Зачем нужны криптошлюзы?

Question

[nak-alexey]

Здравствуйте, есть к примеру криптошлюз континент, но разве нельзя например сделать шифрованный IPsec самостоятельно? Почему гос. учреждения, промышленные предприятия не жалеют денег на подобное дорогостоящие оборудование?

Comments

[Keffer]

Потому что отмывают деньги. Проще простого. Ну и потому что политота кругом, вражескому ipsec не доверяют, хотят ездить на велосипеде собственного изобретения, со всеми вытекающими.

[АртемЪ]

Keffer, При чем тут деньги и политота?
Есть требования безопасности. Нужны криптоалгоритмы, софт и оборудование без закладок. Чтобы неприятель не мог взломать.
Поэтому использовать иностранные криптоалгоритмы, софт и в меньшей степени железо на ответственных участках глупо. Шпионаж никто не отменял.
Следовательно нужно свое оборудование, алгоритмы и софт. Свое в том смысле что мы можем его контролировать.
Вот и все.

А когда есть заказ - идет работа, и всегда найдутся люди которые захотят на этом погреть руки, и попилить денег. Это в любом деле и в любой стране так. Нормальная ситуация.

Answer 1

[АртемЪ]

но разве нельзя например сделать шифрованный IPsec самостоятельно?

Можно.

Почему гос. учреждения, промышленные предприятия не жалеют денег на подобное дорогостоящие оборудование?

Почему в банковских сейфах используются дорогие замки? Неужели нельзя поставить купленный в ближайшем хозмаге?

Answer 2

[AntHTML]

Потому что есть требования кучи стандартов информационной безопасности которым должны соответствовать каналы связи и у шлюзов безопасности такие сертификаты имеются. А в государстве все должно быть своим, чтобы враги не влезли, а друзья оставались в тепле, отсюда и гослинукс и прочие поделки.
Тожесамое с требованиями по сертификации пограничного и общественного оборудования - wifi от mikrotik гораздо дешевле и современнее чем cisco - но в школе не поставишь - нет сертификата, e1/sip-шлюз от yealink тоже неплохо работает, но провайдер требует сертифицированную cisco

Comments

[Евгений Воробьев]

Ну нет, поделки вроде гос.линукса немного по другой причине существуют)) Хотя вы это описали. "Чтобы друзья оставались в тепле")

[AntHTML]

Евгений Воробьев, Ну как сказать, если в прошивках америкосовского оборудования иногда, пускай даже теоретически, могут встречаться "пасхалки" от АНБ, то почему таких же вариантов от наших доблестных не может быть в отечественных континент-ах. Поэтому идеальные ИБ-шники сначала сворачивают трафик цисковским 3DES, а потом уже его пропускают через континент. Чтобы как говорится: и не вашим и не нашим.

Answer 3

[Sanes]

Есть требования к шифрованию. Эту часть работ выносят на отдельное оборудование.

Answer 4

[Валентин]

разве нельзя например сделать шифрованный IPsec самостоятельно?

Можно. Только возможностей у Континента больше чем у обычного IPSEC. Например, есть выделенный Центр Управления Сетью, есть программные клиенты типа Cisco any connect, есть возможность шифрования по ГОСТ. Кроме того, СКЗИ должны быть сертифицированны. Рекомендую почитать приказы 21 и 17 ФСТЭК.

промышленные предприятия не жалеют денег на подобное дорогостоящие оборудование?

Оно не такое уж и дорогостоящее, если сравнивать аналогичные по функционалу (но не по сертификатам) железки от Cisco/juniper.