Comments 73
Одно непонятно, почему столько внимания шифрованию, ведь реализовать его самому не составляет большого труда.
В данном случае это несколько ресурсоёмко, хотя никто не запрещает использовать IPSec VPN из какого-нибудь линукса или бсд. Но в таком случае появляются другие проблемы.
Я бы разделил на две части, на железную и программную.

В своей практике никогда не сталкивался с BSD и Линуксом в качестве маршрутизаторов/брендмауэров и не могу хорошо оценить программную часть данного решения, хотя само решение имеет право на жизнь, т.к. многие люди живут так, но эти же люди с радостью бы пересели на Cisco, Juniper и т.д. при первой возможности.

Если стоимость железа примерно сопоставима или сис. блок с бсд на борту дешевле, то уровень надежности разнится капитально. К тому же стоит отметить, что на той же ASA 5505 на борту живёт 8 интерфейсов, что не так просто вкрутить в компьютер. Да и мне очень представить что-то способное заменить ASA 5550.

Можно еще про безопасность что-нибудь сказать, но тут я почти профан. В решении на линуксе, бсд надо патчить ос и софт, а в решении Cisco, например, достаточно обновлять только IOS.
Если придут и проверят, что и для чего вы используете, то при наличии шифрования (я не знаю, как они будут или могут это проверять, но догадываюсь) потребуют лицензию ФСБ на техническое обслуживание криптосистем. Или договор с компанией на техобслуживание, у которая такая лицензия есть. Если при этом выяснится, что вы используете AES вместо DES (его вроде как можно?), или вместо ГОСТ, на который у вас есть лицензия, то могут быть применены санкции административные и уголовные.

В-общем, здесь (в использовании) пока дело темное. Пока боль-мень понятно со ввозом нового.

Например, есть у меня контора, которая имеет лицензию на техобслуживание любой криптографии на 5 лет.

Пока насколько я понял, они могут заключать договора с кем угодно и тогда можно пользовать коммерческим структурам любые ВПНы.
А что мешает завести циски с прошивкой без шифровагия, а потом перепрошить?)
Никто не мешает, все так и делают. Другое дело что за «перепрошивку» могут по голове не погладить, плюс у IOSов и лицензий тоже должен быть сертификат, если я не ошибаюсь.
не все шьется (верное замечание про ISR G2) — кончилась халява.
А если и есть такая возможность, то в ряде случаев это будет трактовано как нарушение российского законодательства, контрабанда возможно привлечение к административной или (если ущерб больше 1млн руб) — уголовной ответственности.
Особенно это непофиг террористам, против которых, якобы, этот закон и направлен. ;)
Кроме того в G2 есть возможность активации триальной лицензии на 90 дней, ЕМНИП.
… и вы сразу подпадете под определение «шифрование» с требованиями по сертификации ФСБ.

Если вы не дай Бог начнете защищать персданные таким способом, то выговором дело не обойдется :(

Определение шифрования у ФСБшников настолько расплывчато, что туда даже MD5 и любой шифр подмены (Виженер, например) попадает…

Хорошо ещё 56битное вывели. Для повседеневных задач хватит — поставить lifetime 20 минут. Кому надо и так сломают, а все подряд — нет.
> Позиция ФСБ проста: у нас нет ресурсов отслеживать строгое импортное шифрование, поэтому на территории РФ хотим видеть только ГОСТ.

Таки ФСБ умеют ломать ГОСТ?
Полагаю что только методами терморектального криптоанализоа. Остальное — понты. Хотя кто его знает, может они и в курсе некоторых ньюансов, связанных со стандартными наборами S блоков.
прикрываются заботой о нас, мол умеем ли мы вскрывать ГОСТ или нет, а иностранцы точно нет.
А про AES они такого утверждать не могут :)
Про ГОСТ'ы понятно. AES? Мне вот интересно как будет выглядеть ситуация, если будут использованы новые методы шифрования, например, threefish (ну и с ним хеш ), которые никак не сертифицированы и формально (в смысле бюрократически) не описаны?
Отверточную сборку чего? Чипсетов?

Причем увы, сидят на таможне далеко не ленивые дураки, а въедливые, как отметил автор, и неглупые. С этим Таможенным Союзом даже C1 ввезти ой как проблемно. На кастомную партию ноутов, в которой стояла особая серия видюх, отличающаяся от обычных двумя символами в партномере, и то приходилось получать отдельную бумагу о легальности ввоза этих «комплектующих».
На сколько я понял, blackberry у нас запрещен по этой же причине. Т.е. я предлагаю ввозить корпус и начинку отдельно. На месте собирать и прошивать.
тут ФСБ применило оригинальное решение: хочешь blackberry — ставь сервер на территории РФ.
То есть им и ломать ничего не надо, все данные идут напрямую через провайдеров.

Заключить договор на blackberry в России, если сервера здесь нет — нельзя. По крайней мере нам так ответил МТС и Билайн.
Более того, заключить договор с МТС в СПБ у меня не вышло — отказали по причине того, что блекберри куплен не у них :) хотя в Москве отлично подключают такие «серые» трубки.
UFO landed and left these words here
Во многом эта параноидальность до сих пор имеется для ГИСов.
Блин вот же ебанутые чиновники на всю голову. Все эти запреты обходятся простой сменой софта, который можно скачать на торрентах.
Как обычно — никаких реальных преград для террориста нет, зато честные жители поимели честный геморрой.

УРА, ТОВАРИЩИ!
Прочитайте про лицензирование IOS на G2. Больше нельзя использовать какой угодно feature set без покупки соответствующей лицензии.
А где можно про них почитать? Да и вообще интересно, вот что превратились железяки.
Про лицензирование G2 я знаю с момента опубликования. Это единственное исключение, которое не меняет правило. ISR G1 таки производятся, а там заливай что хошь.
Кстати кстати. Чет я спросонья не сообразил. Там лицензируются фичи (Data/Sec/UC), но для наличия шифрования достаточно купить ее с IOS NPE, а потом залить IOS PE. Тогда даже в базовом фичсете шифрование появится.
Вы уверены что заменить IOS NPE на PE не получится просто так? Я не уверен.
Можно. Если делать официально, ты получаешь разрешение на ввоз софта (ИОС со строгим шифрованием), получаешь лицензию на обслугу (иди договор на ТО) и вперед.

Только ФСБ теперь по идее в курсе, кто ты, чем занимаешься, зачем шифруешься… А иначе, если им чего не понравится — не дадут :)

И придётся, для выполнения того же ФЗ-152 шифровать ГОСТом.

Я повторюсь: сейчас пока боль-мень понятно со ввозом. С проверкой, чего ты тут используешь — пока полная муть

Ну и до кучи: зальешь «левый» ИОС — нарушил правила циски (на это всем, включая похоже саму циску, в-общем… не обращают внимание :)), но теперь ещё можешь влететь под наши законы, где и административка и уголовка… Как будут считать ущерб — тоже не понятно…
На самом деле суть в том против кого направлены эти правила.
Потенциального террориста препоны с правилами циски да официальные правила ФСБ не остановят.
Речь об этом.

Т.е. реальной защиты от терроризма как не было так и нет. А у миллионов (!) добропорядочных людей теперь жутчайший геморрой.
Фигово что они 3750, 3560 и 2960 не поторопились сертифицировать, а асы мы уже скоро год будем ждать. Надеемся дождаться к июлю. :)
их надо не сертифицировать, а нотифицировать

И про 3750 я точно знаю, что они С2, т.е. можно смело везти

2960 пока перевели из C1 в C4 до уточнения некоторых деталей
Только сегодня нам сказали что ни один из этих коммутаторов пока не могут привезти, так что мы в небольшой печали.
пускай они[спецслужбы] первые начинают использовать слабое шифрование. а там, глядишь, и все подтянутся.
UFO landed and left these words here
Вы пишете, что с 95-го года правила никто не выполнял, так что мешает все так же забивать на их новую редакцию? Или все импортеры вдруг стали «белыми»?
Сейчас вот вдруг резко перестали пропускать. И все

По слухам господа ВВП и ДАМ погрозили таможне за низкую собираемость и вниз по цепочке прошли всякие интересные внутренние документы…
… ФАПСИ (ныне ФСБ)

Основные функции ФАПСИ получило не ФСБ, а Спецсвязь ФСО. По крайней мере вопросами шифрования занимаются именно там. ФСБ от ФАПСИ не получило практически никаких функций (читай: обязанностей), но, возможно, обросло после реструктуризации полномочиями.
Тут я к сожалению не в теме.

Могу только сказать, что когда их собирались распускать (2005?) я учил группу ФАПСИшников (умные, кстати, ребята) и они говорили, что часть из них уйдет в ФСБ, а часть просто расформируют.
Кому нужны ASA K8 или маршрутизаторы без стойкого шифрования? И если я правильно понимаю ситуацию, это оборудование теперь только под заказ и только для компаний имеющих лицензию ФСБ?
лицензию надо получать… на каждую партию(!) ввозимого под конкретного заказчика железа.

Случаи ввоза С3 — единичны, т.к. ФСБ практически заморозило их выдачу.
А регламента по времени рассмотрения заявки пока нет. Они обещают, все ждут
эхххх… разбились надежды. А я еще так верил что девайс с модулем К9 сможем получить в разумные сроки…

Спасибо за статью! все иллюзии развеялись :(
>Новые таможенные правила или как жить дальше?
Поставить свою подпись здесь.
Тебе не обидно, что денег госдеп за агитацию не даст? Раз занимаешься агитацией против родины, хотя бы бочку варенья потребуй.

А по теме, еще в декабре было ясно, что нормальное железо можно будет взять только со склада. Я вот АСЕю уже и не жду, пока софтверными решениями придется обойтись.
Не путайте понятия Родины и власти. Родину я люблю, а от нашей власти мне смешно.
Тебе смешно, а мне тут жить.
Хочешь свалить — вали, никто тебя не держит и не порицает, но не оставляй после себя говно. Зачем это? Психология будущего эмигранта? Опошлить и представить все в черном свете, чтобы психологически легче было?
Я может и не уеду еще, если на пример Путин в отставку уйдет.
Ну я не знаю. Вы видели сколько нищих в стране? Какие зарплаты в городах? Какие законы бредовые? Вы считаете, если бы правительство делало правильные реформы, все бы так и было?
Такая подсказка. Какие зп были с 90 по 2000? А с 2000 по 2010?
Потом лучше посмотреть, какие реформы проводились в указанные периоды.
Ещё бы. Где этим нищим работать, заводов то по производству той же массовой электроники нет. Все в Китае, Корее и т.п. Просто посчитать, сколько сотовых телефонов, ноутбуков и роутеров/модемов ежегодно покупается у нас. Много. А остаётся в нашей стране с продаж сколько процентов? Отсюда и нищие. Сколько людей заняты в производстве? Отсюда и безработица.
На Хабре уже были обзоры нашего железа. Почему оно так себе? Так объём продаж маленький, где взять средства на найм лучших специалистов для доработки.
К сожалению всё уже давно опошлено и представлено, эффективный менеджмент. =(
пс. никуда уезжать не собираюсь, просто констатация.
Блин такой гиморрой, я вот в европе с таким не сталкивался, государство не контролирует. Напридумали запред для взяток, если нужно что то зашифровать их контроль над циской ничого не даст.
БМВ, фольксваген уже приняли правила игры. Ауди с мерсом на подходе. Не хотят продавать технологи (дружно вспоминаем опель)? Поставим заградительные пошлины.

Наш рынок очень хорош, а в перспективе — должен стать еще лучше для той же сиско. А вдруг как подумают и примут решение начать сборку в том же Зелике? Пускай для начала крупно узловую!

А что нам еще делать, своей промышленности нет, до маразма дошли, электронику оборонки в Китае заказываем.
Выходит что государство просто хочет собрать мзду, ладно, пусть установят налог на оборудование, но зачем же так тупо не пропускать оборудование, им же хуже, чем больше и быстрей пройдёт, тем больше пошлины соберут.
Я с вами согласен.
Мне тоже не понятна мышиная велирокосскошовинистская возня.

Похожая ситуация: в Китае, в Казахстане (ну ещё бы), в Индии. Может где-то ещё.

Со стороны наша ситуация кажется дикой, однако жизнь в России многим вообще кажжется невозможной :)

Прорвемся. Но «преподавателя надо знать в лицо, а перед экзаменом по имени-отчеству».
Кто предупрежден, тот вооружен.
Я бы понял если оборудование закупалось для внутренних нужд государства, тогда да там нужен полный контроле над шифрованием.
А так, какого хера извините, вон ишодники есть шифруй нехочу. Ну вот допустим мне нужно зашифровать файлик, купить сервер в зимбабве и по шифрованному каналу в сифриванный раздел передать даже школьник может.
Внимание вопрос, при чём тут циска?
«По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):

4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).»

«С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования „

Значит, любой IOS, содержащий шифрование по умолчанию попадает под нотацию C2?
Функция шифрования не является неотъемлемой частью ИОС. А вот у Виндов — является, как ни странно
И в ближайшее время все версии ОС Виндовз будут поданы на нотификацию (по словам Миши)
А чем так хорош ГОСТ и так плохо импортное шифрование?
Криптостойкость ГОСТа ниже, или есть какие-то ключики у ФСБ к нему?
И почему не ввохить оборудование с IOSом в котором нет шифрования, и для его появления надо обновлять IOS, или это не прокатит?
Паранойя: они боятся, что враги легко декриптуют AES, а мы — нет, так как не мы разрабатывали.
А про ГОСТ (разрабатывали мы) все ровно наоборот, мол, может мы и не декриптуем, но и враги — тоже

То, что терморектальный криптоанализ рулит я в курсе. В нашей стране особенно: достаточно ребятам в удобных бронежилетах зайти в офис и вежливо попросить, как AES-256 превращается в шифр Сцитала :)

Обновить ИОС официально можно только купив его. Со всеми вытекающими (это продукт, который везут на диске и растамаживают). Если неофициально, то можно налететь на цискино регулирование (судя по существующей практике это никого не беспокоит). А теперь можно ещё и на наше законодательство.

Наверно ко всем подряд сразу приходить не будут.

Но есть замечательный закон ФЗ-152, по которому теперь можно зайти в к ЛЮБОЙ организации и вежливо спросить, а как ВЫ защищаете перс.данные? И начать проверять… Со всеми вытекающими.

Я уж не говорю про госсектор и госрегулируемый сектор. Там все ещё строже.
Ну гос сектор на то и госсектор.
А вот про IOS не совсем понял, знакомцы имеют аккаунт на циске, и обновляют его вполне официально через сайт. Или я путаю что-то с чем-то =). Я просто во внутренней кухне циски и корпоративных клиентов не варюсь, поэтому для меня эти все сервисы не доступны.
Ну а на счёт страхов и параной, это конечно весело, ну да ладно, на то оно и государство, чтобы чинить проблемы бизнесам.
В рамках контракта ты можешь обновить IOS в том же фича-сете и той же major версии. Minor апдейты даже не всегда официально доступны.

Но вы правы: имея ССО логин есть доступ ко многим ИОСам. Тут то и кроется хитрость: скачать их можно, влить себе — тоже, но поддержки циски не будет.
Хммм поддержки циски в чём? Просто как бы варимся в уездных городах в собственном соку и силами своими всё держим, это случаем не как с редхатом, заплатил за лицензию а в техподдержу не обращался, т.к. дефолтная лицензия стоит не дорого но и ответ в течении 12-24 часов по емэйлу не устраивает и все проблемы сам решаешь. Поэтому и сползли все на CentOS.
Если надоел с вопросами то не отвечайте, у меня есть такое автоматиеское занудство =).
Есть такая штука — SMARTnet. Оно стоит денег и дает некие блага.
Спасибо, погляжу. Положа руку на сердце, стоит она своих денег?
Есть еще и cobrend сервисы от партнеров, это если циска далеко в москве, а партнер рядом — тогда он будет оказывать суппорт.
не написали что есть еще и категории R, для радиооборудования, которые тоже зависают на таможне.
И так же новость этой недели, коммутаторы 29хх и 3ххх внесли в категорию С4 и сейчас их в россию не ввезти — это вообще полный маразм.
Хотя циска уже пол года с ними динамит. Срок производства коммутатора 2960 ставит 170 дней!!! Плюс еще таможня 3 месяца. Т.е. заказ делаем сейчас, оборудование получаем в конце года. Такими темпами потеряют рынок.
У нас уже клиенты выбирают альтернативы — не согласны столько ждать.
Only those users with full accounts are able to leave comments. Log in, please.