Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!
 
Мы наблюдаем взрыв технологий беспроводных локальных сетей. Огромное преимущество таких сетей - свобода. Пользователи могут беспрепятственно добавлять, удалять и перемещать устройства - достаточно вставить плату и установить программное обеспечение. Для работы в сетях некоторых типов может понадобиться статический IP-адрес, но в DHCP-совместимых сетях это необязательно. Сетевые технологии 802.11b и HomeRF, обеспечивающие высокую скорость передачи данных (до 10 Мбит/с), идеально подходят для мобильных устройств.

К сожалению, в силу природы радиосигналов, спецификации 802.11b и HomeRF защищены слабо. Об устранении этого недостатка с помощью виртуальной частной сети VPN рассказывает Джон Рулей в своей статье "Использование VPN для защиты беспроводных сетей"...

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Компания Инфотекс объявляет о выходе программного межсетевого экрана ViPNet Office Firewall.
• Компания Инфотекс приглашает на работу
  • менеджера по продукту (Product manager)
  • специалиста-тестировщика для работы в Отделе тестирования
  • разработчиков ПО под Unix (Linux, Solaris и др.)
  • программистов-разработчиков в среде Visual C++ 6.0

Введение
В начале 2001 г. компания Microsoft организовала сеть 802.11b для проведения первой ежегодной конференции Windows Embedded Developers Conference, в которой приняли участие более 1000 человек. Тестовая сеть обеспечила для пересылки электронной почты и доступа к слайд-презентациям на локальном сервере скорость связи 10 Мбит/с. Через proxy-сервер можно было обратиться в Web. Правда, многие участники обнаружили, что просматривать информацию на Web-серверах с помощью карманных Pocket PC почти невозможно (даже через скоростное соединение Ethernet) из-за слишком малых размеров дисплея. Я потратил больше времени на прокрутку страниц, чем собственно на чтение. Однако другие участники, использовавшие ноутбуки с платами PC Card 802.11b для связи с Web-серверами и работы с почтой в реальном времени, были в восторге.

Мы наблюдаем взрыв технологий беспроводных локальных сетей. В спецификации 802.11b (также известной как Wi-Fi) и похожем, но менее скоростном стандарте HomeRF определен протокол беспроводных сетей для передачи данных и голосовой информации при работе как дома, так и в офисе. Оба стандарта, как правило, реализуются в виде сетевых интерфейсных плат для обмена данными не через кабель, а по радио. Выпускаются платы PC Card для настольных ПК и серверов, а также платы для ноутбуков и мобильных устройств. В некоторых случаях сетевой интерфейс выполнен в виде внешнего устройства, подключаемого через USB-кабель непосредственно к маршрутизатору.

Огромное преимущество беспроводных локальных сетей — свобода. Пользователи могут беспрепятственно добавлять, удалять и перемещать устройства — достаточно вставить плату и установить программное обеспечение. Для работы в сетях некоторых типов может понадобиться статический IP-адрес, но в DHCP-совместимых сетях это необязательно. Сетевые технологии 802.11b и HomeRF, обеспечивающие высокую скорость передачи данных (до 10 Мбит/с), идеально подходят для мобильных устройств.

К сожалению, в силу природы радиосигналов, спецификации 802.11b и HomeRF защищены слабо. Этот недостаток можно устранить с помощью виртуальной частной сети VPN.

27 апреля 2001 г. в газете Wall Street Journal была опубликована статья "Cекреты Кремниевой долины", посвященная проблеме потенциальной уязвимости беспроводных локальных сетей. В статье описывается, как два молодых взломщика путешествовали по Кремниевой долине с ноутбуком и платой 802.11b, подключаясь к сетям таких компаний, как Sun Microsystems, 3Com и Nortel Networks.

Больше всего меня удивило то, насколько примитивно действовали взломщики — они просто устанавливали плату 802.11b и получали доступ к другим ПК в беспроводной локальной сети. Не нужно напрягать воображение, чтобы представить, с какой легкостью взломщик может проникнуть в мою собственную сеть HomeRF, в которой я изначально не предусмотрел мер защиты и разрешил гостевой доступ. Любой человек с ноутбуком, Windows и платой HomeRF сможет получить доступ к моим данным. Судя по публикации в Wall Street Journal, сети 802.11b защищены столь же ненадежно.

Работайте через VPN
Технология VPN позволяет задействовать Internet для частной связи безо всякого риска. Вместо того чтобы устанавливать связь напрямую через Internet, клиент VPN формирует защищенное соединение с узлом VPN. Он шифрует пакеты данных, а затем пересылает их по каналам Internet на узел VPN, где пакеты расшифровываются. Взломщик, перехвативший шифрованные пакеты в Internet, сможет извлечь из них полезную информацию, только расшифровав их. Подобная задача рядовому хакеру не по силам.

Для защиты беспроводной локальной сети можно воспользоваться технологией VPN, встроенной в Windows 2000. В день публикации в Wall Street Journal я организовал VPN в своей сети HomeRF. Это делается так.

Установите беспроводную сеть в соответствии с инструкциями изготовителя.
На каждой клиентской машине Windows 2000 Professional, подключаемой к беспроводной локальной сети, нужно щелкнуть на кнопке Start, а затем выбрать пункты Settings, Network and Dial-up Connections. Щелкнув правой кнопкой мыши на значке беспроводного адаптера, следует выбрать пункт Properties, а затем убрать флажки Client for Microsoft Networks и File and Printer Sharing for Microsoft Networks. Необходимо убедиться, что по-прежнему выбран протокол Internet (TCP/IP), как показано на Экране 1.

На машине Windows 2000 Server нужно выбрать из меню Start пункты Settings, Network and Dial-up Connections и Make New Connection, чтобы запустить мастер Network Connection Wizard. Нажав Next, следует установить флажок Accept incoming connections. На следующем экране необходимо убедиться, что флажок All connection devices не установлен. Затем на странице Incoming Virtual Private Connection (входное соединение VPN) нужно щелкнуть сначала на кнопке Allow Virtual Private Connection, а затем на Next. Теперь требуется выбрать пользователей, которым будет разрешен доступ к виртуальному соединению (нельзя разрешать доступ пользователю Guest). Затем следует убедиться, что выбраны все сетевые компоненты. На последней странице, где приведено имя полученного соединения, следует нажать Finish.

На каждом клиенте нужно выбрать Start, Settings, Network and Dial-up Connections и Make New Connection, чтобы запустить мастер Network Connection Wizard. Щелкнув на кнопке Next, следует выбрать пункт Connect to a private network through the Internet. На следующем экране необходимо ввести имя или IP-адрес сервера DNS, а затем щелкнуть Next. Можно создать соединения для всех пользователей или только для тех, кто зарегистрирован. В завершение можно изменить имя соединения и щелкнуть на кнопке Finish.
На клиентском компьютере появляется окно Connect Virtual Private Connection. Чтобы завершить организацию соединения, пользователь должен ввести свое имя и пароль. После этого между клиентом и сервером устанавливается связь, подобная прямому соединению между машинами в локальной сети.

Экран 1. Настройка параметров беспроводного адаптера.

В результате данной процедуры просмотр документов, как и работа с общими файлами и принтерами, происходит через VPN. Взломщик, находящийся вне здания и располагающий беспроводной платой, может обнаружить сеть, но не в состоянии прочитать данные, хранящиеся на машинах. Конечно, взломщик может догадаться о существовании VPN и попытаться получить доступ к ней. Но для этого необходимо отгадать имя пользователя и пароль. Очевидно, что, организуя VPN, нельзя разрешать гостевой доступ и назначать пустой пароль. Кроме того, если, как это часто бывает, в Windows 2000 заданы слишком очевидные пароли для учетной записи Administrator, настало время изменить их.

Единственный обнаруженный мною недостаток VPN — невозможность выделять в общее пользование соединения Internet (ICS): все запросы к Web-серверам и другие действия, направленные исключительно в Internet, проходят не через беспроводную сеть, а по каналу VPN. Чтобы исправить этот недостаток, следует открыть на клиенте страницу Properties созданного соединения VPN, на закладке Networking выбрать Internet Protocol (TCP/IP) и щелкнуть на кнопке Properties. Затем необходимо щелкнуть на кнопке Advanced и снять флажок Use default gateway on remote network (использовать шлюз по умолчанию в удаленной сети) на закладке General. Щелчком на кнопке OK закрывается диалоговое окно Advanced TCP/IP Settings. После этого следует вновь нажать OK, чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties, и щелкнуть OK в третий раз, закрывая диалоговое окно Properties соединения VPN. Если соединение активно, на экране появляется предупреждение Since this connection is currently active, some settings will not take effect until the next time youy dial it" ("Поскольку данное соединение активно, некоторые параметры вступят в силу только при запуске следующего сеанса"). Чтобы изменения были приняты, необходимо дважды щелкнуть на пиктограмме соединения на панели задач, нажать Disconnect (разорвать соединение) в появившемся окне Status, а затем вновь установить связь из программы Network and Dial-up Connections.

Мобильные VPN
Очевидно, что беспроводные локальные сети — естественная область применения мобильных устройств. Но как защитить Pocket PC или иное устройство PDA с помощью беспроводной платы Ethernet? В операционной системе Windows CE 3.0, которая используется как в моделях Pocket PC, так и в более крупных компьютерах Handheld PC 2000, имеются встроенные функции VPN, но VPN-клиента производства Microsoft для этих устройств нет.

В белой книге Microsoft "Why Pocket PC?" (http://www.microsoft.com/mobile/ enterprise/papers/why.asp) перечисляются продукты VPN от независимых поставщиков Certicom и V-One. К сожалению, с помощью решений Certicom и V-One нельзя подключить устройства Windows CE к VPN на базе Windows 2000. Для SmartGate VPN компании V-One необходимы фирменные серверный и клиентский компоненты. Клиент movianVPN компании Certicom работает с продуктами VPN для корпораций таких крупных поставщиков, как Alcatel, Axent, Check Point Software Technologies, Cisco Systems, Intel, Nortel Networks и RADGUARD. Клиент movianVPN совместим не только с моделями Windows CE, но и с устройствами Palm OS (компания V-One проектирует версии программы для Palm V и Palm III).

С помощью встроенных функций VPN Windows 2000 можно защитить беспроводную локальную сеть на базе ноутбуков и настольных компьютеров, работающих под Windows. Но чтобы обеспечить безопасный доступ к беспроводной сети с мобильных устройств других типов, необходимы клиентские и серверные программы независимых поставщиков. Почему же до сих пор нет "родных" клиентских программ, столь необходимых для подключения устройств Windows CE к VPN на базе Windows 2000? Этот вопрос к Microsoft пока остается без ответа.

Джон Рулей - независимый технический писатель. Готовит еженедельные выпуски Windows 2000 Pro UPDATE, обзоры по программному обеспечению в Plane&Pilot Magazine. С ним можно связаться по адресу:jruley@ainet.com.(опубликовано в журнале Windows 2000 Magazine, #07/2001).

Федеральное бюро расследований США объявило о том, что его агенты занимаются мониторингом "потенциальных брешей" в компьютерных сетях, из-за которых определенные зоны интернета оказываются уязвимы хакерским атакам.

"Нам известно о потенциальных уязвимостях... в настоящее время мы имеем подтверждения тому, что эти уязвимости используются", - заявил Стивен Берри, пресс-секретарь Центра защиты национально инфраструктуры ФБР.

Собственно, информация об этой уязвимости была обнародована во вторник организацией под названием Computer Emergency Response Team в Университете Карнеги Мэллона (в Питтсбурге). В опубликованном документе говорится о том, что этот недочет делает компьютерные системы уязвимыми для DoS-атак и, вероятно, даже для вторжений. Там же предлагаются возможные способы минимизировать угрозу, однако оговаривается, что эти меры могут заметно сказаться на производительности систем.

ФБР также выпустило рекомендации для коммерческих предприятий о том, как следует реагировать на хакерские атаки и новые бреши в системах безопасности. Бизнесменам рекомендовано наладить регулярные контакты с правоохранительными органами и сообщать обо всех инцидентах.
(источник - http://www.compulenta.ru/, опубликовано 14.02.2002)

Координационный центр общественной организации Computer Emergency Response Team (CERT) распространил предупреждение об опасной уязвимости протокола передачи данных Simple Network Management Protocol (SNMP), при помощи которого системные администраторы осуществляют конфигурацию и управление сетевыми устройствами, операционными системами и прочими элементами сетевой инфраструктуры.

Как говорится в заявлении CERT, системная ошибка в реализации протокола позволяет хакерам получить контроль практически над любым сетевым устройством, в том числе сервером, персональным компьютером, принтером или факсом. В числе возможных операций над сетевыми устройствами доступны отключение их от сети и даже организация DoS-атак.

Как сообщают представители CERT, специалисты организации уже в течение шести месяцев занимаются решением данной проблемы совместно с представителями крупнейших корпораций, специализирующихся на развитии сетевых технологий, в числе которых Microsoft, 3Com, Cisco Systems, Compaq Computer, Sun Microsystems и Hewlett-Packard. Некоторые из перечисленных компаний уже предложили программы-заплатки для собственного оборудования, однако коллективного решения для самого протокола в настоящее время еще не существует.

При этом, как отмечают эксперты CERT, запрет на использование SNMP в глобальных и локальных сетях вряд ли является эффективной мерой, поскольку одновременно из строя окажутся выведены множество сетевых сервисов, основанных на этом протоколе, например, систем интернет-биллинга.
(источник - http://www.cnews.ru/, опубликовано 13.02.2002)

Проблема заключается в том, что пароль для доступа к почте Hotmail является одновременно и паролем для входа в другие сервисы Microsoft, в частности, в службы платформы .NET. Следовательно, хакер, взломавший чужой пароль Hotmail, может получить значительно больше, чем просто бесплатный почтовый ящик.

Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или страну, в которой он проживает, и почтовый индекс. Если ответы совпадают с тем, что он вводил при регистрации нового почтового ящика, то ему предлагается ответить на какой-нибудь "секретный вопрос", типа "Как зовут мою собаку?". Как выяснилось, любой пользователь, который в состоянии вызвать текст HTML-источника страницы, увидит там "скрытое" поле. Если его заполнить нужным логином, записать HTML-текст этой формы в виде отдельного HTML-файла и запустить через браузер, то на экран выводится тот самый "секретный вопрос".

Уязвимость была обнаружена примерно две недели назад, и, по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых "секретных вопросов".

Представители Microsoft утверждают, что никаких проблем с проверкой паролей в их службе никогда (?) не было, и отмечают, что сложность и качество "секретных вопросов" всегда остается на совести пользователей. Специалисты по компьютерной безопасности недоумевают, каким образом такие критически важные для аутентификации пользователя фрагменты программы оказываются доступны практически всем желающим в виде незашифрованного текста. Мы же, в свою очередь, удивимся тому факту, что насквозь "дырявым", десятки раз дискредитировавшим себя сервисом продолжает пользоваться большое число интернетчиков.
(источник - http://www.cnews.ru/, опубликовано 13.02.2002)

Mazafaka.ru расковырял дыру в ICQ

Два русских хакера - Dr.M(:)rG и dake - из группы Network Terrorism (сайт Mazafaka.ru), обнаружили в веб-интерфейсе популярной программы ICQ значительную уязвимость и активно ее эксплуатируют.

Суть уязвимости состоит в возможности доступа к информации, хранящейся в ICQ White Pages. Информацию пользователей некоторых номеров ICQ можно произвольно менять. В ходе эксплуатации дыры "Сетевые террористы" также обнаружили, что от имени этих пользователей можно отсылать SMS-сообщения.

Несанкционированный доступ к ICQ White Pages осуществляется через поддельную форму доступа к личной информации, включающую поле "номер" и "пароль". При введении в поле "пароль" более 8 знаков информация пользователей некоторых номеров становится полностью доступной для любого искажения. Результаты искажений затем доступны в стандартном сервисе ICQ – "найти пользователя". Поддельную форму можно найти на сайте Mazafaka.ru.

Суть проблемы, состоит в том, что у формы есть ограничения на длину пароля до 8 знаков. Если в поддельной форме это ограничение снять, то при вводе пароля длиннее восьми символов веб-интерфейс беспрепятственно допускает всех желающих к личным данным.

Замена формы выглядит следующим, сравнительно тривиальным, образом: форма < input type="password" name="Password" size="15" maxlength="8" nfocus="this.select()" class="regText"> сохраняется и изменяется на < input type="password" name="Password" size="15" value="MazafakaRu" maxlength="10000" onfocus="this.select()" class="regText">. На вопрос "Нетоскопа", а зачем вообще понадобилось подделывать регистрационную форму, Mazafaka.ru ответил, что ему хотелось вызвать ошибку переполнения буфера при посылке данных заведомо больших размеров.

Сами члены проекта Network Terrorism не совсем уверены в причине появления такой уязвимости. По их мнению, вероятная причина в том, что существует ошибка проверки пароля. Предположительно, она действует в том случае, если пароль состоит не из ASCII-символов (например, русских или китайских). Таким образом в том случае, если пароль целиком состоит из русских букв, его легко обойти.

У тотальной эксплуатации этой дыры есть одно серьезное ограничение: поиск уязвимых номеров ICQ происходит путем простого перебора всех номеров подряд. С учетом количества зарегистрированных пользователей ICQ (120 с лишним миллионов) поиск всех уязвимых номеров представляется задачей неосуществимой. Впрочем, Network Terrorism такой задачи перед собой и не ставит.

Как сообщил представитель Network Terrorism, теперь он намерен, изменив электронные адреса отдельных пользователей на один из своих, получить полный контроль над этими номерами. Дело в том, что забытый пользователем реальный пароль высылается ему на тот почтовый адрес, который он оставлял при регистрации в ICQ. Если адрес подменить, то и реальный пароль будет высылаться уже на подмененный почтовый адрес. В результате произвольно менять информацию и вообще делать все, что угодно, можно уже будет не только в веб-интерфейсе.

У тех, кто этой дырой захочет воспользоваться, появится и еще одна уникальная возможность: вновь ввести в эксплуатацию номера ICQ, которые были закрыты, по причине того, что многочисленные хакеры по нескольку раз воровали их друг у друга.
(источник - http://www.netoscope.ru/, опубликовано 04.02.2002)

Корпорация Microsoft представила первые результаты собственной инициативы, в рамках которой в течение одного месяца все усилия компании были направлены на исправление системных ошибок и устранение уязвимостей в собственном ПО. "Первой ласточкой" стал патч к самому распространенному браузеру Internet Explorer, установка которого, по заявлениям разработчиков, позволит пользователям интернета обезопасить себя от атак хакеров, использующих шесть различных системных уязвимостей, в числе которых неверное прочтение определенных элементов кода HTML, ошибки при открытии файлов и выполнении программных сценариев. Загрузить программу-заплатку на свой компьютер можно здесь.

Напомним, что информация о выпуске исправлений для IE появилась практически сразу же после того, как была обнаружена серьезная уязвимость в популярном интернет-пейджере MSN Messenger, которую многие эксперты вообще расценили как "троянский код" самой Microsoft. Как оказалось, проблемы связанные с MSN Messenger еще более серьезны, чем предполагалось вначале. Фактически комбинация нескольких системных ошибок, используемая хакерами, позволяла им получить полный контроль над интернет-пейджером собственной жертвы, т.е. рассылать от его имени сообщения, отправлять электронные письма адресатам адресной книги, а также исследовать содержимое жестких дисков удаленного компьютера.
(источник - http://www.cnews.ru/, опубликовано 12.02.2002)

Корпорация Microsoft предупредила о том, что серийный номер пакета Mac Office v.X может быть использован хакерами для отключения одного или более приложений, работающих в локальной сети или подключенных к интернету.

Степень опасности, согласно заявлениям Microsoft, небольшая, однако использование в неблаговидных целях механизма, призванного защищать приложения от пиратского копирования, придает ситуации дополнительную пикантность, на фоне того, что компания в последнее время получила уже немало комментариев по поводу безотказности и защищенности таких своих продуктов, как Excel, PowerPoint и IE.

Такое положение вещей вынуждает Microsoft не ограничиваться предупреждениями и выпуском программ-заплаток. Недавно Билл Гейтс обратился к 47 тыс. сотрудников компании с электронным посланием, в котором призывает их сделать защищенность продуктов приоритетным направлением в работе. В связи с этим была на месяц приостановлена разработка ПО, с тем, чтобы провести семинары, посвященные защищенности разрабатываемых продуктов.

Mac Office v.X - флагманская разработка Microsoft для платформы Macintosh - была презентована в ноябре. В новой версии ПО предусмотрен механизм, предотвращающий использование в локальной сети двух копий ПО с одинаковыми серийными номерами. В предупреждении проблема описана как системная ошибка в механизме верификации, неверно обрабатывающем определенный тип информации. Использование данной уязвимости приводит к отключению приложения.

"Организатор атаки может использовать данную ошибку для прекращения работы аналогичных приложений других пользователей, объединенных в локальную сеть, с потерей несохраненных данных" - говорится в предупреждении Microsoft. Хакер может создать и отослать такой вредоносный пакет на другой компьютер, используя его IP-адрес, а также провести атаку через интернет, поразив работу всех подключенных машин. Хакеры не могут создавать, удалять или вносить изменения в документы Office, однако несохраненные документы будут утеряны в результате атаки.

Особо отмеается, что данное предупреждение не распространяется на пользователей Office XP, где используется другой механизм верификации.
(источник - http://www.cnews.ru/, опубликовано 11.02.2002)

Компания Инфотекс объявляет о выходе программного межсетевого экрана ViPNet Office Firewall.

ViPNet Office Firewall является универсальным программным средством, обеспечивающим надежную защиту сервера и локальной сети от несанкционированного доступа к различным информационным и аппаратным ресурсам по IP - протоколу при работе с локальными или глобальными сетями, например Интернет.

ViPNet Office Firewall позволяет:

• Защитить локальные сети практически от всех известных атак (WinNuke, Land, Teardrop, Ssping,Tear2, NewTear, Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke, Back Orifice, NetBus, Executer, Masters of Paradise и др);
• Задать отдельную политику безопасности для каждого сетевого интерфейса;
• Обеспечить независимость межсетевого экрана от операционной системы и недокументированных возможностей в ней;
• Контролировать все потоки информации, проходящей через Firewall и фиксировать все необходимые данные в журнале.

Преимущества ViPNetOffice Firewall:

• Программная реализация продукта исключает необходимость закупки дополнительного оборудования;
• ViPNet Office Firewall поддерживает неограниченное количество сетевых адаптеров;
• Оптимальное соотношение "цена/функциональность", легкость установки и настройки продукта;
• Межсетевой экран имеет сертификат Государственной технической комиссии при Президенте России N 546 от 17.12.2001 г.;
• Возможность дальнейшего создания полноценного VPN с использованием линейки продуктов ViPNet.
  

• Низкоуровневый Драйвер сетевой защиты ViPNet, взаимодействующий непосредственно с драйвером сетевого интерфейса и контролирующий весь IP-трафик Вашего сервера
• Программа - монитор, осуществляющая загрузку необходимых параметров Драйверу и фиксирующая все необходимые события. Вы можете выгрузить эту программу, но Драйвер по-прежнему будет обеспечивать безопасность Вашей локальной сети, не будет только вестись журнал трафика.

Программное обеспечение ViPNet Office Firewall устанавливается на сервер-шлюз для защиты компьютеров локальной сети от несанкционированного доступа при работе с ресурсами Интернет. ViPNet Office Firewall контролирует весь IP-трафик, проходящий через сервер-шлюз (горло сети).

Оптимальным режимом защиты локальной сети от атак из Интернет является режим "Бумеранг"("Stealth"). В этом режиме доступ к ресурсам внешней сети (Интернет) допускается только по инициативе компьютеров внутренней (локальной) сети.

Анализ поступающих во время соединения пакетов производится по большому числу параметров (адрес, протокол, порт), поэтому атаки и несанкционированный доступ в Вашу локальную сеть и на сервер-шлюз в это время с любых других адресов или по другим протоколам невозможен, даже с тех компьютеров в Интернете, с которым Вы соединились.

• Самый простой случай - это защита локальной сети от несанкционированного доступа из Интернет. ViPNe [Office Firewall позволяет оградить локальную сеть от злоумышленников, которые не просто сканируют Ваш сервер-шлюз, но и пытаются проникнуть в Вашу локальную сеть. Для этого достаточно установить внешний сетевой адаптер сервера (подключенный к сети Интернет) в режим "Бумеранг" ("Stealth").
• Помимо защиты от атак из Интернет ViPNet Office Firewall также позволяет запретить работу с Интернет определенным компьютерам локальной сети, пользователям которых такой доступ для служебных нужд не требуется. В этом случае достаточно задать фильтры для IP-адресов данных компьютеров или диапазонов адресов и указать, что трафик с данных адресов должен быть заблокирован.
• В том случае, когда всем, или отдельным компьютерам необходимо работать в сети Интернет только с определенными сервисами, например, почтовыми серверами, то Вы можете задать фильтры, блокирующие доступ к Web-страницам, FTP-серверам и прочим ресурсам Интернета. Тем самым Вы можете сэкономить на оплате Интернет-трафика.
• ViPNet Office Firewall поддерживает неограниченное количество сетевых адаптеров, причем для каждого сетевого адаптера можно задать свой режим и настроить свои фильтры. Благодаря этому можно разделить две или три локальные сети, например, так, чтобы из первой сети во вторую доступ был открыт, а наоборот - нет (или только определенным компьютерам был бы разрешен доступ).
• К одному из внутренних адаптеров можно подключить так называемую "демилитаризованную зону" (ДМЗ), в которой разместить серверы, к которым должен быть открыт доступ из Интернет. При этом исходящий трафик из ДМЗ в локальные сети, подключенные к другим внутренним адаптерам, можно полностью заблокировать.

Здесь можно ознакомиться с подробным описанием.

Загрузить полнофункциональную демонстрационную версию ViPNet Office Firewall можно по адресу: http://www.infotecs.ru/demo.htm

Компания Инфотекс приглашает на работу

- менеджера по продукту (Product manager)

Описание должности:

• Управление продуктом
  - обеспечение эффективного Requirements Workflow Process, результатом которого являются сводные требования к продукту (Vision) и точное задание на производство. При этом менеджер продукта отвечает за реальную значимость для рынка (сегмента рынка) тех или иных требований к продукту
  - контроль за сроками выпуска и соответствием продукта ранее утвержденным Visions.
  - поддержка первых продаж партнеров посредством предоставления технической экспертизы, помощи в подготовке коммерческих предложений, конкурентного анализа и т.д.
• Маркетинг продукта
  - позиционирование продукта внутри собственной продуктовой линейки и по отношению к конкурирующим продуктам и решениям (конкурентный анализ)
  - определение целевых сегментов рынка, рекомендации по ценообразованию
  - оценка емкости данных целевых сегментов рынка в денежном выражениий
• Определение продуктовой линейки. Комбинирование собственной продуктовой линейки с другими продуктами
• Превращение продукта в товар (product packaging)
  - дизайн и упаковка
  - инструкции пользователям, примеры по использованию (guides, manuals, quick start и т.д.)
  - информация о товаре (новой версии продукта) и его конкурентных преимуществах для каналов сбыта. Рекомендации по мотивации покупателей. Рекомендации по совместному применению с продуктами и решениями других производителей
  - тренинг программа для каналов и конечных пользователей, обновляемая для каждой новой версии продуктов (совместно с отделом технической поддержки и клиентских проектов)
  - сертификация и патентная защита
• Контроль за обслуживанием продаваемых версий продукта (сроки и приоритеты по исправлению ошибок, сроки обработки информационнных запросов и т.п. операции с использованием системы Clear Quest)

Требования к кандидату:

• Опыт работы в аналогичной должности более 2-х лет
• Отличное знание операционных систем Windows 95/98, Windows NT/2000, Linux (желательно)
• Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
• Знание технологий информационной безопасности
• Желательно знание системы Clear Quest
• Опыт использования программ офисного назначения (Excel, Word, Project, Visio и т.д.)
• Образование высшее

Компенсации: оплата высокая

Резюме отправлять по адресу: ign@infotecs.ru

- специалиста-тестировщика для работы в Отделе тестирования

Описание должности:

• Написание скриптов для системы Rational Visual Test на Visual Basic

• Тестирование фирменного продукта (средства сетевой защиты информации)

Требования к кандидату:

• Умение и желание программировать на скриптовых языках (Visual Basic, Perl)
• Знание общих принципов работы сетевых ОС и стека протоколов TCP/IP
• Аккуратность, усидчивость
• Технический английский (чтение документации, Help'ов)
• Знакомство с общими принципами сетевой защиты информации (Firewall, Proxy)
• Знакомство с основами криптографии

Компенсации: оплата высокая

Резюме отправлять по адресу: pochodzey@bugz.infotecs.ru

- разработчиков ПО под Unix (Linux, Solaris и др.)

Требования к кандидату:

• Опыт написания драйверов (особенно сетевых и драйверов для PCI устройств)
• Знание межпроцессных взаимодействий, сокетов
• Опыт написания сетевых приложений
• Знание механизмов firewall
• Отличное знание внутреннего устройства Internet, протокола TCP, протоколов высокого уровня HTTP, FTP, SMTP, POP, IMAP и др.
• Отличное знание C++, библиотек C, Qt, TurboVision for Unix
• Знание gcc, make, gdb
• Умение программировать на уровне ядра
• Умение анализировать дампы
• Опыт работы не менее 2-лет
• Свободное чтение технической документации на английском языке

Компенсации: оплата высокая

Резюме отправлять по адресу: matscailova@infotecs.ru

- программистов-разработчиков в среде Visual C++ 6.0

Требования к кандидату:

• Отличное знание С++, MFC, Win 32 API
• Приветствуются знания OLE, MAPI, CGI, SoftIce
• Опыт работы не менее 2-лет
• Свободное чтение технической документации на английском языке

Компенсации: оплата высокая

Резюме отправлять по адресу: matscailova@infotecs.ru

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.