Рабочая программа и доклады участников совещания, которое проходило 8-9 октября 2009 года в Киеве (в ИТФ), размещены на сайте поддержки ГРИД пользователей. Вы можете ознакомиться с ними по адресу http://grid.bitp.kiev.ua/index.php?option=com_content&view=article&id=114&Itemid=179&lang=ru
Archive for the 'News' category
Зустріч Український академічний грід — 09
Інформаційне повідомлення
8-9 жовтня 2009 року Інститут теоретичної фізики ім. М.М. Боголюбова НАН України, як базова установа, відповідальна за розвиток грід-інфраструктури в НАН України, проводить робочу нараду «Український академічний грід — 09».
Нараду присвячено обговоренню стану та перспектив розвитку грід-технологій в Національній академії наук України, а також питанням створення національної грід-інфраструктури України.
Планується в перший день наради заслухати запрошені доповіді та повідомлення про грід-проекти в ЦЕРНі, Європі, Росії та Україні. Спеціальну увагу буде приділено інформації про Державну цільову науково-технічну програму впровадження і застосування грід-технологій на 2009 – 2013 роки.
Обговорення організаційних і технічних проблем поточного функціонування Українського академічного гріду, а також шляхів їх вирішення, планів реалізації завдань Державної програми відбудеться у вільній дискусії на засіданнях другого дня, 9-го жовтня.
До участі в робочій нараді запрошуються всі бажаючі та зацікавлені в проваджені і розповсюджені в Україні грід-технологій, яким пропонується до 26-го вересня 2009 р. зареєструватися, що можна зробити на сайті http://grid.bitp.kiev.ua в розділі останні новини. Окрім цього, ми просимо учасників конференції відповісти (онлайновому режимі) на запитання анкети, яку представлено на цьому ж сайті.
==========================================================================
E. Martynov
Контроль социальных сетей и не только
Большое количество социальных сетей, бесплатных почтовых сервисов, предоставляющих доступ через веб-интерфейс таят в себе значительную угрозу для руководителей больших компаний или любых учреждений, охраняющих свою тайну — будь-то коммерческие решения или ноу-хау в различных сферах жизнедеятельности человека.
И если вопрос выноса информации на съемных носителях можно решить физически, закрыв доступ к USB, ограничить зоны wi-fi и т.д. То как быть с менеджерами проектов или другими сотрудниками, чья обязанность, по долгу службы, использовать интернет в повседневных целях.
Их возможности по выносу информации просто огромные.
Умелый администратор сразу смекнет, закрыть все (на ферволле) и оставить только необходимые адреса. Но как известно запретить все нельзя, найдется лазейка, позволяющая получать доступ к тому же сервису ICQ, даже если забанены IP адреса, и закрыты порты. Много моих знакомых давно обошли защиту своих сисадминов.
Актуальным остается вопрос электронных писем, если на корпоративном почтовом сервере можно отследить отправку писем, то как быть с mail.ru или любым другим почтовиком.
Я думаю, со мной согласятся многие, что практически все закрыть нереально.
Закручивания в сфере безопасности негативно складываются на производительности работы сотрудника.
Хотя с другой стороны большая часть сотрудников 60% рабочего времени проводит в социальных сетях, использует почтовые ящики которым не нужен ваш закрытый 25 или 110 порт.
Давайте подойдем к проблеме с другой стороны, а кто мешает сотруднику заниматься посторонней работой у себя дома, дома — пожалуйста, но как тогда забрать секреты работодателя, где вынос на внешних носителях невозможен — только через каналы внешнего доступа.
Для контроля каналов Интернет классическим подходом является фаервол.
Закрываем почтовые сервисы (mail.ru, …), фильтруем строки URL запроса в сквиде, которые содержат последовательность символов mail, закрываем порты на ICQ, ставим пароль на доступ к интернету. Фух! вроде закрылись. НО
1) Почтовых серверов тысячи, почему бы не воспользоваться бесплатным почтовым ящиком в домене Бразили (админ надеюсь не знает его Доменное имя или айпи)
2) ICQ порты закрыты, но не беда, можно сделать редирект портов на внешнем сервере, например делать запрос на my.site.com:80, а на сервере my.site.com сделать перенаправление портов на login.icq.com:5190
3) Другие способы…, например реализация редиректа на своем внешнем сайте (сервисе) для различного рода социальных сетей.
Как видите, огромное количество лазеек. Выходов тоже много, эффективность каждого оценивается в отдельности и на основании функциональности того или иного подхода.
Приведем несколько примеров защиты:
1) Классический — фаервол, уже было сказано — все не закроешь.
2) Выборочный — анализ трафика для некоторых пользователей. Например снифер пакетов.
3) На мой взгляд наиболее продуктивный — глобальный фильтр, вернее не фильтр а глобальный анализатор.
Рассмотрим 3й случай более подробнее: Что для этого надо сделать?
Установить некоторый перехватчик пакетов, задача которого не блокировать, а анализировать. Лучший враг (конкурент) — это перехваченный конкурент с его агентурной сетью. Задача анализатора — прозрачно внедрятся в существующую IT-архитектуру предприятия и зеркалировать весь трафик с внешним миром… и анализировать его.
На основе сигнатур, свойственных для социальных сетей, почтовых сервисов, сервисов обмена мгновенными сообщениями можно анализировать не только время, проведенное Вашим сотрудником в работе, но и информацию, которой он оперирует используя Ваши внешние каналы.
Наткнулся недавно на сервис контроля социальных сетей, где сказано Social Watch (http://socialwatch.ru/):
Если вы – руководитель, сервис поможет вам контролировать подчиненных. Добавьте ссылки на профили ваших работников в социальных сетях, и получайте ежедневный отчет, кто и когда заходил на сайты.
Представляю Вас добавляющего ссылки на профили Ваших рабочих, на мой взгляд очень не практичное и утомительное задание.
Интересное решение предлагает компания Инфосистемы Джет (http://www.jetsoft.ru/product/product.html), в рамках своего продукта Дозор-Джет, у Вас появляется возможность контролировать весь (!) трафик выходящий наружу. Вы сможете не только подсчитывать время работы Ваших подчиненных, но и анализировать их действия. Продукт прозрачно интегрируется в структуру Вашего предприятия и не требует специализированного оборудования.
Более подробная информация на сайте компании http://www.jetsoft.ru/download/presentation.html
Пишите, с радостью отвечу на Ваши вопросы. Если есть возражения или замечания, рад ответить на них.
Настраиваем VPN/OpenVPN на WinXP Professional и Win2003 Server
Наткнулся на интересную статью, на пальцах описывающую настройку VPN, решил опубликовать. Единственное в дальнейшем необходимо будет самому протестировать + выложить настройки и рекомендации по модемам и ipcop.
Автор: ‘Copyright © FARAON Portal — Belarus Security Portal’
Источник: Copyright © FARAON Portal — Belarus Security Portal
Настраиваем VPN/OpenVPN на WinXP Professional и Win2003 Server
Невероятно, но VPN-сервер можно поднять даже на платформе Windows XP Professional. 1. Первым делом переходи в «Панель управления ->gt; Сетевые подключения ->gt; Создание нового подключения».
2. Мастер новых подключений должен быть тебе хорошо знаком. В явном виде о настройке VPN-соединения здесь нигде не упоминается, но зато есть пункт «Прямое подключение к другому компьютеру». Вот его и выбирай.
3. На следующем этапе из двух предложенных вариантов выбирай опцию «Принимать входящие подключения». Это логично, так как мы настраиваем сервер.
4. Далее мастер предложит указать те устройства, с помощью которых планируется принимать входящие подключения. В списке будут представлены установленные в системе модемы, Bluetooth-адаптеры и подобные девайсы. Однако все они нас сейчас мало интересуют, поэтому снимай все опции, самовольно установленные мастером, и жми «Далее».
5. Наконец-то! Мастер догадывается, что нас, возможно, интересует настройка VPN, и поэтому задает соответствующий вопрос. Смело отвечай «Разрешить виртуальные частные сети».
6. Следующий шаг — параметры авторизации пользователей. Само собой разумеется, что подключиться к VPN-серверу может не каждый. Для установки соединения клиент в обязательном порядке должен пройти процедуру авторизации. Собственно, сейчас мастер предлагает выбрать тех пользователей, которым разрешен вход в виртуальную частную сеть. Можно выбрать некоторых локальных юзеров или же добавить новых. В последнем случае нажми на кнопку «Добавить» — мастер сразу потребует ввести имя нового пользователя и пароль.
7. Настройка сетевых протоколов и в особенности TCP/IP не менее важна. Выбери соответствующий пункт в списке протоколов и нажми на кнопку «Свойства». Для того чтобы пользователь мог получить доступ к твоей сети, необходимо активировать опцию «Разрешить звонящим доступ к локальной сети». Далее требуется обозначить диапазон IP-адресов, которые смогут использовать подключившиеся клиенты. Возможен также вариант, когда юзеру IP-адрес будет выдаваться автоматически посредством службы DHCP.
8. Все, настройка на этом завершена. Можешь попросить кого-нибудь из друзей подключиться к твоему новоиспеченному серверу. Настройка клиентского подключения мало чем отличается от создания Dial-up соединения, поэтому мы ее рассматривать не будем. Слишком просто.
Настройку VPN в Windows XP урезали по самое не балуй. С одной стороны, это хорошо и позволяет разобраться в установке даже новичкам, но что же делать нам — гуру? Ответ на этот вопрос также прост, как и очевиден: вместо пресловутой XP, которая едва ли подходит для подобных экспериментов, использовать мощную систему в лице Windows 2003 Server. Настроить серверную ось несколько сложнее, но этот подробный мануал избавит тебя от лишних вопросов:
1. Для начала через меню «Пуск» открой окно «Администрирование» и далее «Маршрутизация и удаленный доступ».
2. В консоли управления выбери локальный сервер и внимательно смотри на нижнюю левую часть окна. Если увидишь красный индикатор, значит, необходимая нам служба не подключена. Хорошо бы это исправить: для этого нажми правой кнопкой по имени сервера и выбери в меню «Настроить и включить маршрутизацию и удаленный доступ».
3. Далее щелкни по иконке «Удаленный доступ (VPN или модем)», и специальный мастер спросит тебя, какие подключения можно принимать. Нас сейчас интересует исключительно VPN — его и отмечаем.
4. Появившееся окно «VPN-подключение» предлагает обозначить некоторые параметры будущих подключений. Выбери то подключение, которое относится к твоей локальной сети или же Интернету (в зависимости от планируемой структуры и назначения VPN-соединения), а затем нажми кнопку «Далее».
5. В окне «Назначение IP-адреса» мастер предлагает задать настройки IP-адресов, которые будут присваиваться клиентам при подключении. Если на машине установлен DHCP-сервер (что довольно вероятно), выбери пункт «Автоматически» и жми «Далее».
Если хочешь задать диапазон выдаваемых IP-адресов вручную, введи интересующие тебя значения в поля «Начальный IP-адрес» и «Конечный IP-адрес». Проследи, чтобы эти IP-адреса были из той же подсети, что и твой компьютер. В противном случае придется прописывать дополнительные правила маршрутизации, чтобы все клиенты были достигаемы.
6. На следующем шагу рекомендую принять параметр по умолчанию «Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение». В последний раз жми кнопку «Далее», затем «Готово» — на этом предварительная подготовка завершена.
По большому счету, VPN-сервер готов к работе, однако, подключения к нему пока еще запрещены. Разрешить удаленные подключения поможет опять же системный апплет «Маршрутизация и удаленный доступ» (окно «Администрирование»):
1. Дважды кликни по объекту сервера и выбери «Политики удаленного доступа».
2. Теперь найди значок «Подключения к серверу маршрутизации и удаленного доступа», щелкни по нему правой кнопкой мыши и перейди в меню «Свойства».
3. Мы добрались до интересующей нас опции — «Предоставить разрешение на удаленный доступ». Активируй ее и нажми «ОК». Настройка завершена.
Теперь VPN-сервер может принимать входящие подключения, но пока непонятно, какие и от кого. Осталось самая малость — указать системе авторизированных для подключения пользователей, что осуществляется через службу каталогов (Active Directory). Если она не установлена или не настроена, могу только посочувствовать и посоветовать прочитать статью «Windows 2003 Server». Если же с AD все ОК, то порядок действий будет следующим:
1. Перейди «Пуск ->gt; Администрирование ->gt; Active Directory — пользователи и компьютеры»
2. Теперь создай новую или найди интересующую тебя учетную запись и открой ее свойства.
3. В закладке «Входящие соединения» есть пункт «Разрешить доступ». Его и нужно активировать.
В системе есть еще немало настроек, относящихся к VPN-соединениям. Все они нужны для того, чтобы администратор мог до мельчайших деталей отконфигурировать виртуальную частную сеть и сделать ее такой, какой бы хотел ее видеть.
