ПАК ФПСУ-IP и его плюшки

в 18:08, , рубрики: vpn-туннель, ГОСТ 28147-89, информационная безопасность, криптография, Сетевые технологии, метки: ,

Аппаратная организация VPN в РФ в основном держится на следующем оборудовании: CSP VPN Gate (rVPN), ФПСУ, Континент, Check Point. В данной заметке попытаюсь рассказать о ФПСУ – «Программно-аппаратный комплекс «Фильтр Пакетов Сетевого Уровня – Internet Protocol», который используют по крайней мере в двух очень больших корпорациях, а его плюшки еще шире разлетелись по территории РФ.
На мой скромный вкус, название не ахти, особенно 4 крайние буквы, которые запросто трансформируются в «2СУ», «2IP», «2*3OSI» или что-то подобное, т.к. по смыслу означают одно и то же. Не знаю почему, но мне сразу на ум приходит видео о КРИПО и их «интернет портале». Разработан ФПСУ российской компанией Амикон, и предназначен для организации туннелей между оконечным сетевым оборудованием.

Поставка

Из себя ПАК представляет 2-ух диновый helios блок
image
Последние модификации были выполнены в blade стиле:
image
В поставку идет: 2 патч корда, 2 тм-таблетки, ПО, ФОРМУЛЯР КСЗИ (для регуляторов). Вот здесь обнаруживается вопрос: верной является практика применения горячего резервирования ПАК, для этого в них предусмотрен третий Ethernet интерфейс для синхронизации, но crossover нет (до 2010 года адаптеры в ФПСУ не могли переворачивать). Ну ладно, обжать не проблема, но осадок то остался. Что приято, распаковывая ФПСУ, вы получается полностью функционально готовый ПАК, в котором лишь необходимо откалибровать ДСЧ, записать конфигурацию и выдать аутентификаторы.

Эксплуатация

В качестве ОС сейчас используются компоненты linux, раньше dos. Забавно следующее, ФПСУ под управлением dos не определяла 95% USB носителей, но если такой носитель был найден, то все каталоги и файлы на нем были доступны. После обновления до linux, флеш стали определяться без проблем, но виден был только корень диска. Какая из 2-ух зол меньшая? Приходилось применять смекалку, чтобы и конфиг достать и обновиться. Обратная совместимость версий и конфигураций односторонняя: 2,50 не примет конфигурацию от 2,53 – обратное без проблем. Обновлять ОС советую подождав некоторое время, «7 раз отмерь-1 раз отрежь», бывало что в обновлениях ОС, появлялось больше ошибок, чем в предыдущей версии. И еще, обновлять ОС можно только после того как новая версия прошла сертификацию в ФСБ. Основными этапами настройки с 0, а также обязательными перед использованием в рабочем режиме являются:
1. Проверка порядковой нумерации и MAC сетевых адаптеров (какой смотрит наружу, какой внутрь)
2. Установка конфигурации и верной версии ключей шифрования
3. Регистрация удаленного администратора – выдача аутентификатора ФПСУ
4. Настройка режима горячего резервирования.

Классические проблемы

Опишу с чем я сталкивался чаще всего:
1.Для моего региона смертью ФПСУ являлись пыль и жара, в итоге БП в утиль, он мог и не сгореть, а просто не давать нужных вольт-амперных характеристик, из-за этого ФПСУ не проходила POST.
2.Повреждение хранилища статистики, ФПСУ работает, но туннелей нет – только переустановка ОС.
3.«OS Crashed» — изменилось устройство загрузки, проверить порядок в BIOS.
4.«* Accord» — проверить параметры BIOS, вскрыть ФПСУ, передёрнуть PCI карту Аккорда.
5.«OS Starting…» — ПАК не загружается, только переустановка ОС.
6.ПАК работает, отсутствует туннель – если все в порядке с сетью, проверить версии ключей на двух концах туннеля, т.к. применяется симметричное шифрование.
7.С точки зрения логики ОС, никаких проблем в ФПСУ не было ни разу, кроме одной. Количество узлов, разрешенных на доступ группы, равен…84. Почему не 256, 512, почему вообще ограничено?

Дополнительные возможности

ФПСУ можно использоваться как МСЭ, не зря же в его названии есть слово «фильтр». По умолчанию ПАК отбрасывает все не зашифрованные пакеты, но настроить правила для портов и протоколов стека TCP возможно, что при небольшой нагрузке сэкономит финансы. Нагрузка в ФПСУ имеет очень большую роль при звездообразной топологии инфраструктуры сети, т.к. на центральном узле будут использованы все ключи от каждой транзитной ФПСУ и выполнять функции фильтрации и расшифрования одновременно будет проблематично (по крайней мере на ПАК предыдущего поколения, загрузка процессора постоянно около 100%).
Также наличие 2 сетевых интерфейсов, позволяет использовать ФПСУ в качестве маршрутизатора. Но это уже на совсем крайний случай.
Удаленный администратор и этим все сказано.
image
Показывает состояние туннелей, версии ПО, ключи, статистику узла, можно обновлять, управлять ПАК, имеются различные фильтры, в общем все отлично. Но, есть очень полезная функция – «Пинг от ФПСУ» и она не работает! Забыли комментарии убрать в исходном коде при сборке, наверное… Статистика, просто невероятно не оптимизирована, за 1 рабочий день формирует файл объемом 24 Гб.

Плюшки

ФПСУ-IP клиент.
Это USB-токен такого вида:
image
Инициализируется в специальной оснастке, где в него вписывается конфигурация, номер группы и ключ ФПСУ, к которой он привязан. При этом данная группа на ФПСУ должна быть активирована. Использование токена позволяет строить VPN поверх интернета и также является МСЭ:
image
В принципе позволяет заменить HSM в платежных системах, АТМ и УСО.
Для корректной настройки на ЭВМ клиента необходимо установить софт. При установке на чисто ПО «ФПСУ-IP/Клиент» версию 4.3, на одном и том же моменте инсталятор виснет (проблема плавающая). Решается это так: ставим более старую версию 4.12, 4.2 и сверху накатываем 4.3. Работает!

В итоге

Все в общем-то достаточно на неплохом уровне, но мне кажется, что большие контрактные обязательства, не позволяют развиваться продукции от Амикон более интенсивно, а было бы интересно. Быть может это помогло бы избавиться от «детских болезней», хотя за 10 лет, можно было бы их решить, ведь версии ОС для ФПСУ меняются, а легендарный «поДудуплекс» в режимах настройки сетевых адаптеров все остается. Стабильность-признак мастерства в данном случае никак не в пользу отечественной продукции, стоимостью от 100 тыс. рублей за одну железку.

Автор: kimssster

Источник

Поделиться

* - обязательные к заполнению поля