Давно собирался написать эту статью, но все руки не доходили, было лень и некогда. А тут на волне хайповой статьи про НПП "Маяк" с их "импортозамещением" (кто не в курсе, вот новость и на хабре, и даже на пикабу. Что первичнее - выбирайте сами), решил таки доделать и свой небольшой обзор, касающийся аппаратной платформы, которая де-факто стала основой российского (и не только) оборудования обеспечения информационной безопасности.
Небольшой комментарий по поводу "Маяка". Удивительно не то, что "Маяк" переклеивает шильдики, а то, что всех это почему-то удивляет. Эта тема существует года с 2013-2014, когда пошли первые санкции, так что только люди не в теме до сих пор обнаруживают подобные "новинки". Все это идет полным ходом уже давно, далеко не один проект выполнен на таком "импортозамещенном" оборудовании. Хорошо, что они просто переклеивают, без внесения каких-либо изменений в софт - так хотя бы админы могут получить брендированное железо для дальнейшей нормальной работы, а не нечто бесформенное и еле работающее. Потому что очевидно, что ВНЕЗАПНО из ниоткуда не может взяться такое большое количество российских разработок, которые не менее ВНЕЗАПНО лучше, выше и сильнее. Как бы этого ни хотелось.
Ниже будет много картинок, которые взяты с официальных сайтов производителей оборудования. Ничего в этом секретного нет. Да и плохого, наверное, тоже. Просто не стоит выдавать указанные ниже вещи за "собственные уникальные разработки" по крайней мере в части аппаратных платформ.
Итак, в 2010 году мой первый начальник на моей первой работе высказал такую мысль:"А давай возьмем сервер, набьем сетевыми картами, поставим на сервак линукс, сделаем графическую оболочку для iptables, сертифицируем это все как межсетевой экран с классом защищенности Х и защитой от НСД класса У, после чего будем продавать везде и всюду". Мне эта идея показалась довольно глупой. Ну кто будет покупать линукс-на-компе за большие деньги?
2019 год. Как же я был не прав! Где мои миллиарды?!
Для начала новость, которая была недавно: Альтэль подал в суд на Нуматех за плагиат исходных кодов. Исходные коды нам не интересны сейчас, посмотрим на железки сами по себе. Зайдем на сайт Нуматех и увидим серию межсетевых экранов. Возьмем для примера один из них - Numa Edge 100. Вот он, красавец:
Сайт компании Алтэль почему-то лежит на момент написания статьи. Но в гугле можно поискать межсетевые экраны Altell Neo, модельный ряд которых выглядит вот так:
Можно сравнить с модельным рядом Нуматех и увидеть много общего. В картинках нашел представителя Altell Neo 210, вот он ниже:
Видно, что отличие только одно - у алтэля есть модуль с дополнительными 4 портами, а у нумы нет, вместо модуля - заглушка. Но модуль добавляемый, ничего страшного.
Едем дальше. Межсетевые экраны Рубикон от компании "Эшелон". Вот один из примеров. Картинку я вырезал из брошюры. Если смотреть на сайте, то ребята не заморачивались с изменением картинок на брендированные:
Но это все какие-то мутные ребята. Давайте посмотрим на мастодонтов отечественной ИБ. например, Крипто-Про недавно анонсировали свой собственный межсетевой экран Ngate. Вот цитата с их сайта: "Аппаратные платформы КриптоПро NGate специально разработаны и оптимизированы для работы с СКЗИ «Шлюз удалённого доступа КриптоПро NGate»." Вот пример разработанной аппаратной платформы:
За исключением ЖК-экрана и кнопок под ним разницы с предыдущим вариантом не видно.
"Код безопасности" на рынке давно, представлять их знающим людям не нужно. Они радуют нас своими продуктами, за что я их всецело уважаю, хотя и не без доли критики. В части аппаратных платформ для примера возьмем АПКШ Континент IPC-500 (ссылка на весь модельный ряд):
Не буду утомлять дальнейшими картинками, суть все поняли. Добавлю последнюю компанию в ряд - С-Терра. Эта компания наиболее честная со своими пользователями. Если внимательно читать страницу с описанием С-Терра шлюзов, то можно увидеть, что, цитирую, "измерения производились для С-Терра Шлюз 4.2 на кастомизированных аппаратных платформах С-Терра (на базе Lanner)." Вот пример С-Терра Шлюза 1000, ничего нового, за исключением цветовой гаммы и отсутствия ЖК-экрана:
Ну и наконец переходим к той самой знаменитой аппаратной платформе, которая используется во всех вышеперечисленных разработках. Встречайте - Lanner Inc - компания, производящая различные виды промышленных и серверных аппаратных платформ под все нужды современных строителей ПАК и всего того, что поставляется как <название_продукта>-из-коробки. В модельном ряду есть как промышленные ПК, монтирующиеся на DIN-рейку, так и серверы в стоечном исполнении. Давайте найдем те самые популярные модели, которая была представлена здесь в различных цветах и оттенках:
- FW-7573 с ЖК дисплеем;
- FW-7571 без ЖК дисплея.
Производитель заявляет о полной кастомизации аппаратной платформы под требования заказчика, но суть остается неизменной - это готовый конструктор, а не "новейшая разработка".
Плохо все это или хорошо? С одной стороны, хорошо, что российский производитель не придумывает велосипед и не тратит на это различные виды средств. Не мы первые это придумали, не мы последние. Из подвернувшегося зарубежного, например, Kerio NG модель 500 - наш старый знакомый:
С другой - все так же зависим от загруженности завода, политической обстановки и прочих факторов.
Стоит также обратить внимание на то, что почти все российские ИБ решения на базе Lanner сертифицированы ФСТЭК. Является ли это гарантией отсутствия закладок от дружелюбных китайцев? Сомнительно.
Ну и по-прежнему язык не поворачивается говорить о том, что "сделано в России", хотя и очень хочется.
Думаю, что буду не далек от истины, если скажу, что в России пока что нет российских аппаратных разработок, доступных для массового рынка (процессор Байкал не подходит ни по одному критерию). У всего есть зарубежные (в основном китайские) прародители. Скидывайте свои находки, поищем аналоги и им. Это довольно увлекательная игра. Также интересно посмотреть на программную часть данных продуктов. Если будет интересно, напишу.
В дополнение ко всему вышесказанному хочу добавить, что для примера я взял только две модели, которые можно сравнить друг с другом и увидеть практически полное отсутствие отличий, кроме разве что цветов и наклеек. Фактически же у большей части производителей вся линейка построена на платформе Lanner, при желании можно найти стартовые модели для каждой из них. Часто можно увидеть, что российские проиводители берут аппаратную платформу практически без изменений или с минимальными. Всё объясняется очень просто - экономия. Скорее всего, кастомизация становится выгодной тогда, когда партия довольно большая. А делать три железки какими-то особенными и запоминающимися - это если вы планируете долговременный бизнес, а не поставку на один контракт.
UPDATE
Добавляем в коллекцию UserGate, присутствует наша любимая модель с ЖК экраном в несколько измененной конфигурации и в консервативно-черном цвете D200 и D500.
UPDATE 2
Есть конспирологическая теория о том, что известнейший израильский Check Point тоже использует Lanner в качестве аппаратной платформы. У меня нет подтверждения этому, но внешний вид многих чекпоинтовских железок напоминает вышеописанные модели, которые отразили в зеркале - экран справа и модуль расширения слева. Вполне возможно, т.к. производитель гарантирует практически любую кастомизацию за определенные деньги. Если у кого-то есть подтверждения - поделитесь.
UPDATE 3
Спасибо всем, кто присылает новые имена и модели как российских, так и зарубежных производителей. Здесь и далее будет происходить периодическое обновление коллекции.
Амикон и их ФПСУ-IP:
Американская Watchguard со всем её модельным рядом.
Компания Netgate (те самые, которые pfSense) для младших моделей SG-5100 использует кастомизированную модель NCA-1510.
Российский Инфотекс в целом никогда не скрывал, что использует OEM. HW50 строится на базе NCA-1010. В корпусе отверстие под антенный разъем закрыто заглушкой. Проверьте, вдруг там есть интерфейс?
Шведские Clavister со своими моделями NGFW и Service-Based FW. Американский Sophos - модели 1U и 2U.
А вот немного другой профиль - голосовые шлюзы от компании Sangoma. Тем не менее, всё тот же Lanner в качестве аппаратной платформы.
Check Point это основной клиент Lanner Inc
ОтветитьУдалитьА есть какое-либо подтверждение? Может, новость древняя или просто фотка разобранного ЧП с надписями на платах? А то визуально видно, что да, но "математически подтвердить не могу" :)
УдалитьКонечно есть, есть статистикпродаж Lanner Inc в мире и есть понимание кто и сколько покупает. Я Вам более того скажу, Cisco Meraki или Juniper тоже Lanner😉. Про закладки это все бред, это не Китай, а Тайвань, каждый клиент получает схемотехнику и BOM. Тут только часть Российских компаний, их поверьте гораздо больше. Тот же суверенный интернет построен на Lanner 😉
УдалитьПрекрасная статья. Наткнулся на нее, когда сам проводил исследование по аппаратным платформам стерра шлюз 100 и инфотекс координатор hw50 сделана на NCA-1010.
ОтветитьУдалитьНа Байкал-М и Байкал-С сейчас есть фирмы, проектирующие шлюзы.
А есть уже в проде Байкал? Если есть ссылки, поделитесь, пожалуйста. Было бы интересно посмотреть.
УдалитьЯ, на самом деле, жду, когда таки на байкалах будут делать что-то. И желательно, чтобы оно не стоило как крыло от самолета, а то и как целый самолет.