Комментарии 132
Софтовые решения на виртуалках существуют или только железки за 100500 мильонов?
Вроде есть, от 76 т.₽ за лицензию на сервер. Была бы ещё гарантия, что ГОСТовский VPN не будет попадать под блокировки, - можно было бы даже рассмотреть для себя (а внутри "кузнечика" прокинуть вложенный туннель с нормальным шифрованием :)
Кузнечик достаточно стойкий, аналогичен международному AES
Рады за него, но речь о том, чтобы обеспечить приватность данных.
Ну прогнать поверх него еще и бездуховное западное шифрование - тогда майора надо будет целых два, причем не очень-то желающих сотрудничать между собой ))
уровень приватности данных для обычного пользователя достаточный(не будут структуры бэкдорить вас, только если не возьмут в проработку, но это уже либо вы не чисты на руку, либо имеете большой вес в обществе и неугодны кому-то). Но цена за эту приватность, если вы не бизнес, очень высока.
Вы так невинно закрываете глаза на тот факт, что на пользовательских данных можно делать деньги, что вам хочется даже поверить.
(не будут структуры бэкдорить вас, только если не возьмут в проработку, но это уже либо вы не чисты на руку, либо имеете большой вес в обществе и неугодны кому-то)
Не могу сейчас найти ссылку, но точно было уголовное дело, где нечистых на руку сотрудников органов привлекли за то, что они не просто сливали данные, а тупо продавали служебные планшеты с доступом к СОРМ за 1-2 миллиона рублей, что ли. Вполне себе вложение для СБ даже не крупного, а среднего бизнеса. Ну а уж разовые сливы - совершенно массовая история. Как и заказные уголовные дела в случае, если Вы кому-то можете насолить на достаточно значимую сумму. Так что чтобы опасаться, достаточно, чтобы Ваш конкурент / оппонент в суде / иной недоброжелатель был неразборчив в средствах и обладал достаточно скромным бюджетом.
Ну в нём есть известные странности, я не криптограф, критически оценить эти подозрения не могу. В любом случае тут беспокоит не столько алгоритм (даже если в него магическим для меня образом зашит бэкдор, уж точно не на моём скромном примере будут его использовать), сколько закрытый софт, который с любым алгоритмом может сделать исключение и слить незашифрованный трафик куда угодно.
Приватность данных никак не связана с алгоритмом шифрования
Так вроде ж можно подать заявление и не будет попадать.
У опсосов не скажу (там тспу пожесче), но вот на проводных все четко (я не администратор сети).
Аха, сейчас скажешь государству что у тебя впн, так оно замучает справками, из разряда, а зачем вам. Да еще и потом это платно и со штрафами сделает. А заднюю уже не дашь, спалился
Если бы эта тема была как-то формализована. А то было в своё время письмо Минцифры, мол обращайтесь через профильное ведомство (какое в пень профильное ведомство у микробизнеса) - и всё. Ни требований, ни условий, ни гарантий. Внутри РФ сейчас (за исключением белых списков на мобильном интернете, но в них-то уж точно не попасть), тьфу-тьфу-тьфу, VPN и так работает, а через границу что-то мне подсказывает, что скорее скажут спасибо за подсказку, какой IP включить в чёрный список, чем включат в белый :)
Я просто позвонил в территориальный отдел ркн в своем регионе и мне все объяснили. Да заявление не формализованное, но там как бы и не чего формализовать. Мне вообще сказали что в моем случае ничего подавать не надо.
По поводу списков и прочего... В соседнем регионе даже внутри региона внутри одного провайдера с прошлой недели возникают проблемы с связанностью узлов. Крайнего найти не могут (провайдер разводит руками, ркн говорит что не зона их ответственности) и сейчас в срочном порядке переходят на випнет для предоставления доступа к своим сервисам подведам. Я от греха начал еще с конца прошлого года и 16 марта у меня последний день перехода, оборудованием затарился еще загодя (пятой точкой ощущал что скоро серьезно возьмутся за ПД).
а есть еще аналоги таких лицензий?
Да, но нет.
Это всё от 100 клиентов, а хотелось чего-то более приближённого к малому и среднему бизнесу, упоминаемому в статье.
Да и не везде нужны сертификаты ФСБ и ФСТЭК.
Решения есть, для простых людей, желающих обеспечить свою информационную безопаснность, не попадать под блокировки и листать заблокированные ресурсы, думаю не подойдет. Тут речь скорее про бизнес и гост впн.
Вижу тема интересна, но сейчас нельзя рекламировать и писать про такое.
не попадать под блокировки и листать заблокированные ресурсы
Вот речь совершенно не про этот кейс.
Хочется именно ВПН для работы, филиалы объединять, удалёнщиков подключать и вот это всё, но не за 100500 лярдов денег и, даже, не от 76 т.₽ за лицензию, как указали выше в комменте. Зачем мне в точка-точка сто клиентских лицензий? Пять точка-точка и десяток или два для удалёнщиков, например?
Как насчет доказанности отсутствия бэкдоров?
вангую что нет. просто могут сделать так чтобы использовать можно было только ЭЦП изданные сертифицированными УЦ. А это наверное уже подразумевает что у товарища майора есть своя копия)
факт сертификации говорит только о том что кто-то заработал на безполезной бюрократии а кто-то на неё потратился, и больше ничего.
Когда компания работает с чувствительными данными — персональными
Я вот не могу понять, зачем собираются персональные данные?
Предположим я взял карточку лояльности в магазине "пятерочка". Я должен ее активировать. Если на карточке написан URL, имя пользователя и временный пароль, то я могу войти туда и зарегистрироваться. Конечно я могу указать там телефон, электронную почту. Но зачем? Какого хрена?
Вы зарегистрировались. Теперь вы получаете бонусные баллы за каждую покупку. Вам от этого польза.
А какую пользу от вас получает фирма? Зачем фирме нужна ваша активация? Что вы отдаёте фирме за эту карточку?
За эту карточку он отдаёт бабло, при чём немалое.
Отдает лояльность, что подразумевает название карточки. То есть негласное соглашение, что за небольшие бонусы пользователь будет отдавать предпочтение покупкам именно в этой торговой сети
Отдает лояльность
У покупателя, как правило, есть около 10 карточек лояльности. Покупатель отдаёт эту лояльность всем и каждому, отдавая предпочтение покупкам в любой торговой сети. Получается, что лояльность очень дешёвая штука, она есть у каждого продавца.
Карточка повышает вероятность покупки в конкретной сети, по себе вижу. Так что да, лояльность повышается, что в массе даёт ощутимый выхлоп.
Когда карточек 20 шт?
У меня 10 штук карточек всяких супермаркетов, но рядом только Дикси и три Пятёрочки.
В Дикси всегда воняет и стоят неразобранные, уже покосившиеся, поддоны с не выставленным товаром - поэтому постоянно захожу я только в одну из трёх Пятерочек. Даже Перекрёсток далеко (и дорого) - хоть карточка и та же, вроде.
Так что карточки лояльности работают в случае с онлайном, но не когда ради этого надо куда-то далеко идти.
Карточка повышает набор собираемых данных о предпочтениях групп покупателей.
фирма получает от вас список покупок, периодичность покупок, ваши предпочтения. На основе этой информации конторка прогнозирует потребности, например берете хлеб или корм по субботам -- он заканчивается к пятнице -- вы идете и берете хлеб и корм. Значит и закупить нужно больше, чтобы обеспечить вашу потребность, и скидочку может предложить.
Из минусов ,как сказали выше, вы просто за скидку в 3 рубля на апельсин отдаете свои данные - что купил, средний чек, периодичность покупок. Эти данные можно выгодно продать, чтобы предложить что-то еще, или подтолкнуть на импульсивную покупку, мол выгодно вдвойне! а то что это вам не нужно, вы может и не вспомните.
Плюс к этому они получают ваши данные, то есть привязку покупок к конкретному человеку - идентификация скорее всего, по номеру телефона. Номер 99% людей указывают свой основной, действующий, не задумываясь, хотя там может и проверки нет никакой, фамилию тоже. А при покупках проходит оплата с карты - следовательно, можно определить часть ФИО владельца и сопоставить с ФИО в анкете, а потом получать уведомления, если платят картой кого-то другого. А уже по этим данным понять, что либо человек передал другому карту лояльности, либо пользуется чужой картой для оплаты, то есть возможно, скрывается. А при желании сопоставить фотографии с автоматических касс еще и биометрически. Замечательно, правда?
возможно, скрывается
У гомозина нет полномочий на следственную деятельность. Он может что угодно фантазировать.
А если чувак скрывается от полиции и предьявляет свою скидочную карту - ну он не очень умный. Его и так найдут.
тут дело не в том - кто и почему именно скрывается, а в том, что данные собираются для дальнейшего анализа. (А для анализа теперь не нужен человек, можно натравить на них обученную модель, которая сделает все быстро и без ошибок.) Вот какой бы вы сделали вывод, если бы заметили, что человек расплачивается картой кого-то другого (который тоже расплачивается своей картой) и при этом никогда своей собственной? Можете использовать данные фотофиксации автоматической кассы или даже с видеонаблюдения. Это все будет выглядеть как аномалии при анализе и обрабатываться будет соответственно по запросу на аномалии определенного рода. Не обязательно это будет запрос полиции, вовсе нет. Например, налоговая может получить каким-то образом (каким предлагаю подумать на досуге) доступ к расширенной платежной информации по людям, которые объявили себя банкротами или укрывались от уплаты налогов. Ну это первое, что пришло в голову) Но предложите мне хотя бы один сценарий, в котором вся эта собранная шняга принесет пользу самому человеку - ну кроме копеечной выгоды.
И какие же данные "они" (торговые сети) получают? Ровно те, которые вы им сами предоставите. ФИО не проверяется никак и используется, в первую очередь, при обращении к вам в сообщениях (SMS, мессенджеры). Указать можно что угодно. Имя держателя карты знает банк, но не торговая точка. Что с чем сопоставить, кому и какие уведомления получать, кто и как будет определять факт оплаты чужой картой ? Ну, и дальнейшие конспирологические фантазии. Самому не смешно?
Это вы сами знаете, что ФИО не проверяется никак? Работаете в "Четверочке"? Я вам выше написал, как проверить, что ФИО указано верно. Если есть совпадение, значит, сеть получает полное, скорее всего правильное ФИО, похожее на то, что можно просмотреть при оплате банковской картой (просто записываем в БД и то и другое для дальнейшего анализа). В большинстве случаев, это будет правильное ФИО, у нас люди особо не скрывают свои данные. А если сверить со слитой базой какой-нибудь другой сети типа доставки, то можно найти совпадения номера телефона и ФИО, получив еще более высокий процент соответствия. Вы же не будете говорить, что хорошие аналитики этого не будут делать из ненужных им этических соображений, правда? И вы не будете говорить, что эти данные якобы никому не нужны и "кто за нами будет следить, кому это надо"? Ну правда, не надо)
Из [очень условных] минусов, вы за скидку в 10% и более + [хоть и смешные] бонусы на многие товары торговой сети "отдаёте" свой ID (номер телефона). Данные, связанные с этим ID, нужно ещё накопить и систематизировать. Продать, кому? Использовать самостоятельно? Спровоцировать на импульсивную покупку? Да вы на скидках сэкономите кратно больше!
На сколько я понимаю, фирма получает статистику о моих покупках за жалкий процент. Имея 100500 таких карточек можно оптимизировать оптовые закупки по магазинам, по времени года и пр.
А сливать телефон и E-mail - чтобы потом заваливали спамом, это уже побочный заработок )))
Имея 100500 таких карточек можно оптимизировать оптовые закупки по магазинам, по времени года и пр.
Так в магазине и так есть кассы, с которых можно собирать всю статистику по продажам и прогнозировать закупки, для этого не важно кто именно покупал. Карточка дает только привязку продаж к конкретному покупателю.
Вот таргетированная реклама, персональные предложения и т.п. - вот это уже завязано на карты, так как индивидуально для каждого покупателя, а не сети в целом.
За эту карточку я совершаю следующую покупку. И еще. И опять. Я их постоянный клиент, я постоянно генерирую им денежный поток. Наличие карточки приводит к повышению вероятности выбора именно их.
А мои персональные данные нужны фирме для того, чтобы постоянно меня доставать и пытаться впарить мне то, что мне не надо. Если бы было надо, я бы уже купил.
И в конечном итоге они меня достают, и я их посылаю. Вплоть до отмены заказов на 200К, уже в пути. Как это случилось, например, с DNS, летом, во время ремонта. Холодильник, духовка, варочная панель, микроволновка. Последствия агрессивного использования персональных данных.
Сейчас у той же пятерочки дополнительная подписка на повышенный кешбек.
Ну то есть получается, что я продаю свою персональную информацию за карточку. А так как он ее купил, то может с ней делать что хочет. В том числе продать ее мошенникам. То есть у нас можно открыть биржу по продаже персональной информации. И все будет в рамках закона! Сарказм!
Как я ненавижу это лицемерие, или как говорят сейчас двойные стандарты.
Я понимаю это так. Или мы торгуем персональными данными или нет. А то получается, что все звери равны, но некоторые ровнее!
С вашим телефоном "четвёрочка" пойдёт в агрегатор и купит ваши данные с маркетплейсов, банков, опсосов, яндекса и т.д. Состав семьи, привычки, сколько вы тратите на бухло по утрам пятницам. После чего будет слать вам персонализированные порнокоды в нужные моменты + накручивать в приложении ценник на товары, которые вы всё равно купите. В общем не факт что окупит, но по крайней мере в бигдату и мущинлёнинг правильные пацаны поиграются.
Ах да, ну и продаст вашу историю покупок тому же агрегатору.
накручивать в приложении ценник на товары, которые вы всё равно купите
Не привлекая внимание санитаров. На товар на полке такое сложно провернуть.
продаст вашу историю покупок тому же агрегатору
Даназдоровье ;)
Не привлекая внимание санитаров. На товар на полке такое сложно провернуть.
Яндекс Маркет таким промышляет, показывая разную цену разным клиентам.
Жульничество. Но я про тот магазин, где полки и ценники.
В этих уже появляются электронные ценники и тоже возможна ситуация, когда цена на кассе будет другая.
Оруэллствовать - так по полной: подходит бабушка к полке с крупой, видит ценник 99 рублей. К этой же полке подходит семейная пара - ценники мутнеют и высвечивают новую цену в 399 рублей. Подходит программист - ценники крутятся как цифры в игровых аппаратах "столбиках" - вот уже килограмм крупы всего за 1799 рублей.
А еще можно при входе каждому поляризационные очки выдавать с RFID. И каждый будет сразу видеть только цены своей категории. Но это же слишком сложно всё, давайте сделаем просто разные магазины для разных категорий населения. И например в магазин "для нищих" нельзя заходить условным "домохозяйкам", а вот наоборот вполне можно.
пойдёт в агрегатор и купит ваши данные с маркетплейсов, банков, опсосов, яндекса и т.д.
Скорее всего да, но есть проблема:
После чего будет слать вам персонализированные порнокоды в нужные моменты
работать с этой биг-датой никто не умеет!
Все начинают рекламировать то, что УЖЕ КУПЛЕНО!!!
Нахрена мне второй ноутбук, пылесос, холодильник или автомобиль?
Поэтому вместо персонализированной рекламы мне по-прежнему приходят женские прокладки, краска для волос и всё остальное, что я ни разу никогда и нигде не покупал и не собираюсь даже!
в бигдату и мущинлёнинг правильные пацаны поиграются
ПОИГРАЮТСЯ - да. денег попилят - возможно. толку - нет!
PS: Я Вам больше скажу, у меня Едадил стоит и то как он делает персонализированные предложения на основе текущих чеков - это такое днище днищенское... Там попадание в целевую аудиторию в 1% случаев максимум. Хотя, казалось-бы, куда уж больше биг-даты то персонализированной?
работать с этой биг-датой никто не умеет!
ну прям никто:) Сравните рекомендации ютуба и рутуба, например... Так что гугол очевидно умеет. Озон с ВБ, судя по количеству посылок у меня в доме, тоже.
Не умеет гугол. В рекомендациях на ютубе либо то что я уже смотрел (зачем?), либо то что меня не интересует и я подобное никогда не смотрел.
рутуб рекомендует то, что проплачено, ютуб рекомендует то, что мегапопулярно, но мне видео для детей совершенно так же не интересно, как и проплаченное рутубовское.
ВБ стараюсь не пользоваться, а Озон, как и Авито, даже искать нормально не умеет - только показывать аналогичные карточки с кратным оверпрайсом (там маржа площадки будет больше?).
Авито точно не умеет, а Озон чуть-чуточку да умеет. В конце концов если я захожу в карточку товара "конденсаторы набор" то внизу мне предлагает другие наборы конденсаторов, резисторы или модули ардуино, но никак не детские игрушки или мебель. По меньшей мере в этой доп.выдаче тоже можно найти нечто интересненькое, о чем не задумался.
Или набираешь в поиске "Banana Pi", и в выдаче как и бананы пи, так и оранжи с малинками, а не конфеты с банановым вкусом. Ну хотя бы и так работает. У Авито в выдаче вполне может быть "Бананы оптом, от 40 тонн фурами".
может чтобы хоть как-то персонализировать и привязать к чему то из другого учета, но могу ошибаться
Всё бы хорошо, будь у этого гост-впн референсная опенсорсная реализация. Понятно, что не сертифицированная, но так и не об том речь. Не для использования в защищаемой инфраструктуре, а так, поиграться для души как замена условного опенвпн.
Неа.
Фишка не в том, что бы перейти на ГОСТ криптографию. А в том, что бы покупать ПО и железки у "нужных" компаний. Сертификация в ФСБ это только нужным.
На bouncycastle вполне формируются/проверяются те же CMS и просто подписи, которые совместимы с JCP. Но... незя.. использовать не сертифицированные крипто либы.
Вот и вместо BC с прозрачной (да хоть исходники есть) и привычным API работы с тем же ASN1 - будь добр использовать JCP API. (Хотя там все одно на основе opensorce либы сделано)
я могу випнетовским клиентом подключиться к вот этому вот?
ГОСТ ВПН это любой ВПН с ГОСТовыми алгоритмами (Магмой/Кузнечиком).
OpenVPN можно настроить чтобы он использовал Кузнечик.
Поиграться для души с отечественной криптографией? Месье знает толк в изощренных сетевых извращениях. Обычно после сборки gost-engine из исходников душа требует только крепкого алкоголя
У меня ГОСТ VPN ассоциируется не с безопасностью, а с бумажкой, без которой тебя просто не пустят в контур
И не просто бумажку, а за хорошую денежку. Комедийная ситуация на самом деле, просто взять алгоритм, прикрутить к openssl и использовать для защиты невозможно в рамках страны, что было бы логично если вопрос в проверенной "безопасности", если вопрос именно в защите. Как ЕС со своим GDPR живет .. защищают, шифруют, законодательству соответствуют и никому не платят за факт возможности использовать СКЗИ.
Это все не интересно, если у вас нет своей крыши в ркн, который в любой момент нечайно кузнечика вашего прихлопнуть может.
Собрать сливки с рынка это конечно весело, а вот сделать готовое решение софтовое + docker для ARM64 (Mikrotik) и отдать это бесплатно. Вот где задача.
Так на сайте лежат виртуалочки, всего (?) 400 метров, под разные гипервизоры, но демо.
Випнет - та ещё гадость.
VPN
Что это за басурманские буквы? Велели же всё кириллицей писать.
Да бизнесу явно очень поможет замещение открытых, бесплатных, легко внедряемых но грязных западных крипто алгоритмов и библиотек для туннелирования на платные проприетарные решения, которые разворачивать и обслуживать могут только сторонние инженеры но зато такие духовные и гостовые.
Крыша какая-то, а не защита. Ну и доверия к ГОСТу в вопросах приватности - нету. Слишком долго и систематично государство показало что приватность это не для всех, и интересы государства важнее.
А судя по камметам они ещё и денег хотят на всем этом заработать))) спасибочки)) вот вам гос стандарт, платите, и если не будете использовать тоже платите. И это при бесплатных альтернативах. Кто-то на знакомствах хорошо поднялся, вместо того чтобы сесть.
Есть ли какой-то сертификат соответствия вашей схемы подключения?
Смущает такой момент - между клиентом и шлюзом устанавливается защищённое соединение с помощью ГОСТ. Но, судя по схеме, после терминации на аппаратном шлюзе трафик выходит в сеть Селектел, где перемешивается с трафиком других пользователей. У которых может быть свой VPN. Или вообще может не быть VPN.
Что, кажется, противоречит идее virtual private network - ГОСТ-ом защищена не сеть, а какой-то кусочек на пути следования пакетов. Вырожденный случай - можно на локалхосте клиента пропихивать трафик через VPN, а дальше отправлять по обычным каналам, это же не добавляет нам защиту. Если бы мы считали, что с обоих концов шлюза сеть одной компании - то вопросов кажется нет. Но на одной стороне мультетенантная сеть, а транспорт между клиентами закрыт ГОСТ-ом только на половину.
Думаю многие согласятся, что на данный момент внедрение ГОСТ алгоритмов шифрования проводится компаниями не для обеспечения повышенной безопасности, а для соответствия требованиям законодательства. Так вот, как проверяющие органы относятся к тому, что трафик, прошедший через ГОСТ VPN внутри сети Селектел не защищён ГОСТ VPN? Есть ли какие-то подтверждения, что такой подход действительно "православный"?
Добрый день. ГОСТ VPN в Selectel — это сервис защиты канала передачи данных, а не сквозного шифрования.
сертифицирован сам криптошлюз VipNet (аппаратная платформа + ПО к нему идущее) и реализованные в нем алгоритмы. Сертификат подтверждает, что в момент нахождения данных внутри туннеля они защищены в соответствии с требованиями регуляторов.
в случае, когда вы берете услугу А-ЦОД (изолированная инфраструктура) и услугу ГОСТ-VPN, мы предоставляем прямую коммутацию от координатора до аппаратного межсетевого экрана, выделенного под вас.
в случае использования ВМ или выделенного сервера вне А-ЦОД трафик от координатора до этих хостов не смешивается с трафиком других клиентов, а изолируется на L2 уровне - каждому клиенту выделяется свой vlan
Как реализовать это с нашим сервисом:
1.Вы арендуете у нас ViPNet Coordinator.
2.Настраиваете связность (или мы помогаем вам настроить связность)Ваша ВМ/сервер <-> Наш Coordinator внутри приватной сети.
3.Мы настраиваем туннель Наш Coordinator <-> Coordinator Партнера
Есть ли какой-то сертификат соответствия вашей схемы подключения?
Сертификат соответствия чему именно?
Так вот, как проверяющие органы относятся к тому, что трафик, прошедший через ГОСТ VPN внутри сети Селектел не защищён ГОСТ VPN? Есть ли какие-то подтверждения, что такой подход действительно "православный"?
Вам нужно изучить законодательство в части требований ФСБ к СКЗИ и ФСТЭК к ГИС, КИИ и ПД, если действительно интересны ответы на ваши вопросы. Для физ. лица все это большой пользы не несет.
Сертификат соответствия чему именно?
требованиям "ФСБ к СКЗИ и ФСТЭК к ГИС, КИИ"
На самом деле много кому было бы не интересно "изучать законодательство в части требований ФСБ к СКЗИ и ФСТЭК к ГИС, КИИ", которые сплошь и рядом имеют двоякое толкование или просто неоднозначности. Вместо этого нужна какая-то уверенность в том, если "я сделаю так и вот так" (к примеру, перейду на использование ГОСТ VPN) то какие-то из этих требований будут выполняться. То есть если мы говорим про защиту канала передачи - у аудитора не возникнет вопрос, почему часть трафика между узлами не защищено после внерения ГОСТ VPN. Если вопрос возникает, то внедрение VPN мало помогает, может быть нужно смотреть в сторону сквозного шифрования.
Если уж вы доверили Селектелу ваш VPN-шлюз, то нет никаких причин не доверять им настраивать роутер между этим шлюзом и вашим сервером.
А чем ГОСТ VPN лучше защищает трафик частной сети, чем обычный OpenVPN с сертификатами на эллиптических кривых, AES256 и нормальной оффлайновой защитой ЦС?
А должен именно лучше?
На всё Вами перечисленное будет невозможно получить сертификат ФСБ и ФСТЭК, когда он нужен.
А зачем менять работающее решение на сертифицированное? Кого-то в самом деле обязывают, но при чем тут абстрактный бизнес?
Есть как-бы тестовые среды где можно и ГОСТ ВПН попробовать, не обязательно что-то сразу менять в продакшне. Тем более, со временем попросят это сделать так или иначе - почему-бы заранее не потестировать?
Ну потрогать их можно, но снаружи они ничем не будут отличаться от любого другого ВПНа, который занимается шифрованием трафика на проходе, роутингом пакетов в туннель и тому подобным. В сущности конечному пользователю положить, что у ВПНа под капотом, какая криптография, ГОСТ или чача-поли, ему надо, чтобы "всё работало". И в сухом остатке разница между ГОСТовским ВПН и обычным - это бумажка, которую нафига-то (хотя понятно qui prodest) начинают требовать у всех, кто какие-то ВПНы себе строит. А если нет разницы - зачем платить больше (с)?
Он лучше тем, что в случае утечки данных вы сможете развести руками и сказать мы все сделали по ГОСТу, вопросы не к нам
С OpenVPN вас сделают крайним за то, что вы доверились "недружественным алгоритмам"
вот, кстати, да, всё по ГОСТу - вполне норм отмаза.
но вряд ли сильно поможет, если действительно прижмут.
Чтобы прокатило, надо по ГОСТу сделать всё от виртуализации до контроля ИБ, а это во-первых неподъёмные бабки, во-вторых столько же (то есть овердофига) времени, миграция в никуда до реального эффекта, неизвестное количество граблей на пути, и всё равно от инсайдера толком не защититься - ничто не будет мешать инсайдеру во время своей нормальной работы тупо копировать какие-то критичные данные при их получении куда-либо ещё, и потом устроить утечку. Да, можно будет на него показать пальцем, но ущерб прилетит так или иначе, ГОСТ там или не ГОСТ. А если нет разницы, зачем платить больше (с)?
Альтернатива - ломануть сам ГОСТ на уровне шифров, найти этот гипотетический NOBUS в Стрибоге и выложить эксплойт в даркнет - предварительно съе***сь отсюда, и то не факт что не достанут потом. Затраты как бы не больше, выхлоп неизвестен (а ну как его таки нет?), при провале или обнаруженной попытке могут посадить как за гостайну или похуже (а ч0 это вы нам тут скрепы шатаете?), а успех нужен в основном не здесь - то есть резона нет заниматься этим. И опять всё упирается в желание кого-то в лобби поиметь халявного бабла. Опять-таки, нафига?
Бизнес порой интересует коробочное решение по взаимодействию с гос. контролирующими органами. Схема: client на арм компании ->защищенный канал-> провайдер услуг-> гос. орган( прокуратура, СК, налоговая и т.д.). От провайдера требуется подтверждение, что вот это пакет документов доставлен до адресата, по пути следования утечек нет, от адреса фид. бэк пакет получен. Готовый кейс, который пока в нормальном виде не реализован, реализуете получите приятную прибыль, может не сильно большую, но стабильную.
Второй кейс, взаимодействие различных гос. учреждений и частных компаний (не больших), опять таки решение из коробки, рассчитанное на на ИТ департамент на 300 человек, а на то, что у абонентов ИТ специалисты не представлены. Опять таки для нормального обмена конфиденциальной информацией.
Безопасность в данном случае зависит от архитектуры и наличия бэкдоров в конечных системах. Если на стороне клиента установлен модифицированный клиент ViPNet, то данные можно расшифровать, а модифицировать клиент можно с помощью обновлений. Некоторые сомнения пожалуй, могут возникнуть, чисто умозрительно.
Погодите. Вы тут все какие-то технические детали и доверие обсуждаете. Но разве это не реклама того, что по закону рекламировать запрещено?!
Ножи не запрещены - запрещены убийства.
ВПН не запрещены - запрещены ВПН для обхода блокировок.
ваш трафик не зеркалируется на сервера «товарища майора»
Нет конечно, просто архитектура управления ключами строится так, что администратор центрального узла имеет техническую возможность расшифровать трафик, а кто будет администратором в случае гос. облака - вопрос риторический)
Скорее всего это будет как в некоторых других отраслях:
Вы ОБЯЗАНЫ купить у нас ЭТИ аккумуляторы, потому что только они имеют нужные сертификаты, а вы не можете отказаться от аккумуляторов и не можете использовать несертифицированные.
Ну и чо, что они стоят как крыло от Боинга? Зря мы что ли закон протаскивали?
Очередной ,,Я У МАМЫ ИНЖЕНЕР,, с самопохвалой. Ну серьёзно. На хрена нужно что-то кривое если есть фактически рабочее? В топку ваш ГОСТ которого уже давно нет
Не совсем с вами соглашусь. Слава богу, что ГОСТ ВПН есть. Он нужен для безопасности. Проблема в другом. Он не доведен до ума. А когда задаешь конкретные вопросы людям которые им занимаются - они сливаются. Уважаемый автор, подскажите пожалуйста, на какой стадии именно ваше решение - просто копипаст решений на базе OpenVPN и WireGuard или вы внесли что-то новое и сделали следующий шаг? Если сделали - скажите пожалуйста что именно.
ГОСТ ВПН, Кузнечик, Стрибог... Боже, этот нейминг!
Ваша реализация ГОСТ ВПН- это огромная дыра в безопасности.
Маска для перехвата - фильтр на порт вайгарда + российский не AES сертификат.
Злоумышленники вас моментально фильтруют из трафика как самое важное и вскрывают не парясь.
Э-э-э, я конечно понимаю что всякие навязываемые штуки пинать радостно и приятно, но всё-таки хотелось бы увидеть хоть какие-то доказательства что там всё настолько плохо.
Суть не в том, что пинать. Суть в том, что показать что WireGuard+не AES сертификат - дыра в безопасности.
И можно ее закрыть, например с помощью реализации аналогичной XRAY + ГОСТ ВПН.
Подробности я расписывал в трех статьях, чтобы не дублировать - просто приведу ссылки.
https://dzen.ru/a/aGz0UN3WaHXHnPKa?share_to=link
https://dzen.ru/a/aGz5vrQKCjk1N58x?share_to=link
https://dzen.ru/a/aGz8nlGTKDu-OwV4?share_to=link
Если я не прав и вы взяли не готовый WireGuard ГОСТ ВПН или OpenVPN ГОСТ ВПН, а сделали нечто более, что позволит обойти указанную мной маску для перехвата трафика - поделитесь пожалуйста, как вы решаете указанный мной момент?
В чём дыра-то, блин? Ну вот перехватили вы шифрованый трафик, дальше-то что? По вашим ссылкам какия-то чушь постулируется с первого же абзаца.
Понятно.
У вас нет реального опыта о том, как дешифруют трафик спецслужбы.
Дешифровать можно все, что угодно, всегда вопрос мощностей.
Одно дело дешифровывать весь трафик и искать в нем важную информацию.
Другое дело сначала отсеить трафик с важной информацией и потом его дешифровать.
Разница между этими подходами вам видна?
Дайте пожалуйста более конструктивную связь, чем просто пинание "чушью", как вы заметили в своем первом посте. Что именно вам не понятно в первом посте? Вы не знаете как работают сертификаты? Или в чем отличие сертификата от метода шифрования? Посяните пожалуйста, я попытаюсь разъяснить. Вам понятно как работает сетевой стек? Понятно как устроен протокол HTTPS? Поясните пожалуйста. Заранее большое спасибо.
ГОСТ VPN — что это и как поможет бизнесу