До написания данного обзора даже и не подозревал, что у компании ЛИССИ есть своё собственное решение для построения VPN-сетей под названием LirVPN. Насколько можно судить из описания, продукт представляет собой доработанные библиотеки OpenVPN, но степень доработки без детального тестирования оценить затруднительно. Строго говоря, поддержка сторонних криптобиблиотек (ГОСТ) в OpenVPN и так имеется, а вот их правильное «прикручивание» - вопрос, как это обычно со свободным ПО бывает, скорее всего не тривиальный. Кстати, OpenVPN распространяется под лицензией GNU GPL, так что можно смело требовать от ЛИССИ предоставления исходных кодов, как, например, это сделал КРИПТОКОМ для своего аналогичного продукта. Что же касается практического использования LirVPN именно как межсетевого экрана, то это вряд ли целесообразно, особенно если вам не нужна поддержка российской криптографии: OpenVPN всё же ориентирован больше на построение защищённых соединений.
Та же ЛИССИ предлагает другое решение для межсетевого экранирования - FORT. Описание функционала МЭ «FORT» на сайте разработчика вчистую взято из соответствующего руководящего документа ФСТЭК, а именно из раздела «Требования к третьему классу защищенности МЭ». Текст практически дословный, что, конечно, достаточно забавно. Раз больше о продукте написать у разработчика ничего не нашлось, то, пожалуй, нет никакого смысла его использовать – любой сертифицированный межсетевой экран такого же класса точно умеет делать то же самое. Отмечу ещё, что МЭ «FORT» входит в состав программно-аппаратного комплекса «IP-Plug FW», который явно делался под конкретный проект. Кстати, в качестве заявителя при сертификации МЭ «FORT» указан ООО «Гарант-Телеком», не они ли и делали этот проект?
Следующий сертифицированный межсетевой экран – WatchGuard Firebox компании WatchGuard, официальным дистрибутором которой на территории России является компания Rainbow Security. Последняя мне лично известна только своими успехами на ниве «маркетинга на грани фола» с достаточно агрессивным «обзвоном» партнёров и клиентов. С другой стороны, коллеги прекрасно знают своих конкурентов и активно предлагают переходить на красное, явно указывая конкурирующие модели. Не знаю, действительно ли такой подход работает на практике, но точно очень уж напоминает отдельные китайские компании с их нетленным:
Для подбора партномеров оборудования MAIPU, функциональных аналогов оборудования CISCO, введите в поисковое окно партномер CISCO или его часть (не менее 4-х последовательных символов).А сам WatchGuard – продукт, видимо, неплохой, хотя ни в одном из серьёзных проектов встретить его пока не доводилось.
Идём дальше. Сертифицированный как межсетевой экран продукт RSOS6850 является прежде всего коммутатором. Характеристики устройства выглядят впечатляюще и вполне современно, но всё же относятся больше именно к коммутаторам, чем к межсетевым экранам. Разработчик, ЗАО «Российская корпорация средств связи», судя по сайту, имеет серьёзную господдержку, а продукты свои разрабатывает с активным привлечением крупных мировых игроков. В описании РКСС говорится следующее:
РКСС в сотрудничестве с мировыми лидерами ИТ-индустрии разрабатывает и производит на территории РФ сертифицированное телекоммуникационное оборудование с применением российских решений в области криптографии и шифрования.Казалось бы – отличный продукт, да ещё и российский. Смущает только, что он как две капли воды похож на Alcatel-Lucent OmniSwitch 6850. Так что, вопрос о том, что и где именно производится, остаётся несколько подвисшим в воздухе. Беглый поиск показывает, что RSOS6850 заказывают в Газпроме и многих государственных учреждениях. Цена, как можно примерно оценить по вот этому документу, составляет около 2-2,5 млн руб.
Производство ведется на предприятиях ГК «Ростехнологии», которые оснащены современным сборочным и измерительным оборудованием, системой контроля качества и обширной лабораторно-исследовательской базой.
Переходим к следующему продукту. В сотрудничестве с «АЛТЭКС-Софт», компания Entensys, имеющая офис разработки в Научном центре Новосибирска – Академгородке, выпустила в своё время сертифицированный межсетевой экран UserGate Proxy & Firewall 5.2.F. Сотрудников в компании Entensys «более 35 человек», а дата основания 2001 год, но, тем не менее, по количеству и, что ещё приятнее, качеству информационных материалов Entensys даст фору многим старожилам этого сегмента рынка. Сертифицированной версии посвящён специальный раздел сайта с исчерпывающим объёмом информации.
Что мне ещё понравилось – сертификат получен не на соответствие ТУ (техническим условиям), а на выполнение требований задания по безопасности с оценочным уровнем доверия ОУД 2. Если упростить, то аналогия такая же как с ТУ и ГОСТ на колбасу: в ТУ можно написать всё, что угодно (теоретически по ТУ можно хоть вредоносное программное обеспечение сертифицировать), а вот сертификация по общим критериям – совсем другой, более современный и, если хотите, цивилизованный подход к сертификации средств защиты информации. Во всяком случае, именно такое представление сложилось у меня в ходе неоднократного общения с коллегами из ЦБИ. Так что именно такая сертификация (по ОУД) в данном случае вполне объяснима: да простят меня коллеги из ЦБИ, но их, АЛТЭКС-Софт, а равно и Профиль Защиты, я пока не очень различаю =).
Теперь о грустном. Класс МЭ получен крайне низкий – МЭ4, что довольно трудно объяснить. Далее, заявлено, что «сертификационная поддержка UserGate Proxy & Firewall 5.2.F подразумевает возможность доступа к обновлениям дистрибутива, находящимся в специальной закрытой зоне», но сертифицирована по-прежнему версия 5.2 F, хотя текущая имеет номер уже 5.4. Наконец, крайне удручают коммерческие успехи неплохого, судя по всему, продукта. Конечно, доступа к реальным цифрам продаж у меня нет, но низкая раскрученность бренда, слабая представленность в тематических изданиях и на мероприятиях, а также анализ разделов форума на сайте и результатов запросов в поисковых системах складываются в общее впечатление, что обычный UserGate Proxy & Firewall в своём сегменте пользуется популярностью, а продвижение сертифицированного варианта было в своё время отдано на откуп компании АЛТЭКС-Софт, которая буквально ещё на прошлой неделе была указана на сайте как единственный дистрибутор сертифицированного продукта, но результатов, сколько-нибудь близких к фантастическим не добилась. Сейчас таким единоличным федеральным дистрибутором является Axoft, посмотрим, что получится у этой команды.
Последний на сегодня игрок из списка – компания Checkpoint, разработчик вполне неплохих межсетевых экранов с мировым именем и тягой к регулярным маркетинговым преувеличениям. Первые единичные экземпляры (позже ограниченные партии ~20 штук) сертифицировались ещё с 2006 года, потом пошли и партии покрупнее до 200 экземпляров. В мае 2010 года был получен сертификат на 235 экземпляров Checkpoint UTM-1 Edge с версией ПО 8.0.37x на класс межсетевого экранирования МЭ4, да и то «при ограничениях в Формуляре». На распродажу этой небольшой, в общем-то, партии потребовалось, видимо, почти два года, но зато в феврале 2012 года был сертифицирован Checkpoint UTM-1 Edge N уже серией и по классу МЭ4 без указания на ограничения. Также формально продолжает действовать сертификат на 200 экземпляров Check Point FireWall-1/VPN-1 и некоторые другие сертификаты на небольшие партии устройств.
В целом, глядя на все эти сертификаты, можно констатировать, что, несмотря на длительное присутствие Checkpoint на российском рынке, до недавнего времени данный вендор не был особенно активен в этом сегменте, хотя определённый интерес всё же проявлял. Возможно, что с учётом нынешней ситуации в области законодательного регулирования активности чуть прибавится.
Сертифицированные межсетевые экраны из сегодняшнего обзора в таблицу добавлю в ближайшие дни. Впереди ещё две части обзора.
Изображение: http://pixs.ru/showimage/x21549c31j_9498348_3653128.jpg
