Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

26.02.2017

Google
WWW CITForum.ru
С Новым годом!

GAUNTLET

Защита локальной сети при подключении к Internet

Информация предоставлена "Р-Альфа"

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ), разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки зрения защиты вариант МЭ - фильтр на уровне приложений, при этом обеспечивает максимальную прозрачность при использовании, возможность создания VPN и простое управление всем этим. Этот МЭ позволяет пользоваться только теми протоколами, которые описал оператор и только в случае их безопасного использования. Безопасность обеспечивается при работе через МЭ в обоих направлениях в соответствии с политикой безопасности, определенной для данной организации. Продукт доступен в предустановленном виде на Pentium машинах, а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день является стандартом де-факто для построения МЭ на уровне приложений. Система Gauntlet получила сертификат Национального Агентства Компьютерной Безопасности США и была проверена Агентством Национальной безопасности США.

Данный продукт предоставляет возможность безопасного и строго аутентифицированного доступа по следующим протоколам:

  • telnet, rlogin
  • ftp
  • smtp, pop3
  • http, shttp, ssl
  • gopher
  • X11
  • printer
  • rsh
  • Sybase SQL
  • RealAudio

Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения, которое можно использовать для протоколов, не нуждающихся в авторизации пользователя, например NNTP. В наличии имеется также возможность организовывать "сырые" соединения для пользователей с подтверждениями полномочий. По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

В дополнение к фильтрации на уровне приложений, МЭ требует внесения определенных изменений в базовую операционную систему. Эти изменения включают:

  • для использования в варианте виртуальных сетей добавлен пакетный фильтр
  • режим роутера выключен полностью. Информация между сетями передается только посредством транслирующих серверных программ (proxy)
  • систему определения атак с подменой адресов
  • поддержка VPN
  • поддержка прозрачного режима для proxy
  • выключена обработка пакетов со специальными признаками
  • добавлена возможность заносить в журнал все попытки соединения с МЭ по несконфигурированным видам сервиса

Дополнительные возможности системы включают в себя особые фильтры, позволяющие организовать на самом МЭ определенные информационные сервисы, такие как

  • электронная почта
  • DNS
  • ftp
  • WWW

Этот МЭ - единственный из существующих, позволяющий защитить пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные сетевые вирусы, причем независимо от платформы.

Gauntlet разработан по принципу "белого ящика", что на практике означает его распространение вместе с исходными текстами. Кроме того, наиболее простые и эффективные приемы написания программ значительно упрощают анализ исходных текстов.

При изначальной разработке МЭ особое внимание уделялось следующим принципам:

  • Минимализм. Простое лучше сложного. Разработка велась четко по принципу "сверху вниз". В результате был получен минимальный по объему а наиболее эффективный по производительности программный интерфейс, легко позволяющий реализовать proxy для протокола, не входящего в базовый комплект. Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает вероятность скрытых ошибок.
  • Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок администратора. Неправильная директива интерпретируется как глобальное запрещение данного сервиса. Кроме того, таким образом введено умолчание - запрещено. Введение любого нового сервиса обязательно влечет за собой его увязывание с политикой безопасности.
  • На МЭ не должно быть пользователей. Единственный пользователь, имеющий возможность только локальной работы - администратор.
  • Записывать в журнал все, что возможно. Избыточность статистической информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и с точки зрения оценки производительности и т.д.
  • Работа МЭ легко контролируется. Наличие единой базы пользователей и эффективного интерфейса для работы с ней легко позволяют осуществлять контроль пользователей, их блокировку, изменение атрибутов и т. д.
  • Простая и логичная конфигурация. Основной конфигурационный файл МЭ имеет текстовый формат, его логическая структура довольно очевидна и не составляет препятствия для системного администратора.

Изначальная конфигурация.

Изначально МЭ не содержит никаких сетевых пользователей, все сетевые сервисы закрыты. В первую очередь необходимо в соответствии с политикой безопасности сети определить защищаемый интерфейс, правила приема/передачи электронной почты. По умолчанию системный журнал сконфигурирован таким образом, что в него записываются:

  • сообщения ядра
  • сообщения о состоянии файловой системе
  • все попытки доступа ко всем сетевым сервисам
  • все факты использования МЭ
  • все факты, связанный с аутентификацией пользователей

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

  • адрес инициатора соединения
  • адрес удаленной стороны
  • время события
  • начала сессии
  • конец сессии
  • количество переданных байт
  • количество принятых байт
  • использование тех или иных специальных параметров протокола
  • результаты аутентификации пользователя
  • попытки смены пароля и иного общения с системой авторизации

Для защиты самого МЭ используются следующие механизмы:

  • ограничение доступа по узлам файловой системы (UNIX chroot)
  • отсутствие пользователей на МЭ
  • система контроля целостности программ и ключевых файлов

Управление пользователями МЭ позволяет:

  • определить способ аутентификации для каждого пользователя отдельно
  • создавать группы пользователей
  • определять для каждого пользователя/группы время работы
  • определять для пользователя/группы использование тех или иных протоколов в зависимости от времени суток, адреса источника и destination.
  • определять по правилам предыдущих пунктов возможность использования конкретных параметров и управляющих директив протоколов.
  • устанавливать для пользователей право изменения пароля

МЭ поддерживает два основных режима работы - прозрачный и обычный. при использовании обычного режима порядок действий пользователя для соединения с машиной по другую сторону МЭ выглядит следующим образом:

  • соединяется с МЭ
  • проходит авторизацию (в зависимости от политики безопасности)
  • дает команду proxy на соединение с удаленной машиной
Второй пункт обычно используется в случае доступа со стороны открытой сети, доступ изнутри наружу может быть разрешен без дополнительной авторизации. Работа в прозрачном режиме выглядит так:
  • дается команда на соединение с внешней машиной
  • авторизация
Т.е. при доступе из сети, не требующей авторизации, пользователь просто соединяется куда пожелает, и наличие МЭ ему не видно. При работе в любом режиме действуют все правила, определенные администратором МЭ

Краткий обзор по протоколам

  1. Терминальный сервис

    Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном режиме при использовании этих видов сервиса. При стандартном режиме работы пользователь общается только с соответствующей программой, он не осуществляет удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ, соответственно каждый сервис требует отдельной конфигурации.

  2. Протокол передачи файлов

    Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном и обычном режимах. При использовании прозрачного режима графические реализации клиента FTP (например CuteFTP for Windows95) не требуют изменения. При стандартном режиме и в случае дополнительной авторизации графические версии использовать не рекомендуется (можно пользоваться терминальной версией ftp в windows95). МЭ осуществляет полный контроль за использованием команд протокола RETR,STOR и т.д.

  3. Электронная почта.

    МЭ предоставляет поддержку электронной почты с использованием протокола SMTP. Поскольку известно большое количество проблем, связанных со стандартной программы передачи почты sendmail, МЭ не запускает ее в привилегированном режиме. Вместо этого с протоколом SMTP работает специальная программа (2000 строк против 40 000 строк в sendmail), которая обрабатывает все соединения по порту 25, проводит полный анализ всех управляющих команд и заголовков письма, после чего вызывает sendmail для реальной передачи сообщения. Все это происходит не в режиме суперпользователя и на изолированном участке файловой системы. Среди дополнительных возможностей имеется возможность скрыть реальную внутреннюю структуру сети от анализа по почтовым адресам.

    Для чтения почты пользователями используется специальная серверная программа, использующая авторизацию через одноразовые пароли. МЭ поддерживает работу по протоколу POP3 с использованием APOP стандарта( см. RFC1725).

  4. WWW.

    МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ, отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше публично доступных аналогичных программ и может быть легко проанализирована. Важнейшим отличием ее от других является возможность блокирования передачи в составе гипертекстовых документов программ на языке JAVA. О полезности этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль за используемыми HTTP методами (GET,PUT,HEAD).

  5. X11.

    X Window System хорошо известная проблемами с безопасностью среда. X11 клиент, соединившийся с сервером, имеет возможность получить контроль над клавиатурой, прочитать содержимое других окон. Система доступа к X11 в МЭ используется совместно с терминальными программами telnet и rlogin. Она определяет псевдо-сервер, с которым и организуется соединений по протоколу X11. При каждом таком соединении пользователю предлагается сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

  6. Удаленная печать.

    В некоторых случаях есть необходимость пересылки по сети печатной информации. МЭ включает средства поддержки удаленной печати. При использовании соответствующей программы проверяется откуда приходит запрос и на какой принтер. также осуществляется контроль за удаленным управлением очередями печати

  7. Удаленное выполнение задач.

    Эта возможность реализована несколько ограниченно по причинам безопасности, поскольку протокол rsh является одним из наиболее опасных. Пользователи из приватной сети могут по правилам определенным администратором МЭ выполнять задачи удаленно в открытой сети.

  8. Передача звука - RealAudio.

    Для пользователей приватной сети имеется возможность использовать аудио по запросу протокол.

  9. Доступ к базам данных.

    В настоящий момент реализована возможность доступа к базам данных Sybase с контролем на МЭ.

  10. Нестандартные протоколы.

    Для работы с нестандартными протоколами, использующих TCP в составе МЭ имеется средство plug-ge, позволяющее использовать прозрачное прямое соединение. Поскольку это средство не поддерживает авторизации, его использование должно происходить под строгим контролем и только если администратор понимает, что он делает. В общем случае рекомендуется использовать circuit-level приложение из состава МЭ, поддерживающее авторизацию. Управление этим средством со стороны пользователя легко осуществляется с помощью стандартной программы telnet. Авторизовавшись, пользователь может осуществить несколько соединений. Каждое такое соединение происходит только при подтверждении со стороны пользователя, что это делает именно его программа.

Средства аутентификации пользователей

МЭ позволяет использовать различные средства аутентификации пользователей, как системы одноразовых паролей, так и пароли условно-постоянного действия. Использование последних для доступа через открытые сети крайне не рекомендуется, ввиду их легкой компрометации. Из систем одноразовых паролей поддерживаются все основные виды смарт-карт и софтверных реализаций. В наших условиях наиболее употребительной системой может стать S/Key, ввиду доступности. смарт-карты на данный момент не могут импортироваться в соответствии с законодательством.

Прозрачность при использовании.

Главным положительным качеством пакетных фильтров является их прозрачность, т.е. комфортабельность использования. Кроме того, при использовании пакетного фильтра нет необходимости изменять клиентское матобеспечение. Нынешний уровень развития фильтров на уровне приложений позволяют достичь практически полной прозрачности. Рассматриваемый МЭ - пример наиболее эффективной реализации этих возможностей. Для пользователей внутренней сети МЭ может рассматриваться как стандартный роутер.

Почтовый сервер и DNS.

МЭ включает средства построения этих видов сервиса, при этом позволяет полностью скрыть структуру внутренней сети от внешнего мира, как в почтовых адресах, так и в DNS.

Трансляция адресов

Поскольку МЭ является фильтром на уровне приложений, все соединения проходящие через него имеют обратный адрес самого МЭ, что полностью скрывает внутреннюю структуру защищенной сети.

Система обработки статистики

МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по адресам клиента и сервера, имени пользователя, времени сеанса, времени соединения, количеству переданных/принятых данных, действия администратора по управлению пользователями, действий пользователей по авторизации и изменения пароля. Система обработки производит анализ статистики и предоставляет администратору подробный отчет. За счет использования специальных протоколов МЭ позволяет организовать удаленное оповещение об определенных событиях в режиме реального времени.

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...