Создание шифрованного канала поверх OpenVPN

[Dimich]

Доброго времени суток!

Пожалуйста, окажите консультацию новичку. Между филиалами необходимо организовать связь посредством сертифицированного решения, обеспечивающего шифрование по ГОСТу т.к. планируется передача сведений, содержащих персональные данные (ФЗ 152).

Рассматриваю решение ФПСУ-IP. В основном сейчас интересует, насколько оно подходит для решения моих задач и стоимость затрат.
В настоящее время используется связь между филиалами посредством OpenVPN с резервированием канала между двумя-тремя интернет провайдерами.

Я прав, что ФПСУ-IP сможет работать в такой конфигурации, т.е. предоставлять шифрованный тунель внутри OpenVPN?

Какие аппаратные и программные средства необходимо купить, чтобы реализовать это на практике?
Т.е. понятно, что для связи 2 филиалов должно быть самих 2 железки ФПСУ-IP (желательно с горячим резервом). Далее необходимо ПО для генерации ключей, управления самой ФПСУ-IP? Железкой в удаленном филиале тоже нужно управлять (все таки от 100 до 200км дороги), значит ПО удаленного администрирования необходимо приобретать? Что-то еще, про что я не понял или забыл?

Или я где-то принципиально заблуждаюсь?

Насколько понял из описаний, возможна также работа, когда в центральном офисе стоит ФПСУ-IP, а удаленные клиенты пользуются софтовыми ФПСУ-Клиент. Но этот вариант не подходит, т.к. все сервера и клиенты у нас исключительно под linux. Windows практически не используется.

 

[andrew321456]

<r><QUOTE author="Dimich"><s>

</s>Доброго времени суток!

Я прав, что ФПСУ-IP сможет работать в такой конфигурации, т.е. предоставлять шифрованный тунель внутри OpenVPN?
<e>

</e></QUOTE>

А зачем? Чтобы совсем запутать врагов?
Между ФПСУ и так будет шифрованный канал.
Правда если будет несколько железяк в разных точках, то еще нужен будет ЦГК (центр генерации ключей), который не ЦГКК (центр генерации ключей клиентов).
ЦГК - делает ключевые пары для применения в ФПСУ-IP, с помощью которых шифруется туннель между ФПСУ-шками.

PS: Могу, конечно, ошибаться. Ну да разработчики или более официальные лица поправят.</r>

 

[Dimich]

Нет, врагов не надо путать.

Основная цель, которую я преследую в данный момент, это 100% надежность канала (+ получить сертифицированную систему шифрования). Поэтому используется соответственно настроенные OSPF и OpenVPN между хостами. Если ложится один или несколько провайдеров, то автоматом меняются маршруты и трафик заворачивается через других провайдеров и/или в другие подсети, что гарантирует работоспособность сети, пока последний из провайдеров не лег.

Вот поэтому и родился вопрос.

Насчет ЦГК понял. Нужно.

А вот по поводу удаленного управления железками не понятно. Если требуется удаленное управление комплексами, то ПО приобретается на каждый отдельный комплекс (железку) или это единое ПО для управления группой железок и требуется 1 комплект данного ПО?

И система автостарта - тоже немного непонятно. С питанием все в порядке. Резерная подстанция, ИБП и т.п. Если уж что случилось, то все равно много чего включать нажатием кнопки и приехать на место не вопрос. Единственное, что меня смущает - это возможные зависания ФПСУ. Насколько это вероятно? Спасет ли автостарт от зависаний/удаленных перезагрузок? Требуется ли при перезагрузке система автостарта или usb-токен?

 

[andrew321456]

<r><QUOTE author="Dimich"><s>

</s>Нет, врагов не надо путать.

Основная цель, которую я преследую в данный момент, это 100% надежность канала (+ получить сертифицированную систему шифрования). Поэтому используется соответственно настроенные OSPF и OpenVPN между хостами. Если ложится один или несколько провайдеров, то автоматом меняются маршруты и трафик заворачивается через других провайдеров и/или в другие подсети, что гарантирует работоспособность сети, пока последний из провайдеров не лег.

Вот поэтому и родился вопрос.
<e>

</e></QUOTE>
Я к тому, что OSPF можно и внутри ФПСУ запустить. Иначе, по моему мнению, когда запускаешь туннель в туннеле (ФПСУ через OpanVPN), то надежность будет падать при ухудшении качества канала.

<QUOTE><s>

</s>
Насчет ЦГК понял. Нужно.

А вот по поводу удаленного управления железками не понятно. Если требуется удаленное управление комплексами, то ПО приобретается на каждый отдельный комплекс (железку) или это единое ПО для управления группой железок и требуется 1 комплект данного ПО?
<e>

</e></QUOTE>
Надо, чтобы ФПСУ поддерживал удаленное управление. Насколько это отдельная опция или оно идет включенным по умолчанию, это надо спрашивать официальных продажников.
А так, программа управляет всеми ФПСУ, которые в ней зарегистрируешь.

<QUOTE><s>

</s>
И система автостарта - тоже немного непонятно. С питанием все в порядке. Резерная подстанция, ИБП и т.п. Если уж что случилось, то все равно много чего включать нажатием кнопки и приехать на место не вопрос. Единственное, что меня смущает - это возможные зависания ФПСУ. Насколько это вероятно? Спасет ли автостарт от зависаний/удаленных перезагрузок? Требуется ли при перезагрузке система автостарта или usb-токен?<e>

</e></QUOTE>
Где-то в документации встречал описание, что автостарт - это фиговина, которая втыкается в последовательный порт и которая ищется в нем при старте комплекса. Насколько это соответствует истине - не скажу. Повторно найти место в документации сходу не смог.
Можешь глянуть документ FPSUadmin.pdf (руководство администратора ФПСУ-IP), который можно взять с сайта, в главе "4.4.1 Регистрация таблеток" на странице 72 рассказывается как/где включить/выключить автостарт. К сожалению, программное оно или аппаратное оттуда совсем мне непонятно.</r>

 

[Dimich]

andrew321456, спасибо!
В общих чертах с Вашей помощью разобрался. Теперь можно уже конкретные вопросы у продажников спрашивать.

 

[andrew321456]

<r>На здоровье.
К сожалению, комплекс ФПСУ-IP - это сплошные особенности, которые в некоторых местах абсолютно мутно и муторно описываются в документации.

PS: Нашел. Прямо на сайте про "Устройство автозапуска"

<URL url="http://www.amicon.ru/fpsuip/rskey.htm">http://www.amicon.ru/fpsuip/rskey.htm</URL></r>