SolarSecurity 13 авг 2020 в 09:00

ViPNet в деталях: разбираемся с особенностями криптошлюза

12 мин

172K

Блог компании СоларИнформационная безопасность*

+20

Комментарии 22

saipr 13 авг 2020 в 09:38

Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)?

Это наша российская действительность и не только в протоколах шифрования. Сколько у нас напридумано самописных протоколов!!! И это было бы полбеды, если бы можно было найти их описание, их спецификацию. А у нас даже в тендерной документации порой пишут — должно соответствовать стандартам а ля Вася Пупкин (не в обиду Васе будь сказано).

IgorShark 17 авг 2020 в 13:00

Если говорить об Инфотексе, то они приоткрыли завесу тайны
tc26.ru/discussions/informatsionnaya-tekhnologiya-kriptograficheskaya-zashchita-informatsii-protokol-bezopasnosti-setevo.html

INSTE 13 авг 2020 в 10:28

Довелось поадминистрировать по касательной десять лет назад — большего кала с точки зрения количества глюков и качества работы не встречал.
Лучше бы сделали реализацию IPsec с ГОСТ-шифрованием — там хоть разобраться можно было бы. Чем городить весь этот ужас с привязкой к вендору и созданный только для выкачвания бабла на всех этапах.

insomnium-r 13 авг 2020 в 11:56

По касательной 10 лет назад. Т.е, в переводе на русский, вы не разобрались в продукте, в аналогах продукта, да еще на условно древней версии, и поливаете его своим гневом?)

-2

INSTE 13 авг 2020 в 12:23

Какие могут быть аналоги, если это спущено приказом сверху и должно быть внедрено «вчера» на уже существующей сети, и на которую оно ложилось очено плохо из-за множества территориально разнесенных филиалов? (это была электронная сдача отчетности в ТФОМС в больнице — попробуйте ТФОМС предложить альтернативы, а я посмотрю на реакцию)
В продукте в итоге разобрался (хотя разобраться в нужном количестве лицензий и в итоге выбить на это деньги — это еще один квест, в котором уже не столько техники, сколько политики и общения со всякими Минздравами, тянущегося по году, а нужно «вчера»), но это было просто ужасно, и это даже несмотря на то, что я без скрипа зубов воспринимаю термины навроде «имитовставка» (то есть у меня нет изначального предубеждения против отечественных алгоритмов).

insomnium-r 17 авг 2020 в 12:28

судя по тому, что вы описали, вы точно не разобрались в теме и не смогли разобраться с випнет клиентом (да да, я знаю что такое ТФОМС и как там все рулится), что выдает в вас эникейщика бюджетного учреждения. И да, а зачем вам куча лицензии? один сетевой узел на филиал и как бы все. и что не так с термином имитовставка?

krylov_sn 19 авг 2020 в 15:22

В зависимости от ТФОМС (региона) — разные требования к конфигурации обычной сетки и VipNet. Некоторые фонды поднимают ресурсы внутри закрытой сети. Доступ к ним может требоваться с нескольких компов. Тут и начинаются вопросы. Кому-то достаточно если один клиент, а остальные цепляются через прокси, кто-то говорит, что надо на каждый такой комп свой клиент.

IgorShark 17 авг 2020 в 12:42

Вопрос дискуссионный. У Инфотекса, как и у Кода, шифрование это черный ящик с соответствующими плюсами и минусами. Плюсы черного ящика в том, что это работает(должно работать) из коробки(считай сервисная модель) и под капот лезть не надо, минусы, которые из этого вытекают, тоже всем понятны.
Поэтому не стал бы тут применять критерии хуже или лучше.

sabirovrinat85 13 авг 2020 в 12:48

«про «Континент» тоже когда-нибудь поговорим»
Не забудьте рассказать о ситуации с их «TLS-клиентом», дело в том, что несмотря на то, что в качестве системных требований на официальных ресурсах указано что-то вроде Windows Vista/7/8/8.1/10, на деле же прекрасно работавший с Win10Home TLS-клиент вдруг безо всяких своих обновлений, или обновлений КриптоПро (разве что самой ОС) перестаёт функционировать, техподдержка сообщает, мол оно и не могло работать на домашней версии (?) и «внезапно» обнаруживается, что в инструкции к TLS-клиенту действительно указано требование Professional версии, в итоге приходиться закупать RTL версии операционок (т.е. сверху заставляют тратить средства) вместо тех OEM версий, закупленных вместе с компьютерами, непонятно, какими техническими ограничениями, присутствующими в Home редакции, это обусловлено? Учитывая, что систему «Электронный бюджет» Минфина уже внедрили, довольно подозрительными кажутся эти техограничения, заставляющие массово закупать дорогое ПО от MS вместо работающего предыдущего…

IgorShark 13 авг 2020 в 13:19

С документацией сложно спорить. Производитель тестирует на определенных системах, если уж в документацию вписали конкретно Prof, то видимо есть какие-то нюансы. Т.е. изначально устанавливая все это на Home вы принимали риск потери работоспособности.
И потом "само", конечно, ничего не ломается, все это прекрасно понимают.

krylov_sn 19 авг 2020 в 15:27

сейчас вполне может. Уже были случаи, когда обновления 10-ки ломали программы. Приходилось откатывать обновления / искать решения

Если это был сарказм, то извините…

IgorShark 19 авг 2020 в 15:30

С обновлениями все понятно и от этого никуда не уйдешь, но коллега написал, что никаких обновлений не было и просто все сломалось само собой. Я в такие сценарии не верю.

aliend 13 авг 2020 в 13:38

Кстати говоря, замиксовав самую младшую (и самую дешевую) линейку HW и продукт «американской транснациональной компании» можно получить шикарное решение задачи по построению распределенной корпоративной сети. Со всеми вкусностями буржуйского изделия в плане QoS&Shape, отечественной криптографией и без претензий «регулятора».

У нас русский мужичок до выдумок весьма горазд!

modsamara 26 окт 2021 в 16:49

Какое конкретно буржуйское изделие имелось в виду, если не секрет?

aliend 29 окт 2021 в 13:54

да циска же!

fenikolay 18 авг 2020 в 14:27

В одной из миниатюр Жванецкого предлагалось поднять уровень уровень спора на небывалую высоту, например, спорить о вкусе манго и кокосовых орехов с теми кто их ел! (надеюсь, что дату написания миниатюры, интересующиеся люди найдут самостоятельно)…

Так я к тому, что автор статьи только недавно увидел VipNet, есть признаки, что не читал документацию (а самое интересное там мелким шрифтом и в неожиданных местах), но уже несет тьму недопонимания в народ.

Пример для «затравки»: в части «Координатор недоступен» предлагается заглянуть в журнал пакетов — это хороший совет, но при раскрытии ситуации может выяснится, что:

— в 90% случаев координатор недоступен вместе со всеми другими узлами и причина либо тривиальное зависание службы iplir (это лечится легко), либо (редко) неполадки в драйвере сетевой карты, вызванные комбинациями факторов: iplir, обновление ОС, антивирус и т.д. (лечится уже хуже)

— в оставшихся 10% уже действительно можно посмотреть журнал, но вариантов много и для постановки дифференциального диагноза нужно больше информации (далеко не все лечится на клиенте)

и такого незнания много по всей статье, после прочтения хочется законодательного запрета на IT аутсорсинг в России

SolarSecurity 18 авг 2020 в 14:54

Журнал IP-пакетов, как и написано в статье, это только первая ступень диагностики и не решает абсолютно все проблемы. Мы предлагаем системный подход: от простого к сложному. Многие сразу начинают искать проблемы на канале или в компонентах софта, теряя на это время, хотя разгадка бывает банальна.

fenikolay 18 авг 2020 в 23:19

По разделу «Конверт не доставлен»

Про mftp администратор, должен знать что конфигурация по умолчанию на координаторе подразумевает отсутствие автоматического опроса смежных координаторов на предмет mftp обмена, что может приводить к поискам черной кошки в темной комнате даже когда ее там нет.

Особо интересный случай — межсетевое mftp через «левый» (не VipNet файервол): встречаются случаи, когда нет проброса порта (DNAT) и пока смежник сам с запросом не выскочит из под своего «левого» файервола (SNAT) обмена не будет. Лечится предыдущим пунктом при наличии доброй воли со стороны смежника (снаружи никак)…

Ну а клиентам надо чаще рекомендовать ставить настройку не «через сервер» а «mftp» при наличии проверяемой связи с узлом корреспондентом — это убирает много проблем. Вообще в VipNet отличаются логический и физический пути пакетов.

aliend 19 авг 2020 в 17:07

Все ж таки правильно: ViPNet, а не VipNet – вендор обижается.

mSnus 11 янв 2022 в 00:41

Статья старая, но я умудрился поставить себе этот VipNet CSP на домашний компьютер сегодня, по рекомендации сайта ФНС, nalog.ru. Уже полчаса вожусь, пытаясь восстановить Windows и снести эту дрянь, которая запорола мне работающую систему!

Люди, бойтесь этой криворукой софтины!!! К минимум у меня слетели мои собственные права администратор, так что даже просто удалить это не получится. Восстанавливаюсь..

-1

aliend 11 янв 2022 в 15:32

Статья совсем про другой продукт. К счастью, он более получился.

mSnus 11 янв 2022 в 16:40

Да, но Яндекс находит в первую очередь эту статью.. поэтому оставлю комментарий для тех, кто, как и я, убьёт себе компьютер этим софтом:

Возможно, проблема вызвана конфликтом с Comodo Firewall / Windows Firewall
Из самой системы не получается даже зайти в Safe mode
Решение проблемы - грузиться с флешки в подготовленный образ, где есть утилита редактирования реестра (всякие сборки на JINN)
Дальше вычищаются из реестра все упоминания VipNet (Cryptography и Uninstaller можно пропустить, и так там на час вдумчивой чистки ключей), и можно грузиться в происходившую в пострадавшую систему

Насколько я понял, проблема известна с 2015 года, но в 2022 всё ещё актуальна.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий