LINUX.ORG.RU
ФорумTalks

Межсетевые экраны, ipv6, и сертификация


0

0

Прочитал на сайте http://www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/ruk...

> 2.5. Требования ко второму классу защищенности межсетевых экранов (МЭ).
> 2.5.1. Управление доступом.
> Данные требования включают аналогичные требования третьего класса (п. 2.4.1).
> Дополнительно МЭ должен обеспечивать:
> возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
> возможность трансляции сетевых адресов.

Т.е. выходит, что межсетевые экраны, поддерживающие ipv6, автоматически (так как NAT запрещен спецификацией ipv6) проваливают Российские требования ко второму классу защищенности. Весело :(

★★★★★

И вот еще:

> 2.6. Требования к первому классу защищенности МЭ.
> ...
> 2.6.6. Администрирование: простота использования.
Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
> Должен быть предусмотрен графический интерфейс для управления МЭ.

AEP ★★★★★
() автор топика
Ответ на: комментарий от AEP

Ну мы же понимаем, что эти требования пишутся под уже готовые решения от балды. Возникнет *масштабная* необходимость в ипв6 решениях в расе^W^Wу нас - появятся и разумные требования под них заточенные. Производители готовых решений со всякими МЭ неплохо умеют продавливаться Там :)

А пока ждем и курим бамбук, в лучших традициях жанра.

as33 ★☆☆
()

> так как NAT запрещен спецификацией ipv6

И давно? Там же даже есть специальное пространство для локальных сетей типа 192.168.х.х!

bizanine
()

я тогда не понимаю кое-что...

если не NAT, то как раздать один канал интернета на несколько компов?

A2K
()
Ответ на: комментарий от bizanine

Специальное пространство для локальных сетей есть. NAT нет - типа приобретайте больше адресов (тем более что даже на http://go6.net/4105/freenet.asp они после регистрации раздаются бесплатно блоками по 65536 штук)

AEP ★★★★★
() автор топика
Ответ на: комментарий от A2K

NAT придумали нищебродствующие пользователи протоколов IP ранних версий для экономии мизерного адресного пространства.

А "один канал интернета" использовать при помощи маршрутизации, да да, есть такое слово! И даже сейчас некоторые не стесняются этого делать, вот затейники!

Другой вопрос, что в ип4 динамический nat (который pat) работает хорошей защитой узла за ним в случае, когда прямой доступ к нему не обязателен - узел сеть видит, а его из сети нет. В результате там, где было достаточно примитивно натящей железки за 100 баксов теперь встанут фаервольные решения потяжелее, местами сильно тяжелее. Я счастлив.

В общем таких архитектурных несовместимостей между решениями на 4 и 6 протоколах *цать. Не операторскую сеть, построеную для ип4, просто так не переведешь - проще заново собрать, а это деньги, а деньги тратятся только при потребности, а потребность возникнет когда кругом будет протокол новой версии и т.д. - порочный круг перехода на ипв6. :)

as33 ★☆☆
()
Ответ на: комментарий от AEP

Так в каком месте спецификации IPv6 есть запрет на трансляцию адресов? Как вообще это можно запретить?

anonymous
()
Ответ на: комментарий от as33

> ЗЫ ждем 7 версию, там нам обещали самое интересное :)

Ога. Всеобщая связь фсех людей с инфосферой Земли) ^_^

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks