Железо для корпоративного роутера.

Ну это точно должно быть на базе Intel Core i5-12400F
Материнку по разъёмам подбирать надо.
Райзены и в целом AMD не подходят, потому что кол-во линий PCI там часто не работает.
Пишут одно, по факту другое.
И надо смотреть по лицензиям. Дадут ли вам лицензию на этот интел или нет. По лицензиям с AMD проблем обычно нет. Но там геморой с линиями PCI и прошивками BIOS.

Проверь нужна ли сертификация, 500 хостов звучит прилично больше чем гараж, можете на спдн попасть

мы обычное медицинское бюджетное учреждение в РФ… не провайдер, не оператор связи. сертификация в этом случае тоже обязательна?

P.S. тут есть Mikrotik, но на нем очен гемморно рулить Vlan-ами, хочется его заменить.

медицинское бюджетное учреждение

По персданным вас там за жопу точно не возьмут? Сертифицированные решения не потребуют?

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот интел или нет.

Эм… что, сервера на базе Intel для Linux как на IBM Power для AIX теперь — нельзя купить, только аренда и нужно при этом платить за разблокировку функций?

а если софт-роутер будет на Astra Linux работать, который сертифицирован ФСТЭК? знаю, что есть под винду решения user-gate или что-то подобное тоже сертифицированный ФСТЭК. он же на любом железе может работать. или я что-то не понимаю?

Ну это точно должно быть на базе Intel Core i5-12400F

«точно» это как? Вы на основании чего сделали вывод про своё «точно»?

user-gate

Это вроде как не про роутер.

Это надо уточнять(по медицинским данным там какие-то особые заморочки вроде были, я не шарю), но в целом наверное да.

Usergate - это вполне себе сертифицированный x86-маршрутизатор(а может и не только x86, я их ПАКи не щупал) и еще конечно прокси и куча всякого гогна с не так чтобы очень вменяемым интерфейсом.

Афигеть! Я серьезно. Як же продвинулись ребята на ниве продаванства ненужного :) У меня про него только остались воспоминания из конца 90-х :)

мы обычное медицинское бюджетное учреждение в РФ… не провайдер, не оператор связи. сертификация в этом случае тоже обязательна?

Медицина была первой кто получил спдн, это было в 2013 году. Помню как ставил StoneGate девять лет назад именно из-за этого

Так что да, нужна

а если софт-роутер будет на Astra Linux работать, который сертифицирован ФСТЭК

Имхо нет, но я не юрист. Когда сам занимался сетями как раз в медицине (2012-2014) сертификация была на всю прошивку разом. То есть даже если у тебя железка с медалькой и вышла прошивка v1.2.x, то ты не можешь её ставить пока именно она не пройдёт фстэк

Ну это точно должно быть на базе Intel Core i5-12400F

Объясните пожалуйста, почему именно процессор?

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот Intel или нет.

А кто должен ее дать? Вот купил я этот процессор в магазине, собрал сервер, вставил сетевые карты, кто мне на него должен дать лицензию?

Я просто не в курсе…

Вот купил я этот процессор в магазине, собрал сервер, вставил сетевые карты, кто мне на него должен дать лицензию?

Затем, приходит в ваше учреждение проверка. Например от вышестоящего органа. И говорит:

Ваши действия, такие и вот такие, нарушают законодательство, Закон такой-то, статья такая-то. Кто все это делал?

Глава учреждения, покажет приказ, в котором сказано:

Организовать мероприятия по обеспечению работы цифровой информационной системы.

Глава ит отдела покажет приказ:

Приказываю, Иванову И.И., организовать мероприятия по обеспечению работы цифровой информационной системы.

И что произойдет? Правильно. Ты окажешься виновным в нарушении Закона. Кто понесет всю ответственность? Ты.

Поэтому, лор тебе правильно советует. Разберись с законами. Что законно, а что нет.

И если от тебя требуют нарушить закон, то можешь смело увольняться. Пусть сами идут и нарушают.

Приказываю, Иванову И.И., организовать мероприятия по обеспечению работы цифровой информационной системы.

закупленной по ФЗ-44/223, не иначе.
и по соответствующим критериям, афаик.
т.е. в гос. учреждении нельзя от балды что-то купить просто так

госзакупок по ФЗ-44/223

https://ibb.co/JHDYdKX ;-)

надо составить ТЗ без «более-менее» но с диапазонами и без уникальных условий, общие параметры указаны тут https://zakupki.gov.ru/epz/ktru/ktruCard/ktru-description.html?itemId=28976 для маршрутизатора.
так же там ктру почти для всего есть, наверное кроме комплектующих.
зы. если всплывет что закупленно что-то не то, то вздерут начальника ит и того кто закупки проводил этого

Райзены и в целом AMD не подходят, потому что кол-во линий PCI там часто не работает.
Пишут одно, по факту другое.

ЩИТО? Ты о чём вообще?

И надо смотреть по лицензиям. Дадут ли вам лицензию на этот Intel или нет

Бро, говорю же, если ты мед учреждение забудь про самосбор. Ты подпадаешь под 152-фз и все что с ним связано. Для медицины там есть послабление, 3-4 уровень вместо первого, но тем не менее.

У тебя как минимум:

• https://habr.com/ru/company/cloud4y/blog/343588/ - сратая тонна бумаг на подпись
• https://kontur.ru/articles/2345 - антивирь и фурволл, сертифицированный по фстэк

При этом фурволл не только между инетом и клиникой, а желательно между всеми вланами, иначе будешь потом объяснять проверке почему бухи не отделены сертифицированным экраном от МИС. Так что уровень ядра у тебя по любому должен быть с бумажкой. А если там ещё и пациентов много (100к+) - бумажку нужно более толстую

И в качестве ложки дёгтя в бочку дёгтя - ответственность за это добро лежит на админе, а не на главвраче. Время сейчас довольно весёлое, пятую точку лучше держать прикрытой.

Что ты такое, чёрт побери, несёшь?..

Пусть они его уволят, админа.

И возьмут на эту должность Васю Пупкина. И пока на должности будет Вася Пупкин, старый уволенный админ, все соберет и настроит.

И когда будет готово, Вася Пупкин увольняется, и старый админ опять зачисляется в штат.

Схема конечно опасная. А что делать? Надо как то жить ).

и старый админ опять зачисляется в штат.

Посмертно?

на пж :D

Я не шутил. Описанная вами схема где-то такое и предполагает. А с учетом специфики клиентов, скорее только это и предполагает.

По крайней мере, автор глубоко задумается, нужно ли ему делать то, что он хотел делать. Насколько это все законно и нужно. И за это благодарность ЛОРу и его участникам.

Вот примерно так сказал у меня на прошлом месте мужик, руководивший постройкой завода за бюджетные деньги: за день до приёмки псж, через день после обратно, подписи моей там не будет.

А так по теме проверять бюджетную клинику конечно вряд ли будут, но мало ли. У нас была частная, нас проверяли пару раз. Но если разок проверят и никакой бумажки-закрывашки не будет - придётся вертеться как уж на сковородке, особенно если ли вдруг какие-нибудь данные утекут.

Лучше хотя бы формально выполнить некий минимум типа фурвола с сертификацией и кипы бумаг, получить в худшем случае minor nonconformance от аудиторов и жить спокойно

подписи моей там не будет.

Очень знакомая тема.

А что не так с mikrotik и vlan’ами (вопрос самого использования микротика в данных условиях не вопрос)?

P.S. тут есть Mikrotik, но на нем очен гемморно рулить Vlan-ами, хочется его заменить.

То есть уже есть, и прямо в этой сети? И справляется? Тогда что мешает по его производительности прикинуть?

Проверь нужна ли сертификация, 500 хостов звучит прилично больше чем гараж, можете на спдн попасть

А при чём тут роутер? На нём персональные данные не хранятся и не обрабатываются. Хотя... Если там есть что-то про VPN между подразделениями, то могли напридумывать что-нибудь. Но, наверное, сертифицированным дистрибутивом можно будет решить, если вдруг что.

А что не так с mikrotik и vlan’ами (вопрос самого использования микротика в данных условиях не вопрос)?

На нем очень геморно управлять Vlan в принципе.

А при чём тут роутер?

При том что если у тебя есть МИС и есть бухгалтерия, то между ними либо не должно быть связи вообще, либо должен быть сертифицированный по фстэк экран. С интернетом аналогично. ТС ищет уровень ядра сети, то есть сертификат нужен будет в 99% случаев

ТС ищет уровень ядра сети, то есть сертификат нужен будет в 99% случаев

Как печально… А кто-нибудь знает сертифицированные решения с linux-like интерфейсом управления. Да и вообще, чтоб Линукс по капотом был.

Когда-то был StoneGate, это были по факту линуксовые тачки, только управлять ими надо было с венды через наркоманский интерфейс. Но он вроде сдох года 4 назад.

Проще всего открыть список фстэк и смотреть там, тебя интересуют 3-4 уровни в зависимости от числа пациентов. Можно вообще хитро сделать - берёшь не-фстэковый роутер-сиську с sfp и покупаешь для него фстэковый sfp-модуль и через него цепляешь свитчи.

Но первое дело это набить кучу бумаг и отнести на подпись, в первую очередь смотрят именно их.

Уже не могу редактировать, так что напишу так

На нём персональные данные не хранятся и не обрабатываются. 

Если байты прошли через оборудование то это уже обработка. Это тебе и буруйские iso27001, и pci dss, и отечественные аналоги скажут

Из плюсов в рф нужен только экран по факту, внутри подсети можно юзать любое оборудование. В Британии скажем все более кисло, там медицина это 1 уровень и нужно иметь бумагу на каждый свитч, в результате сертифицированный цод берет конские бабки просто за то что у него все шито-крыто

сертифицированный цод берет конские бабки просто за то что у него все шито-крыто

Разве во всяких амазонах нет всех нужных бумажек?

Разве во всяких амазонах нет всех нужных бумажек?

Нет, не та бизнес-модель. Чтоб получить эти бумаги в одной единственной стране нужно 30 раз присесть. Амазон этим драть себе мозг не станет, у них количество > качество. Яндекс вроде сертифицирован, но тоже не точно и хз по какому классу. Ну и только для рф, разумеется

Ну они много сертификатов имеют (амазон). Вот к примеру некоторые: G-Cloud UK Hébergeur de Données de Santé (HDS) Esquema Nacional de Seguridad высокого уровня

Я специально дал ссылки именно на внутри-национальные стандарты. Все их значки можно посмотреть вроде как тут. И их там реально много. Про всякую классику вроде PCI DSS даже не говорю. Так что ты не прав, что они этим драть себе мозг не станут. У госзаказов маржа хорошая и влезть туда все хотят, амазон не исключение.

берёшь не-фстэковый роутер-сиську с sfp и покупаешь для него фстэковый sfp-модуль и через него цепляешь свитчи.

можно ссылку на фстэковский sfp-модуль?
чёт колдунство какое-то по ощущению, аж интересно стало :-)

У меня есть свободная лицензия Astra Linux SE 1.6 Смоленск. В Возможностях реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами ОС Astra Linux среди прочего написано: Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами. можно прочесть тут. пункт УПД.3

Достаточно ли этого, чтобы использовать этот софт как ядро сети?

https://tssltd.ru/products/dcrypt-smart-sfp/

Фуф блин, я уж думал совсем загнался, еле нашел. Хз та же или нет (скорее всего нет, выглядит слишком новой), мы в 2014 похожую смотрели чтоб просто отцепить через нее сетку меднаправления и не парить себе мозг, но в итоге взяли обычное железо. Там были тонкости с тем как именно она работает и было лень копать глубже. Там по сути были недогейт в форме sfp

среди прочего написано: Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками 

Может и пойдёт, тут лучше юристов тыкать. Раньше точно нужно было чтоб весь комплекс был обмазан сертификатом, включая железо. Может что поменялось

Не знал, спасибо. Когда сам делал такое крупные нос воротили мол «кипа бумаг ради пары десятков клиентов танунах». В целом облака тогда конечно в зародыше были

спасибо! нашел там еще пару пунктов, которые точно к такой железке относятся, например:

Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями

а каким сертификатом может быть железо обмазано? с трудом представляю. и по поводу юристов - я не знаю таких, кто компетентно может ответить на эти вопросы.

по поводу юристов - я не знаю

Вы работаете на предприятии. Вы ит специалист. Ваша задача - определить параметры железа и программное обеспечение.

Когда вы определите, вы пишете запрос в юридический отдел вашего предприятия. Насколько такое то железо, и такое то по, соответствует требованиям законодательства, применительно к деятельности организации и ее форме собственности.

Юридический отдел, обязан обработать запрос и дать аргументированный ответ, что соответствует в полном обьеме или не соответствует, или соответствует но частично.

Затем, вы идете в бухгалтерский отдел. Показываете параметры железа и по, показываете ответ юр. отдела, и бухгалтерия, без вашего участия, покупает нужное железо и по.

И на этом все. И конечно, вы как опытный специалист, не поленитесь проверить аргументированный ответ юр отдела. Вдруг они написали что соответствует закону, а оно на самом деле нет ;-).

А так по теме проверять бюджетную клинику конечно вряд ли будут, но мало ли

Обязательно будут. И вы правы в том, что изначально нужно делать толково. Делать как требует закон. И в этом с вами согласен.

Но бывает, что денег нет сделать по закону. А сделать нужно. Или еще проблема какая. И тогда начинаются схемы.

Вы здорово помогли автору. Теперь он будет подкованнее. И вот эта схема:

фстэковый sfp-модуль и через него цепляешь свитчи

тоже отличная 888)

а каким сертификатом может быть железо обмазано? с трудом представляю. и по поводу юристов - я не знаю таких, кто компетентно может ответить на эти вопросы

Если нет штатного юриста - лучше всего сначала сгонять наверх (главврач, директор, начальник отдела), обрисовать ситуацию и спросить знают ли они хоть кого-то кто что-то понимает в правовом поле. Ну или кого-то кто знает кого-то и т.д. Я сомневаюсь что в мире есть хоть один человек который хотя бы через вторые руки не знает ни одного юриста, тем более если этот человек довольно высоко сидит.

Можно вообще сделать маневр и спросить есть ли кто из технической комиссии, и так попытаться выйти на собственно тех кто проводит аудит. Они лучше всех в курсе что и как делать. Но тут надо быть тонким и изворотливым, иначе вместо ответа можно получить проверку.

Ну и реально советую сразу начать готовить кипу бумаг, обычно собрать подписи занимает куда больше времени чем заказать и настроить шлюз. Как раз можно совместить с вопросами про юристов

не, ну я в курсе был что есть sfp с реализованной ONT внутри, давно причем.
хмм, тут видимо её просто перепрошили.
спасибо, узнал кое-что новое.

«точно» это как? Вы на основании чего сделали вывод про своё «точно»?

Вот, что продают под PFsense. На Xeon D-1537. Наверное стоит ориентироваться на что-то подобное? Только у меня 4sfp+ планируется. А тут их два. Кто что скажет?