Статьи
ГОСТ Р 54593-2011 Информационные технологии. Свободное программное обеспечение. Общие положения
Данная публикация не носит характер официального издания
Данный документом введен стандарт использования Свободного программного обеспечения на территории Российской Федерации
Дата введения 2012-01-01
Выдержка из документа:
"Свободное программное обеспечение является безопасной, надежной и финансово привлекательной платформой для построения информационных систем в корпорациях и государственном секторе. Свободное программное обеспечение обеспечивает технологическую независимость разработки и использования программного обеспечения от монополиста, независимость в выборе аппаратной платформы; низкую начальную стоимость оборудования; раннее обнаружение дефектов в программном обеспечении и возможность быстрого их исправления; отсутствие обязательной платы за право использования продуктов.
Свободное программное обеспечение использует принципы открытых систем, которые в настоящее время являются основной тенденцией развития области информационных технологий, систем, а также средств вычислительной техники, поддерживающих эти технологии. Идеологию открытых систем реализуют в своих последних разработках все ведущие фирмы - поставщики средств вычислительной техники, передачи информации, программного обеспечения и разработки прикладных информационных систем.
Примерами самых известных свободных программ являются: широко распространенный веб-сервер Apache, развивающаяся операционная система GNU/Linux, полнофункциональный офисный пакет OpenOffice.org, браузер MozillaFirefox, операционная система FreeBSD. На свободном программном обеспечении работают поисковые системы Google и Yandex.
В ряде стран (Франция, Бразилия, Испания, Китай и др.) свободное программное обеспечение используют также на государственном уровне.
Использование свободного программного обеспечения наряду с отечественным проприетарным программным обеспечением - наиболее эффективный путь создания российской программной платформы, которая может стать основой возрождения отечественной отрасли программирования.
Свободное программное обеспечение способно решать задачи государственного масштаба.
1 Область применения
Настоящий стандарт распространяется на свободное программное обеспечение.
Настоящий стандарт устанавливает общие положения в области создания, распространения и использования свободного программного обеспечения, в том числе для государственных и муниципальных нужд.
Настоящий стандарт также предназначен для применения организациями, предприятиями и другими субъектами научной и хозяйственной деятельности независимо от форм собственности и подчиненности, а также органами государственной власти Российской Федерации на всех этапах жизненного цикла свободного программного обеспечения в соответствии с действующим законодательством Российской Федерации."
Microsoft Windows 8, как знамение мирового кризиса
Вот и у меня дошли руки до новой пользовательской операционной системы от Microsoft. Как долго мне этого не хотелось. Все время было чувство, что то, что я увижу будет не очень привычным и удобным. Чувство было, только масштаб бедствия был оценен не достаточно. Никто не ожидал ничего подобного. Прошло окло 20 лет с момента появления первой операционной системы Windows.
Надо отдать должное, что каждый последующий продукт был все-таки лучше предыдущего. Бывали, конечно и провалы типа Windows 98 или Vista, но неизменной оставалась концепция операционной системы, а именно – интерфейс рабочего стола. Он оставался неизменным все эти годы. Сотни миллионов пользователей, а проще сказать все население нашей прекрасной планеты десятилетиями привыкало к рабочему столу Windows. Но то, что появилось сейчас не поддается нормальному объяснению.
Похоже, что яйцеголовые менеджеры всерьез наплевали на то, что все население Земли вдруг разом испытает сильнейший стресс от того, что нет больше привычной кнопки «Пуск-заврешение работы».
Лично я долго не мог поверить, что эта кнопка переместилась не пойми в какие дебри нового интерфейса. И у меня сложилось впечатление, что выпуск данной операционной системы это начало кризиса. Кризис в том, что топ-менеджемент уважаемой Компании не в состоянии оценить что хорошо, а что плохо.
Сломана или надломана устоявшая концепция, в общем-то, хорошей операционной системы. В данном продукте видна попытка, к сожалению, не удачная, найти новые пути развития интерфейса пользователя.
Развитие, может быть и получилось в области мобильныйх устройств, но в сфере ПК получилось разочарование. Видна попытка сделать что-то похожее на Андроид-маркет, попытка усесться широкой задницей на двух стульях один из которых – мобильные устройства, а другой персональные компьютеры. Штаны, все-таки порвались, и задница стала смотреться более отчетливо.
Судя по всему дела в Microsoft в плане идей идут очень не важно. На сегодняшний день пользовательская операционная система Windows 7 по праву остается самой удобной и востребованной системой персонального компьютера, как пользователя, так и системного администратора.
Не удивительно, что системные администраторы до последнего будут отбрыкиваться от установок новой W8. Windows 8 - это попытка улучшить итак хорошее. Как говорится «От добра добра не ищут». Такие попытки «улучшения» ни к чему хорошему не приводят.
А сколько вопросов приходится выслушивать сисадминам, когда пользователь видит это нечто, похожее на простынку с кучей цветных заплаток? Сколько лишних телодвижений нужно совершить, что бы настроить окружение для того, чтобы им было можно пользоваться?
Ни чего другого не остается, как воспользоваться патчем Classic Shell для приведения окна десктопа к привычному виду. После применения которого, на рабочем столе становится доступно привычное меню «Пуск», от которого лично у меня отказываться никакого желания нет.
Просто зайдите на сайт classicshell.net и скачайте оттуда программу.
Аутентификация RADIUS на базе Microsoft Windows Server 2008 R2 на примере межсетевого экрана Dlink DFL
При помощи стандартных компонентов Server 2008 достаточно легко реализуется RADIUS аутентификация пользователей на межсетевом экране DFL-860E. Я думаю, что данный способ будет работать и на других сетевых устройствах. Задача была сделать простую аутентификацию без использования сертификатов ввиду небольшого количества юзеров Для начала необходимо поднять Роль сервера политик сети или NPS Обращаем внимание на то, где стоят галки.
В результате установки нашего NPS (Network Policy Server), в Ролях сервера посвится каталог - Службы политики сети и доступа.
После чего необходимо создать свои простые правила. Не используйте мастеров по генерации политик. После них ничего не работает, так как они предназначены для сложных конфигураций. Первым шагом создаем наше устройство, которое будет перенаправлять запросы на наш NPS. Идем на «Клиенты и серверы RADIUS», «RADIUS-клиенты». По правой кнопке создаем нового клиента – «новый документ»
Вводим имя, которое вам нравится. IP-адрес вашего устройства. Вводим пароль – ключ для данного устройства. На устройстве данный ключ должен быть прописан.
На вкладке «Дополнительно» выбираем RADIUS Standard, так как в нашем случае производитель устройства заложит стандартный алгоритм.
Идем в «Политики» - «Политики запросов на подключение» по правой кнопке создаем новую политику
Обзываем ее как нам нравится
В условиях делаем время доступа, такое, какое нам надо. В данном случае – круглосуточно.
Во вкладке параметры оставляем все по умолчанию
В проверке подлинности должно стоять «Проверять подлинность запросов на этом сервере»
Во всех остальных параметрах – пусто.
Далее идем в сетевые политики и создаем новый документ
Новой политике присваиваем имя
Во вкладке «Условия» добавляем тип проверки подлинности MS-CHAP v2 и добавляем группу пользователей Active Directory или самих пользователей, которым будет разрешено удаленно подключаться через наше сетевое устройство.
Во вкладке «Ограничения» указываем следующие параметры
Типы EAP:
- Microsoft: Защищенный пароль EAP-MSCHAP v2, Защищенные EAP (PEAP)
- Методы проверки подлинности ставим также MSCHAP-v2. MS-CHAP
Остальные ограничения - по умолчанию
Вкладка –«Параметры»
Шифрование устанавливаем такое как на рисунке: Простое шифрование, Сильное шифрование , Стойкое ифрование. Автор не проверял какие из этих опций лишние.
Будет не лишним установить логи. Они нам помогут, если что пойдет не так как надо
Изначально файл логов пустой. Нужно выбрать его расположение и сохранить.
После этих настроек можно переходить к настройкам RADIUS сетевого устройства
Заходим в External Users Databases и создаем запись нашего сервера NPS
Во вкладке General, Shared Secret в указываем пароль, который должен совпадать на нашем RADIUS – сервере
В Accounting Servers создаем запись на наш сервер NPS
Также задаем наш сервер NPS предварительно прописанный в адресной книге нашего Dlink. Прописываем пароль, как на NPS сервере в прописанном устройстве.
Идем в User Authentication Rules и на первом месте создаем правило аутентификации RADIUS. В данном примере работать будет только оно. Последующее правило работать не будет
Во вкладке General выбираем RADID и привязываемся к соответствующим интерфейсам
Вкладка Log
Во вкладке Authentication Options указываем наш Radius Accounting Database
Во вкладке Accounting указываем наш Radius Accounting Server
В Agent Options указываем защищенные протоколы Chap, MS-Chap, MS-Chap v2
В Restrictions указываем опции позволящие входить несколько раз под одной записью.
Проделав данные манипуляции пробуем соединение с удаленной машины.
Настройка клиентского подключения будет описана в следующем документе
Данный документ может свободно публиковаться и распространяться при условии наличии в нем гиперссылки на сайт автора www.globaladmin.ru, либо на данную статью
Инженер Компании Глобал-Админ
Ярослав Егоров.
Приходящий системный администратор или it-аутсорсинг?
Если рассмотреть эти два понятия, то на первый взгляд они одинаковые. И тот и другой занимаются одним делом – оказывают поддержку в области информационных технологий. Но при внимательном рассмотрении можно видеть большую разницу в подходах и качестве работы.Возьмем, например, аутсорсинговую компанию, которая занимается it-поддержкой. Принцип построения аутсорсинговой компании таков: В компании есть руководитель, бухгалтер, учредители, штат специалистов. Все это те объекты, между которыми происходит распределение заработанных денег. Поддерживать эту структуру можно двумя способами. Первый способ брать как можно больше заказов, при небольших ценах. Второй способ – брать немного заказов при высоких ценах. Первый способ, однозначно, подразумевает потерю качества, так как, подстраиваясь под рынок необходимо держать в штате низкооплачиваемых специалистов и работать быстро. IT-инфраструктура объект сложный, имеющий в каждом предприятии свои особенности. И типичный случай, когда получив начальный опыт работы в IT компании специалист уходит в другое место, унося с собой весь опыт по работе с клиентами. Клиенты, как правило, видят периодически новых приходящих сотрудников. Хорошо это для клиента? Конечно, нет. Страдает качество предоставляемой услуги. Новому сотруднику нужно время, чтобы освоиться и набраться опыта. Второй способ самый предпочтительный. У вас хороший сервис, постоянные сотрудники, стабильное качество. Текучесть профессиональных кадров низкая. Но, в настоящее время позволить себе такое могут не многие. Слишком уж много предложений в области услуг компьютерного сервиса и компьютерной помощи. Клиент, которому нужна it-поддержка, как правило, не разбирается и не хочет вдаваться в подробности. Поэтому очень большую долю рынка занимают мало профессиональные it-компании c большой текучестью кадров. Приходящий системный администратор – это профессионал, который нанимается работать в фирму для оказания it-услуг. Основное преимущество – это его профессионализм и стабильность. Недостаток этого – отсутствие взаимозаменяемости и четких соглашений по объему работ. Приходящий сисадмин, обычно, отвечает за все. На нем лежит и 1С и сервера и сеть и пользователи. Объем работ, которым он занимается, обычно может быть больше той зарплаты, которую ему платят. Из –за этого тоже могут возникать конфликты и страдать качество предоставляемой услуги. Как-никак, а SLA- соглашение регламентирует зону ответственности.
Мы решили составить табличку из четырех позиций. Хорошая it-компания, типовая it-компания, приходящий админ, собственный it-отдел
|
|
Профессинальная аутсорсинговая it-компания |
Типовая аутсорсинговая it-компания |
Приходящий системный администратор |
Собственный IT -отдел |
|
Профессионализм |
5 |
3 |
4 |
5 |
|
Стоимость услуги |
3 |
4 |
5 |
2 |
|
Оперативность решения проблем |
5 |
4 |
4 |
5 |
|
Хороший контакт с исполнителем со стороны заказчика |
5 |
3 |
5 |
4 |
|
SLA, рамки ответственности |
5 |
3 |
3 |
2 |
|
Безопасность, заменяемость |
5 |
3 |
2 |
5 |
|
Сумма баллов: |
28 |
20 |
23 |
24 |
По нашей оценке на первом месте Профессиональная аусторсинговая IT-компания. Преимущества ее очевидны. Все они обеспечиваются высокой стоимостью обслуживания. Но, эта стоимость обслуживания все равно меньше, чем зарплата IT-отдела. И это понятно, так как для IT-отдела необходим фонд заработной платы, который облагается всеми налогами.
На втором месте идет IT-отдел, который конкурирует с приходящим системным администратором по совокупности параметров. Ну и на последнем месте по показателям типичная, российская аутсорсинговая IT-компания, которая может браться только за выполнение не сложных задач и содержит штат низкооплачиваемых специалистов. Как правило, в таких компаниях большая текучесть кадров.
Вывод: если Вам дорого время и деньги – пользуйтесь услугами профессионалов с хорошей репутацией.
Настройка межсетевого экрана D-Link DFL-860E
В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения
Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.
Последовательность действий:
- Создание адресной книги
- Конфигурирование интерфейсов
- Настройка маршрутизации
- Настройка правил безопасности
- Конфигурирование VPN сервера
- Настройка маршрутизации VPN
- Настройка правил безопасности
1. Устройство сети
Сеть состоит из внутренней сети LAN, Сети DMZ
Снаружи подключено два провайдера. Один провайдер - Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.
Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.
Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.
Последовательность шагов настройки роутера D-Link DFL-860E
2 Создание адресной книги D-Link DFL-860E
В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером
3 Конфигурирование интерфейсов D-Link DFL-860E
Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер
Настраиваем интерфейсы. Заходим во вкладку Interfaces-Ethernet
Wan1 подключен к Корбине. Адрес получает автоматически.
Вкладка Hardware по умолчанию
Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов
WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге
Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.
Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.
Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU
С метрикой надо поподробнее:
Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение - 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.
Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100
Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение
4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E
Смотрим основную таблицу:
Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100
Маршрут в интернет соединение Корбины L2TP с метрикой 110
Запасной маршрут в ПТН с метрикой 120
Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины
Создаем для этого еще одну таблицу маршрутизации forward_routing
В этой таблице запись 1 - маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН
А теперь самое интересное
Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации
Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации
В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main
Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing
Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2
В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2
Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back
Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.
5 Настройка правил безопасности D-Link DFL-860E
Правило 2 разрешает пинг маршрутизатора из локальной сети
Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть
Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть
Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса
Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет
Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины
Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет
Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера
6 Конфигурирование VPN сервера D-Link DFL-860E
Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.
Заходим в Authentication Objects
Создаем новый Preshared key
Заходим в interfaces/IPSec и создаем новый интерфейс
Вкладка General:
Вкладка Authentication. Выбираем Preshared key который мы создали ранее
Во вкладке Routing отмечаем автоматическое добавление маршрута
Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:
После чего создам самих удаленных пользователей
Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее
7 Настройка маршрутизации для VPN . D-Link DFL-860E
При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно
8 Настройка правил безопасности D-Link DFL-860E
Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ
При желании можно правила ужесточить и назначить только специфические сервисы
Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»
Контакты на сайте www.globaladmin.ru
Любое использование материалов данной статьи разрешаются с указанием автора и ссылкой на источник www.globaladmin.ru
More Articles...
