- PVSM.RU - https://www.pvsm.ru -
Аппаратная организация VPN в РФ в основном держится на следующем оборудовании: CSP VPN Gate (rVPN), ФПСУ, Континент, Check Point. В данной заметке попытаюсь рассказать о ФПСУ – «Программно-аппаратный комплекс «Фильтр Пакетов Сетевого Уровня – Internet Protocol», который используют по крайней мере в двух очень больших корпорациях, а его плюшки еще шире разлетелись по территории РФ.
На мой скромный вкус, название не ахти, особенно 4 крайние буквы, которые запросто трансформируются в «2СУ», «2IP», «2*3OSI» или что-то подобное, т.к. по смыслу означают одно и то же. Не знаю почему, но мне сразу на ум приходит видео [1] о КРИПО и их «интернет портале». Разработан ФПСУ российской компанией Амикон [2], и предназначен для организации туннелей между оконечным сетевым оборудованием.
Из себя ПАК представляет 2-ух диновый helios блок
Последние модификации были выполнены в blade стиле:
В поставку идет: 2 патч корда, 2 тм-таблетки, ПО, ФОРМУЛЯР КСЗИ (для регуляторов). Вот здесь обнаруживается вопрос: верной является практика применения горячего резервирования ПАК, для этого в них предусмотрен третий Ethernet интерфейс для синхронизации, но crossover нет (до 2010 года адаптеры в ФПСУ не могли переворачивать). Ну ладно, обжать не проблема, но осадок то остался. Что приято, распаковывая ФПСУ, вы получается полностью функционально готовый ПАК, в котором лишь необходимо откалибровать ДСЧ, записать конфигурацию и выдать аутентификаторы.
В качестве ОС сейчас используются компоненты linux, раньше dos. Забавно следующее, ФПСУ под управлением dos не определяла 95% USB носителей, но если такой носитель был найден, то все каталоги и файлы на нем были доступны. После обновления до linux, флеш стали определяться без проблем, но виден был только корень диска. Какая из 2-ух зол меньшая? Приходилось применять смекалку, чтобы и конфиг достать и обновиться. Обратная совместимость версий и конфигураций односторонняя: 2,50 не примет конфигурацию от 2,53 – обратное без проблем. Обновлять ОС советую подождав некоторое время, «7 раз отмерь-1 раз отрежь», бывало что в обновлениях ОС, появлялось больше ошибок, чем в предыдущей версии. И еще, обновлять ОС можно только после того как новая версия прошла сертификацию в ФСБ. Основными этапами настройки с 0, а также обязательными перед использованием в рабочем режиме являются:
1. Проверка порядковой нумерации и MAC сетевых адаптеров (какой смотрит наружу, какой внутрь)
2. Установка конфигурации и верной версии ключей шифрования
3. Регистрация удаленного администратора – выдача аутентификатора ФПСУ
4. Настройка режима горячего резервирования.
Опишу с чем я сталкивался чаще всего:
1.Для моего региона смертью ФПСУ являлись пыль и жара, в итоге БП в утиль, он мог и не сгореть, а просто не давать нужных вольт-амперных характеристик, из-за этого ФПСУ не проходила POST.
2.Повреждение хранилища статистики, ФПСУ работает, но туннелей нет – только переустановка ОС.
3.«OS Crashed» — изменилось устройство загрузки, проверить порядок в BIOS.
4.«* Accord» — проверить параметры BIOS, вскрыть ФПСУ, передёрнуть PCI карту Аккорда.
5.«OS Starting…» — ПАК не загружается, только переустановка ОС.
6.ПАК работает, отсутствует туннель – если все в порядке с сетью, проверить версии ключей на двух концах туннеля, т.к. применяется симметричное шифрование.
7.С точки зрения логики ОС, никаких проблем в ФПСУ не было ни разу, кроме одной. Количество узлов, разрешенных на доступ группы, равен…84. Почему не 256, 512, почему вообще ограничено?
ФПСУ можно использоваться как МСЭ, не зря же в его названии есть слово «фильтр». По умолчанию ПАК отбрасывает все не зашифрованные пакеты, но настроить правила для портов и протоколов стека TCP возможно, что при небольшой нагрузке сэкономит финансы. Нагрузка в ФПСУ имеет очень большую роль при звездообразной топологии инфраструктуры сети, т.к. на центральном узле будут использованы все ключи от каждой транзитной ФПСУ и выполнять функции фильтрации и расшифрования одновременно будет проблематично (по крайней мере на ПАК предыдущего поколения, загрузка процессора постоянно около 100%).
Также наличие 2 сетевых интерфейсов, позволяет использовать ФПСУ в качестве маршрутизатора. Но это уже на совсем крайний случай.
Удаленный администратор и этим все сказано.
Показывает состояние туннелей, версии ПО, ключи, статистику узла, можно обновлять, управлять ПАК, имеются различные фильтры, в общем все отлично. Но, есть очень полезная функция – «Пинг от ФПСУ» и она не работает! Забыли комментарии убрать в исходном коде при сборке, наверное… Статистика, просто невероятно не оптимизирована, за 1 рабочий день формирует файл объемом 24 Гб.
ФПСУ-IP клиент.
Это USB-токен такого вида:
Инициализируется в специальной оснастке, где в него вписывается конфигурация, номер группы и ключ ФПСУ, к которой он привязан. При этом данная группа на ФПСУ должна быть активирована. Использование токена позволяет строить VPN поверх интернета и также является МСЭ:
В принципе позволяет заменить HSM в платежных системах, АТМ и УСО.
Для корректной настройки на ЭВМ клиента необходимо установить софт. При установке на чисто ПО «ФПСУ-IP/Клиент» версию 4.3, на одном и том же моменте инсталятор виснет (проблема плавающая). Решается это так: ставим более старую версию 4.12, 4.2 и сверху накатываем 4.3. Работает!
Все в общем-то достаточно на неплохом уровне, но мне кажется, что большие контрактные обязательства, не позволяют развиваться продукции от Амикон более интенсивно, а было бы интересно. Быть может это помогло бы избавиться от «детских болезней», хотя за 10 лет, можно было бы их решить, ведь версии ОС для ФПСУ меняются, а легендарный «поДудуплекс» в режимах настройки сетевых адаптеров все остается. Стабильность-признак мастерства в данном случае никак не в пользу отечественной продукции, стоимостью от 100 тыс. рублей за одну железку.
Автор: kimssster
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/26645
Ссылки в тексте:
[1] видео: http://www.youtube.com/watch?v=e1ygOEs3Wfc
[2] Амикон: http://www.amicon.ru/
[3] Источник: http://habrahabr.ru/post/168565/
Нажмите здесь для печати.