Хотелось бы увидеть к изложенным размышленияим комментарии хабравчан, проходивших или проводивших процедуру проверки вычислительной сети.
Если бы в нашей организации такая процедура время от времени не требовалась, организация сети в конечном итоге свелась бы к тому, что:
1. На центральной точке коммутации внутри организации использовался бы управляемый коммутатор с несколькими 10G портами для связи с другими управляйками и СХД; с 1G портами для конечных узлов; с поддержкой 802.1Q, 802.1x и прочими плюшками вроде DHCP snooping.
2. На других точках коммутации использовались бы аналогичные коммутаторы. 10G порты — для связи с центральной точкой коммутации, всё остальное — для конечных узлов.
3. Рядом с центральной точкой коммутации — сервер с, ну, скажем, xen и развёрнутыми Windows Server с AD и Linux-серверами для маршрутизации между VLAN-сегментами, выборочной маршрутизации в интернет и прочими прикладными службами а-ля DHCP, DNS, TFTP. Подключение по 1G или 10G (тут непринципиально).
4. Рядом с центральной точкой коммутации — СХД. Подключение по 10G, поддержка iSCSI, SMB, опционально NFS.
Однако, оказывается, сеть должна соответствовать.
Нужны паспорта автоматизированных рабочих мест, средства мониторинга, журналы учёта носителей и прочие журналы, модель угроз. С этим, кроме, может быть последнего пункта, особых проблем нет. Однако с требованием разграничения ЛВС предприятия возникают проблемы.
Маршрутизатору, буде он используется, требуется документ ФСТЭК. С этим проблем нет — тот же самый UserGate имеет необходимый сертификат. Однако далее сложнее. Доставка на канальном уровне заворачивается на тегированные линки между точками коммутации. Де факто, физическая среда передачи данных используется одновременно для нужд ЛВС, не требующей защиты, и нужд ЛВС с защищаемым оборудованием. И вот тут возникают вопросы:
— Коммутаторы на точках коммутации должны быть сертифицированы ФСТЭК как межсетевые экраны? Насколько я понимаю, да.
— Имеются ли сертифицированные коммутаторы с нужными нам характеристиками: 24 1G порта, 4 10G порта, 802.1Q, 802.1x?
— Получилось ли у кого-нибудь построить ЛВС организации с применением на узлах коммутации VLAN и пройти проверку соответствия?
При построении сети тут у нас в одном учреждении для защищённого и внешнего сегментов используюется физически разное оборудование, хотя это оборудование вполне способно ворочать виланами; всё разделено криптошлюзами. Официально тендер выиграл КРОК, но они это частично спустили субподрядчику. Я полагаю, это «генеральная линия партии», что строить сети следует так.
Для каждого не требуется. Нужно физически отделить защищенный сегмент (который нуждается в аттестации) от всего остального. Внутри сегментов использование VLAN не возбраняется.
Вопрос несколько запутан. Во-первых, необходимо понимать, что значит иметь сертификат ФСТЭК для ПО или "железа". Сертификаты выдают ПО или "железу" на основании того, соответствует оно определенным требованиям или нет. Так вот, нет у нас в стране требований на VLAN-ы в качестве средств защиты. Есть на МСЭ, недавно появились на антивирусы, а на VLAN-ы нет. Поэтому и защищать АС мы должны теми средствами которые у нас в стране проходят как средства защиты и имеют требования, на основании которых можно получить сертификаты соответствия. VLAN-ы можно использовать в качестве дополнительных методов защиты, но не основных. Основное и пока единственное средство защиты для разграничения/ограничения трафика это МСЭ.