромождение бесполезных, ненужных функций.
— типичное поведение в духе «не работало — прошло пол часа — заработало», часто связано с обновлениями ЦУС, которые могут идти до часа от ЦУСа до клиента/координатора, находящихся «на расстоянии» одного хопа.
— переворачивание терминов с ног на голову. Например, туннель. Всегда считалось, что туннель — это защищенный канал, но не у доблестных разработчиков компанюшки Инфотекс, у них туннель — это открытый канал в защищенную сеть. Что в свою очередь влечет полную нечитаемость документации. (Хотя для чего это — будет ниже).
— упоротый HW100C с характеристиками: 20 минут загружаюсь распаковывая свой образ заново из флеш, греюсь как примус, глючу до аппаратного ребута и магически работаю опять.
— усложнение построения логики сети ненужными заморочками, ака проектирование (проектирование ли?) сети в ЦУС с опять же с кучей своих «блекджеков и дам легкого поведения» типа типов коллективов (какой упоротый чел придумывал все эти термины?!?!?!).
— очешуенный способ «дружения» двух защищенных сетей с «упрощением» этого дела с помощью встроенных средств (не пытайтесь, нативно не поймете без бутылки). Проще и быстрее в совершенстве изучить стандарты защищенных сетей на GRE, IPSec и подобного, чем пользоваться «упрощением» от инфотексы.
— супер-политика (ака причина «популярности» недопродуктов) распространения методом насильственного насаждения с помощью властьимущих (особенно на гос. предприятиях и в федеральных проектах). И не надо мне рассказывать про цены. Цены вполне себе не ниже конкурентов. А вот аффиляция — здоровенная, по моему оценочному суждению.
— политика общая по созданию продуктов: «а давайте сделаем продукт, который будет такой, чтоб его внедрять можно было только после хорошего изучения (не вообще сетей, протоколов безопасности и распространенных практик), а конкретно нашего продукта. И сразу будет предлагать курсы, на которых по сути и преподы толком ничего знать не будут и учить особо ничему не будем». Продукты изучал методом тыка и по «бразильской» системе на реальных объектах, но о курсах знаю, так как посылал людей на обучение… зачем-то. А… вспомнил… для партнерского договора.
В принципе можно еще долго расписывать.
Так какой из «плюсов» вам больше всего по душе. По мне так вы больше похожи на засланного казачка.
Проще говоря… Мастерское умение жонглирования какашками не делает какашки «некакашками».
А не легче ли купить сертифицированный OpenVPN с ГОСТ?
Почему-то пропустил этот пост в своё время, но лучше поздно, чем никогда.
Вообще большую часть пунктов можно свести к последнему: «Меня этому не учили, я ничего не понимаю, зачем всё это?!»
Не знаю владеете ли вы профильным образованием, читали ли вы руководства, развёртывали ли вы тестовые сети или сразу начали работать методом тыка, но думаю если бы вы прошли соответствующее обучение, то этого поста бы не было.
Вообще большую часть пунктов можно свести к последнему: «Меня этому не учили, я ничего не понимаю, зачем всё это?!»
Не знаю владеете ли вы профильным образованием, читали ли вы руководства, развёртывали ли вы тестовые сети или сразу начали работать методом тыка, но думаю если бы вы прошли соответствующее обучение, то этого поста бы не было.
С трудом понимаю зачем я должен за деньги (а с учетом накладных расходов сумма далеко немаленькая) проходить бесполезное «соответствующее» обучение, на котором преподы знали меньше моих подчиненных на тот момент. Випнетов я понастраивал предостаточно и разных «видов», как и весь наш отдел (уже на новой работе). Ни я, ни коллеги ни разу о данном «продукте» ничего хорошего не сказали, особенно, с учетом их способа «вести дела».
Да… выше я писал, что изучал «методом тыка и по «бразильской» системе на реальных объектах». А кто не изучал? Только это было давненько. Читал я всякие их мануальчики и талмуды.
Как писал выше, но почему-то у вас это прошло мимо области просмотра, проблема не в том, что на продукты требуется обучение. Проблема в том, что не надо городить такие продукты, которые «заточены» на обучение и реализуют стандартные общепринятые вещи через то место, к которому привык проктолог.
А… да… у них же достижение! Они ЦУС сделали с ГУИ. К счастью в этой вате не тыкался. Отдаляюсь от «бумажной» защиты.
Хейтер? Да… а за что их любить?
Да… выше я писал, что изучал «методом тыка и по «бразильской» системе на реальных объектах». А кто не изучал? Только это было давненько. Читал я всякие их мануальчики и талмуды.
Как писал выше, но почему-то у вас это прошло мимо области просмотра, проблема не в том, что на продукты требуется обучение. Проблема в том, что не надо городить такие продукты, которые «заточены» на обучение и реализуют стандартные общепринятые вещи через то место, к которому привык проктолог.
А… да… у них же достижение! Они ЦУС сделали с ГУИ. К счастью в этой вате не тыкался. Отдаляюсь от «бумажной» защиты.
Хейтер? Да… а за что их любить?
Проблема в том, что не надо городить такие продукты, которые «заточены» на обучение и реализуют стандартные общепринятые вещи через то место, к которому привык проктолог.
Этак вы сейчас всех линуксоидов-то опустили разом:)
Любой продукт требует обучения.
Хоть вы и записали меня в засланные казачки, но пост вообще-то описывает то, что мне не нравится в их продукте. Моя критика мне кажется куда более существенной, чем ваша. Если вы не в состоянии построить сеть в ЦУСе, то что же делать? Пользуйтесь продуктами по проще.
Вы не поверите… я и есть линуксоид. Но думаю, что ОС-холливары немного из другой оперы.
В ЦУСе я способен построить сеть, что и реализовывал часто по работе… Только процесс этот отвратен.
Я ж писал… понятно, что требует.
Да хоть та же S-Terra. Там реализован вполне себе обычный IPSec, который не требует танцев с бубном, если был ранее в жизни настроен, хоть в этом продукте, хоть в другом. Большинство производителей пытается «говорить» на одном «стандартизованном» языке с потребителем, а не выдумывает какую-то ерунду. Где приемственность знаний? Зачем нужно тратить время на изучение ViPNet, если эти знания вообще нигде, кроме как в ViPNet не пригодятся?
В ЦУСе я способен построить сеть, что и реализовывал часто по работе… Только процесс этот отвратен.
Я ж писал… понятно, что требует.
Да хоть та же S-Terra. Там реализован вполне себе обычный IPSec, который не требует танцев с бубном, если был ранее в жизни настроен, хоть в этом продукте, хоть в другом. Большинство производителей пытается «говорить» на одном «стандартизованном» языке с потребителем, а не выдумывает какую-то ерунду. Где приемственность знаний? Зачем нужно тратить время на изучение ViPNet, если эти знания вообще нигде, кроме как в ViPNet не пригодятся?
Sign up to leave a comment.
Криптошлюз Vipnet Failover или как не надо реализовывать отказоустойчивость