Центр Медінком завершив роботи із сертифікації міжмережевого екрану на базі Vyatta Core 6

сертифікації

За своїми функціональними можливостями міжмережевий екран повністю відповідає вимогам ФСТЕК для ІСПДН 1 класу.

Що передувало цьому і як так вдалося розповім у своїй статті.

Основний напрямок діяльності МБУ «Центр Медінком» – розробка та впровадження медичних інформаційних систем (МІС) у закладах охорони здоров'я м. Єкатеринбурга. Усі хто знайомий з цією тематикою знають, більшість таких систем ставляться до ИСПДН 1 класу.

У 2010р. було прийнято рішення про створення централізованої МІС, будівництво двох центрів обробки даних та захищеної мережі передачі даних (ЗСПД). Природно постало питання щодо вибору обладнання для ЗСПД.

Насамперед розглядався традиційний підхід на устаткуванні Cisco Systems. Для цього нам довелося б використовувати три різні пристрої – маршрутизатори ISR, міжмережеві екрани ASA, та модулі NME-RVPN із сертифікованою криптографією.

Зупиняли дві обставини:

1.Ціна. Усього треба було підключити 189 об'єктів і бюджет проекту не дозволяв купити таку кількість недешевих пристроїв.

2.Проблеми із сертифікацією міжмережевих екранів. Станом на 2010р. були прецеденти сертифікації окремих пристроїв або партій Cisco ASA по 3 класу МЕ з обмеженнями застосування (для ІСПДН до другого класу включно). Схоже, що з того часу ситуація не змінилася. У реєстрі сертифікованих СЗІ за цей рік є сертифікати на Cisco ASA по 4 класу МЕ, що для ІСПДН 1 класу недостатньо. Більше того, в 2010 р., у зв'язку зі зміною митних правил, постачання Cisco ASA було практично неможливе через несертифіковану в цих пристрояхкриптографії.

Для зниження витрат на придбання обладнання, його налаштування та адміністрування (у той момент у відділі мережевих технологій у мене працював лише один фахівець) нам хотілося знайти пристрій, який би виконував усі три функції: повноцінний маршрутизатор, міжмережевий екран та сертифікований криптошлюз. Після довгих пошуків з'ясувалося, що такого пристрою на ринку немає.

Треба сказати, що на той момент у нас була ще одна проблема, яку нам не вдавалося вирішити на обладнанні Cisco.

Активні пошуки вирішення цієї проблеми призвели до того, що ми натрапили на продукт абсолютно невідомої в Україні фірми Vyatta Inc. (www.vyatta.com, www.vyatta.org). Поряд з комерційною версією продукту є вільно-розповсюджувана open-source версія з обмеженим, але цілком достатнім функціоналом.

Подальше дослідження показало:

2. Є всі необхідні нам функції маршрутизації трафіку.

3.Є дуже непоганий міжмережевий екран, з усіма необхідними для нас функціями.

4.І найголовніше на той момент - знайшлася сертифікована криптографія, яку можна встановити прямо на маршрутизатор (Vyatta зроблена на базі Debian Linux). Називається цей продукт OpenVPN ГОСТ. Виробник ТОВ «Крипток».

Отже, рішення було ухвалено, мережу побудовано. Основні проблеми за два роки роботи мережі пов'язані переважно з апаратною платформою (Vyatta це тільки софт). Тому треба вибирати залізо надійніше. Навіть успішно пройшли перевірку ФСБ.

Залишався останній етап – треба було легалізувати використання міжмережевого екрану. І так розпочали сертифікацію.

Які вирішили проблеми?

1.Підготовка необхідного комплекту документації. Документація на Vyattaє, і досить гарна. Але вона англійською мовою. Довелося зайнятися перекладом.

2. Інтерпретація вимог РД та 58 наказу ФСТЕК. Більшість положень цих документів зрозумілі та трактуються однозначно. Але трапляються й проблеми. Рішення, безумовно, вдалося знайти, але треба було ще переконати в цьому контролюючі органи. Тільки після того, як розібралися з усіма спірними пунктами, вдалося скласти програму та методику випробувань.

3.Підготовка опису всіх пакетів, що використовуються при збиранні Vyatta. Це необхідно для сертифікації з ПДВ. Треба сказати, що сертифікація на відсутність недекларованих можливостей (НДВ) є зазвичай каменем спотикання для більшості іноземних виробників. Т.к. для цього необхідні вихідні тексти. У нашому випадку ми маємо open-source продукт і проблем із вихідними текстами немає.

4.Немало часу зайняла і підготовка дистрибутива, який задовольняв би вимогам щодо НДВ.

На вирішення всіх цих питань спільно з випробувальною лабораторією ТОВ «Мікротест» пішло приблизно півроку. І ось нарешті результат.

Що ми маємо у результаті.

3. Сертифікована криптографія, вбудована в маршрутизатор. OpenVPN запускається та керується через інтерфейс управління Vyatta. Для маршрутизатора це ще один інтерфейс. Через OpenVPN працює OSPF.

Сертифіковано партію 300 екземплярів. Таким чином, ми можемо забезпечити всі муніципальні підприємства (і не лише) міста Єкатеринбурга сертифікованими міжмережевими екранами.