Аппаратная организация VPN в РФ в основном базируется на следующем оборудовании: CSP VPN Gate (rVPN), ФПСУ, Континент, Check Point, Инфотекс VipNet. В этой заметке я попытаюсь рассказать о ФПСУ – «Программно-аппаратном комплексе «Фильтр пакетов сетевого уровня – Интернет-протокол», который используется как минимум в двух очень крупных корпорациях, а его преимущества распространились еще шире на территории России.
Российская Федерация.
На мой скромный вкус, название не ахти, особенно 4 внешние буквы, которые легко трансформируются в «2SU», «2IP», «2*3OSI» или что-то подобное, ведь по смыслу они означают одно и то же.
Не знаю почему, но сразу вспоминается видео о КРИПО и их «Интернет-портале».
Разработано ФПСУ российской компанией Амикон , и предназначен для организации туннелей между терминальным сетевым оборудованием.
Поставлять
ПАК - блок гелиоса 2 din.
Последние модификации были выполнены в стиле клинка:
В комплект поставки входят: 2 патч-корда, 2 ТМ-планшета, программное обеспечение, КСЗИ ФОРМА (для регуляторов).
Вот здесь и возникает вопрос: практика использования PAC горячего резерва правильна; для этого предусмотрен третий Ethernet-интерфейс для синхронизации, но кроссовера нет (до 2010 года адаптеры в ФПСУ нельзя было перевернуть).
Ну да ладно, отжать не проблема, но осадок остаётся.
Что приятно, распаковав ФПСУ, вы получаете полностью функционально готовый ПАК, в котором нужно только откалибровать DSD, записать конфигурацию и выдать аутентификаторы.
? операция
ОС теперь использует компоненты Linux, ранее DOS. Самое смешное, что ФПСУ под управлением dos не обнаружил 95% USB-носителей, но если такой носитель был найден, то все каталоги и файлы на нем были доступны.После обновления на Linux флэш определился без проблем, но был виден только корень диска.
Какое из двух зол меньшее? Мне пришлось проявить смекалку, чтобы получить конфигурацию и обновить ее.
Обратная совместимость версий и конфигураций односторонняя: 2.50 не примет конфигурацию из 2.53 - обратное не проблема.
Советую обновлять ОС, подождав некоторое время, «7 раз отмерь, один раз отрежь», бывало, что в обновлениях ОС появлялось больше ошибок, чем в предыдущей версии.
И все же обновить ОС можно только после того, как новая версия пройдет сертификацию ФСБ.
Основными этапами настройки с 0, а также необходимыми перед использованием в рабочем режиме являются: 1. Проверка серийной нумерации и MAC сетевых адаптеров (что наружу, что внутрь) 2. Установка конфигурации и правильной версии ключей шифрования.
3. Регистрация удаленного администратора – выдача аутентификатора ФПСУ.
4. Настройка режима горячего резерва.
Классические задачи
Опишу то, с чем сталкивался чаще всего: 1. Для моего региона смерть ФПСУ была пыль и жара, в результате блок питания был сдан в утиль, он мог и не сгореть, а просто не обеспечить требуемые вольт-амперные характеристики, из-за этого ФПСУ испортился не пройти POST. 2. Повреждение хранилища статистики, ФПСУ работает, но туннелей нет - только переустановить ОС.3. «OS Crashed» — поменялось загрузочное устройство, проверьте порядок в биосе.
4. «*Аккорд» — проверьте параметры биоса, откройте ФПСУ и извлеките PCI-карту Аккорда.
5. «Запуск ОС.
» - ПАК не загружается, только переустановка ОС.
6. PAC работает, туннеля нет - если с сетью все в порядке, проверьте версии ключей на обоих концах туннеля, т.к.
используется симметричное шифрование.
7. С точки зрения логики ОС проблем в ФПСУ никогда не было, кроме одной.
Количество узлов, разрешенных для группового доступа, составляет.84. Почему не 256, 512, почему вообще ограничено?
Дополнительные возможности
ФПСУ можно использовать как МС? Не зря в его названии есть слово «фильтр».По умолчанию PAC отбрасывает все незашифрованные пакеты, но есть возможность настроить правила для портов и протоколов стека TCP, что позволит сэкономить деньги при небольшой нагрузке.
Нагрузка на ФПСУ имеет очень большую роль в звездообразной топологии сетевой инфраструктуры, поскольку на центральном узле будут задействованы все ключи от каждого транзитного ФПСУ и одновременно выполнять функции фильтрации и дешифрования будет проблематично.
время (по крайней мере на ПАК предыдущего поколения загрузка процессора постоянно около 100%).
Также наличие 2-х сетевых интерфейсов позволяет использовать ФПСУ в качестве роутера.
Но это самый крайний вариант. Удаленный администратор и все.
Показывает состояние туннелей, версии ПО, ключи, статистику узлов, можно обновлять, управлять ПАКом, есть различные фильтры, в целом все нормально.
Но есть очень полезная функция - "Пинг от ФПСУ" и она не работает! Наверное, при сборке забыли убрать комментарии в исходнике.
Статистика просто невероятно неоптимизирована, за 1 рабочий день генерирует файл размером 24 Гб.
Булочки
Клиент ФПСУ-ИП.
Это USB-токен такого типа: 
Он инициализируется в специальном оборудовании, где в него вводятся конфигурация, номер группы и ключ FPSU, к которому он привязан.
В этом случае данная группа на ФПСУ должна быть активирована.
Использование токена позволяет построить VPN через Интернет, а также является MS?: 
В принципе, позволяет заменить HSM в платежных системах, банкоматах и УСО.
Для правильной настройки на клиентской виртуальной машине должно быть установлено программное обеспечение.
При установке на чистое ПО «ФПСУ-ИП/Клиент» версии 4.3 установщик в тот же момент зависает (плавающая проблема).
Решается это так: установить старую версию 4.12, 4.2 и накатить поверх 4.3. Работает!
В конце концов
В целом всё на достаточно хорошем уровне, но мне кажется, что большие контрактные обязательства не позволяют более интенсивно развивать продукцию Amicon, а было бы интересно.Возможно, это помогло бы избавиться от «детских болезней», хотя лет через 10 их можно было бы решить, ведь версии ОС для ФПСУ меняются, но легендарный «Дудуплекс» в режимах настройки сетевых адаптеров все равно остается.
Стабильность в данном случае является признаком мастерства и ни в коей мере не в пользу отечественной продукции стоимостью от 100 тысяч рублей за железяку.
Теги: #vpn туннель #ГОСТ 28147-89 #информационная безопасность
-
Водопад
19 Oct, 24 -
Фиолетовая Корова
19 Oct, 24 -
Виды «Игровых» Ошибок
19 Oct, 24
