1.  Введение

MicrosoftActiveDirectory(MAD) как инструмент для развертывания и управления корпоративными сетями был впервые представлен корпорацией Microsoftв 1999г. С этого момента MADподвергается постоянной модернизации и улучшению (Windows2000 ServerEdition, WindowsServer2003, WindowsServer2003 R2, WindowsServer2008, WindowsServer2008 R2). Распространенность MAD[1] объясняется, прежде всего, широкой популярностью операционных систем семейства Windowsи относительной простотой развертывания и управления корпоративной сетью с использованием MAD.

 Однако при неправильной или неполной настройке [2], использование MADкак решения для корпоративных сетей, связано с появлением серьезных угроз безопасности и конфиденциальности информации. Наличие дополнительных сервисов в корпоративной сети, таких как электронная почта, быстрый обмен сообщениями и т.д., существенно увеличивает риск возникновения таких угроз.

2. Классификация уязвимостей сетей на основе MAD

Первый тип уязвимости характерен для сетей MADв целом и связан с использованием, из-за поддержки обратной совместимости для гетерогенных сетей, устаревших и ненадежных протоколов аутентификации LM, NTLMv1, NTLMv2, NTLMv2-Session[3].

Например, при некорректной настройке, рабочие станции Windows, в процессе авторизации пользователей, передают контроллеру домена сети LMи NTLMхэши, несмотря на то, что, начиная с Windows2000, протоколом аутентификации по умолчанию является kerberos. Перехват (или сниффинг) LMили NTLMхэшей дает злоумышленнику возможность за приемлемое время восстановить пароли пользователей, используя, например, bruteforceили rainbowtables[4] криптоатаки. Технические аспекты реализации сниффинга и криптоатак LMи NTLMхэшей обсуждаются в следующем разделе данной статьи.

Уязвимости второго рода есть следствие применения в MADненадежных политик паролей и учетных записей [2]. Наиболее опасными с этой точки зрения являются следующие ошибки в проектировании политик безопасности корпоративной сети:

-       использование пользователями слабых паролей;

-       отсутствие требований к минимальному и максимальному сроку действия паролей;

-       ненадежная политика блокировки учетных записей;

-       отсутствие журналов паролей, исключающих их повторное использование;

-       отсутствие политики периодической смены паролей, исключающей немедленного возврата старого пароля;

-       хранение паролей, используя обратимое шифрование.

Третий вид уязвимости заключается в сильной зависимости службы каталогов MADот службы DNS[2]. В MADсетях служба DNSиспользуется для:

-       авторизации клиентов и получения ими доступа к различным службам сети;

-       разрешение доменных имен;

-       обнаружения Web, почтовых и других ресурсов.

Служба DNS, в свою очередь, подвержена многочисленным видам так называемых DNS-атак [5]. На магистральных каналах связи системы обнаружения вторжений (IntrusionDetectionSystems, IDS) эффективно распознают эти атаки и блокируют злоумышленника. Однако в локальных сетях на основе MADстандартного и эффективного решения для защиты от DNS-атак пока не существует. Разновидности и технические аспекты реализации DNS-атак рассматриваются в следующем разделе данной статьи.

 Следующий, четвертый вид уязвимости, присущий корпоративным сетям на основе MAD, связан с отсутствием стандартных и эффективных IDSсистем и систем предотвращения атак (IntrusionPreventionSystems, IPS) в серверных версиях Windowsи версиях Windowsдля рабочих станций. Таким образом, в отсутствие дополнительно установленных и корректно настроенных IDSи IPSсистем, в сетях на основе MADстановится возможным применение Man-In-The-Middle(MITM), Denial-of-Service(DoS) [5] и множества других видов сетевых атак. Классификация и технические аспекты этих атак также рассматриваются в следующем разделе данной статьи.

Последний вид уязвимости, рассматриваемый в рамках данной работы, есть следствие использования в корпоративной сети на основе MADнеправильно или некорректно сконфигурированных (с точки зрения безопасности) дополнительных сетевых сервисов, таких как электронная почта, сервисов быстрого обмена сообщениями, передача файлов, а также различных Web-сервисов. Например, для упрощения процессов администрирования, пользователи корпоративной сети для авторизации во всех сетевых сервисах, в том числе и для авторизации в домене, используют одну и ту же пару логин-пароль. Успешная сетевая (или какая-либо другая) атака на один из таких сервисов, возможная в силу вышеперечисленных уязвимостей, приводит к взлому MAD, и наоборот успешная атака на MADприводит к взлому всех сетевых сервисов.

3. Классификация атак в сетях на основе MAD

Как было уже отмечено в предыдущем разделе статьи, в сетях на основе MADвозможны следующие разновидности сетевых атак:

-       сниффинг;

-       DNS-атаки;

-       атаки вида MITM;

-       атаки вида DoS.

Сниффинг [5] – это сетевая атака, заключающаяся в перехвате и анализе информации проходящей через сетевой интерфейс, с использованием специального программного обеспечения, так называемых снифферов. С появлением интеллектуальных маршрутизаторов данный вид атаки несколько утратил свою актуальность, однако в сочетании с другими видами сетевых атак, такими как, например, спуфинг, сниффинг по-прежнему представляет серьезную опасность для корпоративных сетей. Это обусловлено, прежде всего, широкой распространенностью снифферов как программного обеспечения и практической невозможностью обнаружить сетевой интерфейс в локальной сети, работающий в режиме сниффинга.

Особую опасность сниффинг представляет, когда передача логинов и паролей клиентов при авторизации осуществляется в незашифрованном виде, а также когда для авторизации в каких-либо сервисах используются устаревшие или небезопасные протоколы аутентификации. В этих случаях, криптоатака либо совсем не нужна, так как логины-пароли перехватываются в открытом виде, например, при использовании протоколов SMTP, POP3, FTP, HTTP, либо криптоатака на хэш не требует существенных вычислительных ресурсов, например, в случае SSH1.

Поскольку авторизация клиентов в сетях на основе MADосуществляется при помощи криптографических протоколов аутентификации, то, как правило, сниффинг является промежуточным этапом между каким-то другим видом сетевой атаки, например спуффингом, и криптоатакой на перехваченные хэши.

Как уже было отмечено выше, перехваченные при помощи сниффинга LMи NTLMхэши, могут быть подвергнуты bruteforceили rainbowtablesкриптоатакам. С этой точки зрения, наибольший интерес представляет криптоатака rainbowtables, поскольку позволяет восстановить пароль по перехваченному хэшу за приемлемое время, используя вычислительные ресурсы обычного персонального компьютера.

В отличие от bruteforce, криптоатака  rainbowtablesиспользует заранее подготовленные таблицы хэшей, которые либо генерируются при помощи специального программного обеспечения, либо доступны в свободном или коммерческом виде на сайтах многочисленных криптографических проектов.

Существуют следующие разновидности DNS-атак [5]:

-       разведка (footprinting), заключается в похищении данных DNS-зоны с именами доменов, а также именами и IP-адресами компьютеров, и использовании этих данных для взлома системы;

-       перенаправление (redirection), заключается в подмене IP-адреса и перенаправление клиентов на подконтрольные серверы;

-       отказ в обслуживании (DenialofService, DoS), заключается в блокировке разрешения имен, перегрузкой DNS-сервера потоками рекурсивных запросов, при этом сервер обычно зависает, и служба DNS прекращает работу;

-       подделка IP-пакетов (IP spoofing), заключается в использовании IP-адресов из похищенной DNS-зоны, для генерации IP-пакетов, имитирующих пакеты от узлов атакуемой сети (в действительности же эти пакеты могут использоваться для кражи информации или взлома ресурсов);

-       отравление кэша DNS(DNScachepoisoning), когда в ответ на запросы DNS-сервера может возвращаться (и записываться в его кэш) информация о разрешении имен, для которых данный сервер не уполномочен. Клиентские запросы разрешения имен могут удовлетворяться с использованием данных из кэша. Изменив записи в кэше, злоумышленник перенаправляет клиента на подконтрольный ему компьютер, либо просто на неверный адрес.

Атака MITM[5] – это метод компрометации канала связи, при котором злоумышленник, подключившись к каналу между контрагентами, осуществляет активное вмешательство в протокол передачи, удаляя, искажая информацию или навязывая ложную. По существу MITMявляется комбинацией сниффинга и спуфинга на каком-нибудь уровне сетевого взаимодействия, например на канальном, с использованием специального программного обеспечения. Наиболее опасными разновидностями MITMдля корпоративных сетей на основе MADявляются атаки ARP-poisoningи DNScachepoisoningпо причине отсутствия стандартных и эффективных средств их обнаружения и блокировки.

DoS-атака [5] – это атака на сетевой сервис с целью вывести его из строя, то есть создание таких условий, при которых пользователи сервиса не могут получить доступ к предоставляемым сервисом ресурсам, либо этот доступ затруднён. DoS-атака заключается в перегрузке сервиса, например почтового, потоками специальным образом сформированных запросов. Атакуемый сервер, при этом, перестает справляться с поступающими запросами и отказывает в обслуживании легитимным пользователям.

Существуют многочисленные методы борьбы с DoS-атаками и все они, как правило, сводятся к установке и настройке дополнительного программного обеспечения, как на серверные, так и на рабочие станции корпоративной сети.

4. Общие рекомендации по улучшению безопасности

Основными рекомендациями для улучшения безопасности корпоративной сети на основе MADмогут быть следующие:

1. Использовать более надежные политики паролей, т.е.

-       запретить использование пользователями слабых паролей, например, пароли пользователей в обязательном порядке должны иметь минимальную длину 12 символов и состоять из символов букв с учетом регистра, цифр и специальных символов, таких как ~!@#$%^&*()_+=- и т.д.;

-       определить минимальный и максимальный срок действия паролей, например, 5 и 20 дней;

-       определить надежную политику блокировки учетных записей, например, пользователи имеют только 3 попытки неправильного ввода пароля с обязательными 1-минутными паузами между ними;

-       использовать журналы паролей, исключающие их повторное использование;

-       определить политику периодической смены паролей, исключающую немедленный возврат старого пароля;

-       запретить локальное хранение паролей, с использованием обратимого шифрования.

2. Для авторизации в домене и в сетевых сервисах, таких как электронная почта, Интранет и т.д., использовать разные логины-пароли.

3. Любая, передаваемая внутри корпоративной сети, информация (в том числе логины-пароли) должна шифроваться с использованием проверенных и устойчивых алгоритмов криптографической защиты, во избежание перечисленных в предыдущем разделе атак.

4. Протоколы аутентификации LM, NTLM, NTLMSSP, используемые по умолчанию в устаревших версиях Windows(явление характерное для гетерогенных корпоративных сетей) необходимо заменить на более устойчивый протокол аутентификации kerberos. Данный шаг требует правильного конфигурирования системного программного обеспечения не только серверных станций, но и всех рабочих станций корпоративной сети.

5. Все используемые в корпоративной сети сервисы должны быть тщательно проверены на уязвимости к атакам, перечисленным во втором и третьем разделах данной статьи и путем установки и конфигурирования дополнительно программного обеспечения, надежно защищены от этих атак.

5. Заключение

MicrosoftActiveDirectoryявляется эффективным и многофункциональным инструментом развертывания и управления корпоративными сетями. Однако, с точки зрения информационной безопасности, корпоративная сеть на основе MADтребует особо внимательного отношения в плане настройки и конфигурирования.

При использовании ненадежных политик безопасности, непродуманной архитектуры, устаревшего программного обеспечения корпоративная сеть на основе MADстановится небезопасной и доступной для осуществления многочисленных видов сетевых атак.

Webmail is one of the most useful web applications on the Internet, it allows you to access, send, receive and manage your email through a web browser. The great part of webmail is that you can access your email from almost any computer around the world, as long as it has increase own Internet connection and web browser.

Webmail differs from tradition email in which most people set up an email client on one computer, thus making their only access point at one specific computer and only one location. Where traditional email is stored on an email client on one's computer, webmail is stored centrally, allowing access from anywhere via the Internet.

Webmail has been made popular by many technology companies including search engines and portals. Some of the more popular webmail services available are Yahoo! Mail, Google Gmail and Microsoft's Hotmail. You will be happy to know that these webmail services are usually offered for free. Usually these companies offer their webmail service for free to entice viewers to keep coming back to their site. Many individuals check their email on a daily basis, the more a viewer visits a website, and the more revenue a company can make selling advertisements.

Project description

Main.kz offers a great e-mail solution. You can route messages to and from other e-mail accounts to Main.kz and never lose another e-mail messages.

Setting up a Main.kz account is simple, and you can even import contacts from other programs.

The signup window asks for your name, desired Login Name, and then a password. You supply a security question, and a secondary e-mail address(if you have one), which can be used to communicate with Main.kz if you lose your password or have other problems using Main.kz.

When Main.kz launches, you see the Inbox window. The inbox is the heart of the Main.kz program. In the Inbox window you receive new e-mails, and are able to organize, read, and reply to messages.

Main.kz lets you send e-mail to one or many contacts at the click of a button. Sometimes you might not be able to finish writing a message. Click Save at the button of the message to save a draft. Later, when you are ready to continue, click Draft to open a window and select the message.

Main.kz uploads files and attaches them to your e-mail for sending. Click Attach a File to open a field. Click Browse, and locate and select the file you want to attach to the e-mail message.

Main.kz is not only e-mail service; it is also news portal, where internet users can find the hottest news.    

Project actuality

Nowadays three million people are internet users. So Russian internet sharks as yandex.ru, mail.ru and vkontakte.ru struggle for Kazakhstan users. Where is Kazakhstan Company? Kazakhstan must have own email portal. There are several cause that Kazakhstan must have own email portal.

1.       Fast access within local net of Kazakhstan.

2.       From point of patriotism view, Kazakhstan must have own email service.

3.       Mail service is also news portal, where you can find Kazakhstan’s governments political creeds. Nowadays Kazakhstan’s internet users read Russian news, so it’s dangerous for our safety. Kazakhstan extremely need own news portal and email service.     

Project novelty

In our project was used AJAX technology and using AJAX we can create services such editing several emails in one time and these services would be first in Kazakhstan. This technology was used by Google.

Produced results

Main.kz webmail service makes it extremely easy to sign up for an email account and start using your email immediately. Even a novice with virtually no tech experience can start an email account and use it within minutes.

The obvious advantage of using webmail is the ability to access your email from any location that has an Internet connection and web browser. You now don't need to be shackled up to one computer at one location to send and receive email.

Where traditional email clients made it necessary for you the end user to maintain and administer to your own email, today, all administration and maintenance is done on the Main.kz webmail service end. You don't have to worry about patches, reconfiguring software, etc.

Main.kz webmail service allows you to store over 1 gigabyte of data on its email web servers. This means that you no longer have to delete your old emails or old attachments.

Many people have more than one email address and Main.kz webmail makes it easy and free to do so. Many individuals might have an email address for their family, best friends, school, work or marketing offers that they sign up for. For instance, if you are tired of getting lots of spam or newsletters, create a separate email address that all of these emails will be sent to. While this won't completely eradicate spam, you will definitely notice a huge drop in unwanted email.

It should also be noted that Main.kz webmail service include a free spam guard that not only sifts through your email for added protection but also removes viruses or alerts you when a virus may be enclosed in an email.

Мельников О.Н.
докт. экон. наук, профессор кафедры «Менеджмент» Московского государственного технического университета им. Н.Э. Баумана


Очень часто на практике мы встречаемся с ситуацией, когда менеджеры, вроде бы понимая, что их главная задача — это руководство производственной деятельностью людей, забывают о Человеке как о Личности, от принятия решений которого по совершению того или иного действия полностью зависит результативность выполнения порученной ему работы. Человек — это всегда основной элемент в управленческой системе.



( Читать дальше )

Гончаров Д.Ю.
аспирант кафедры экономики и управления на предприятии, Северо-западный государственный заочный технический университет

Вопросы формирования и управления конкурентными преимуществами компании являются наиболее часто обсуждаемой теоретиками и практиками проблемой в сфере стратегического управления. Рыночный подход к управлению предприятием во главу угла ставит внешние конкурентные силы, для лучшего использования которых менеджмент выбирает наиболее подходящую стратегию. При этом конкурентные преимущества могут быть сформированы лишь в том случае, если специфические условиях отрасли позволяют это сделать.



( Читать дальше )

Елкина О.С.
канд. экон. наук, доцент кафедры финансов и кредита, Омский институт (филиал) Российского государственного торгово-экономического университета

На современном этапе рыночных отношений особое значение приобретают проблемы развития социальной инфраструктуры, как важной составляющей экономики страны. Сфера услуг на сегодняшний день обеспечивает условия наращивания экономического потенциала, способствует росту эффективности производства и повышению качества работы. Проведение структурных преобразований в системе сферы услуг и ее значимость диктуют необходимость исследования методологических основ управления повышением ее эффективности. Стратегии экономического поведения работников этой сферы определяют ее развитие и функционирование, а это, в свою очередь, поднимает вопрос  построения системы управления персоналом.



( Читать дальше )

Тарнопольский В.В.
аспирант факультета мировой экономики, Московская международная высшая школа бизнеса МИРБИС, аналитик ООО «Ван Сорс» 


Информация все чаше рассматривается как отдельный фактор производства. Компании уже довольно давно управляют своими информационными инфраструктурами -документооборотом, компьютерными системами и т.д. Компании также применяют управление содержанием информации, различные виды анализа и обработки которой существуют в настоящее время. Однако в последнее время компании сталкиваются с необходимостью понимать не только, как хранить и перемещать данные, и не только анализировать содержание, но и понимать, кто в компании владеет той или иной информацией, иначе говоря, знанием. Компании должны отдавать себе отчет в том,  что они знают. Необходимо понимание того, кто обладает информацией и кому и какая информация нужна. Это знание должно стать связующим звеном между информационными ресурсами компании и их использованием.



( Читать дальше )

Ноздрин В.В.
Директор «Московского экономико-энергетического колледжа» Академии Народного Хозяйства  при Правительстве РФ, соискатель Академии народного хозяйства при Правительстве РФ

 
Создание за последние годы в России новой социально-экономической среды обусловило и новые цели развития сферы образовательных услуг. В особенности это касается модернизации её потенциала. На необходимость реформирования этой сферы в условиях глобализации экономики, обратил внимание в своём выступлении в г. Красноярске 15.02.08 г. Д.А. Медведев. Он сказал: «… Нужно создавать школы будущего, новые техникумы и университеты с современными студенческими городками, с широкой научной, экономической и академической самостоятельностью, чтобы они сами находили инвесторов, формировали целевые капиталы для своего устойчивого развития. Результатом нашей работы должна стать система непрерывного образования, доступного для каждого человека...». В этом направлении уже принят Закон РФ о переходе к двухуровневому высшему образованию — подготовке бакалавров и магистров. Однако его реализация обозначила и ключевую проблему: необходимость более рационального использования существующей системы средних специальных учебных заведений (ССЗУ), которые сегодня получили статус колледжей.


( Читать дальше )

Шевырев А.В.
канд. экон. наук, доцент, заведующий научно-исследовательской лабораторией креативного мышления Московской академии экономики и права

 
Российский бизнес лишь недавно пришёл к пониманию того, что именно качество управленческого мышления определяет и качество процесса управления, который, в свою очередь, обуславливает качество принятия управленческих решений.


( Читать дальше )

Мартынов Л.М.
докт. экон. наук, канд. техн. наук, профессор кафедры «Менеджмент» МГТУ им. Н.Э. Баумана


Одним из ярких феноменов современности является формирование и развитие среды опосредованных коммуникаций с использованием новейших информационно-компьютерно-телекоммуникационных систем, сетей, средств и технологий (ИКСТ). Такая среда все больше становится «вторым, артефактным бытием» жизнедеятельности людей. При «вхождении» в это «бытие» (дополняющее естественную материальную среду) люди и организации, применяя ИКСТ, могут не менее плодотворно и результативно достигать цели в режимах телесотрудничества, телепартнерства, телевзаимодействия, телеуправления, т.е. дистанционного управления, в том числе и людьми (в отличие от так наз. «ин-формационного менеджмента» и «коммуникационного менеджмента», не учитывающих когнитивную сущность менеджмента, формирование и использование ресурса «знания»).


( Читать дальше )

Мартынов Л.М.
докт. экон. наук, канд. техн. наук, профессор кафедры «Менеджмент» МГТУ им. Н.Э. Баумана

Окончание. Начало в «кэ» № 3/2008


Телеобщениемежду людьми — бурно развивающаяся область инфокомного менеджмента. Как его развивать, переводя в деловые совместные стратегии и конкретные действия, приводящие к плодотворным результатам? Ведь с точки зрения бизнеса, общение, не перерастающее в деловые взаимодействия, есть «просто болтовня», потеря такого дефицитного ресурса, как «время»… Именно здесь и нужно учитывать возможности проявления креативности участников инфокомных процессов в инфокомной среде.


( Читать дальше )