Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Управление безопасностью: свет в конце туннеля

Дэвид Уиллис

Обеспечивать информационную безопасность на крупном предприятии, где используются разнообразные вычислительные платформы, — сложная задача, и решать ее с течением времени становится все труднее: добавляются новые устройства, меняется персонал, модернизируются операционные системы (ОС) и приложения, множатся точки входа в сеть, и новые бреши в системе безопасности появляются каждый день, — короче, изменения происходят настолько быстро, что даже просто поддерживать корпоративную информационную систему в соответствующем текущему моменту состоянии уже достижение. При всем при этом штат технической поддержки неизменно сокращается, поэтому все меньшему числу специалистов приходится управлять все большим количеством систем, причем обычно оставляют тех, кто в первую очередь занимается обслуживанием конечных пользователей, а не защитой сети.

Повседневные обязанности по защите информации выполняет рядовой администратор, который занят по горло, следя за тем, чтобы системные бюджеты и разрешения были установлены соответствующим образом, а информацию всегда мог получить тот, кому она необходима для работы, — и никто иной. Общими же вопросами политики безопасности занимаются специальные менеджеры, как правило освобожденные от рутинных дел по администрированию. Разрабатываемые ими правила безопасности должны быть понятными, осуществимыми и не должны усложнять жизнь другим сотрудникам.

Управлять защитой информации в однородной сетевой среде просто. Предприятия, использующие мэйнфреймы корпорации IBM, успешно применяют для этого ее систему RACF или систему CA-ACF2 фирмы Computer Associates (CA). Инструментальные средства для администрирования сетевых ОС тоже довольно хорошо выполняют свои функции, хотя и не всегда. Например, в крупных сетях Windows NT администрирование бюджетов и доверительных отношений, как известно, поглощает уйму времени. Системы Unix имеют схожие недостатки, предоставляя очень ограниченные возможности по делегированию прав управления и весьма неуклюжие механизмы управления доступом.

Для операционных систем Windows NT, Unix и NetWare существует множество инструментов, обеспечивающих защиту информации и управление в рамках каждой из них, но только очень немногие продукты способны выполнять эти функции в гетерогенной среде, где используется несколько различных платформ. При отсутствии объединяющего все мэйнфрейма администрирование бюджетов пользователей и управление ресурсами разных ОС могут осуществлять лишь несколько средств управления безопасностью. Их предлагают компании CA, PLATINUM technology и Tivoli Systems (в составе IBM). С помощью продуктов этих компаний можно управлять пользовательскими бюджетами и доступом к файлам, а также на практике реализовать иерархическую схему безопасности.

У каждой из названных компаний свой подход к управлению безопасностью. Но, несмотря на это, продукты любой из них способны значительно облегчить работу отделов автоматизации крупных предприятий. Они сэкономят труд администраторов, занимающихся вопросами безопасности, и позволят быстрее состыковать разные вычислительные платформы.

Но не стоит расслабляться, ведь внедрение любого сколько-нибудь серьезного программного средства требует тщательной подготовительной работы. Это относится и к рассматриваемым нами продуктам. Вы должны решить, какие ресурсы следует защищать, и определить должностные роли разных групп сотрудников, после чего задать правила доступа этих групп к тем или иным ресурсам. Даже в относительно небольшой системе объем работ по идентификации и наименованию различных ресурсов — систем, каталогов, файлов и т. п. — может стать умопомрачительным.

Усложняет задачу и то, что для администрирования пользователей и управления ресурсами многочисленных платформ вам придется иметь дело не с одним программным средством, а с целым набором их. Самые лучшие решения дают возможность использовать общий репозиторий данных, систему обмена сообщениями и набор интерфейсов API — другими словами, для управления безопасностью они обеспечивают базовую связующую среду (framework). Такой подход оправдывает себя, поскольку позволяет объединять разные средства защиты. Например, продукты, предназначенные для обнаружения вторжений, администрирования пользователей и управления безопасностью, могут работать в рамках единой системы управления событиями, которая автоматически оповещает нужного сотрудника или предпринимает другие необходимые действия.

Мы протестировали продукты: ProtectIT и DirectIT фирмы CA, ориентированные на работу в базовой среде Unicenter TNG; ProVision AutoSecure Enterprise Security Administration и AutoSecure Access Control фирмы PLATINUM, созданные на основе интегрирующей технологии PLATINUM Open Enterprise Management Services (POEMS); Tivoli Management Framework, User Administration и Security Management, входящие в пакет Tivoli Enterprise фирмы Tivoli. Все это весьма крупные наборы продуктов, и выбор одного из них влечет за собой далеко идущие последствия. Как указывает фирма CA, ProtectIT — это в большей степени стратегия, чем продукт. Может показаться, что это просто маркетинговая уловка, но ситуация и в самом деле такова: сделанный вами выбор на годы привяжет вашу организацию к ПО данной фирмы.

По существу, перечисленные выше продукты не что иное, как инструменты для определения и реализации политики безопасности, которые могут как дополнять, так и замещать собственные средства ОС, вроде утилит User Manager for Domains в Windows NT, NWAdmin в NetWare, файлов /etc/password и службы NIS в Unix. Они помещают все необходимые данные в свою собственную централизованную базу данных и по мере необходимости снабжают ими ОС, создавая множество бюджетов пользователей для разных платформ на базе информации, хранящейся в едином справочнике. Кроме того, они контролируют доступ к файлам и каталогам посредством того же самого общего репозитория.

Рассматриваемые продукты позволяют гибко перераспределять полномочия по администрированию. С их помощью, например, можно разрешить оператору отдела поддержки переустанавливать пароли пользователей, при этом запретив ему контролировать файловую систему. Такого рода иерархическое администрирование трудно реализовать в Unix, где администратор системы (root account) традиционно контролирует все ее составляющие, или в Windows NT, имеющей тот же недостаток.

Для осуществления контроля за системными ресурсами (файлы, каталоги и системные процессы) средства управления на базе связующих сред собирают информацию в общую базу данных, не зависящую от ОС. Например, справочники Unix и Windows NT с записями о служащих офиса нью-йоркского филиала могут быть обозначены идентификатором “nyc-emprec” — с ним будут связаны списки управления доступом для отдельных пользователей. Чтобы улучшить масштабируемость, пользователей обычно разбивают на группы (роли), каждая из которых имеет свой индивидуальный список доступа. Фирма Tivoli предлагает наиболее гибкие средства группирования как системных ресурсов, так и пользователей.

Эта фирма реализовала наиболее бережный подход к собственным средствам безопасности базовых ОС, постаравшись избежать слишком сильного их изменения. Единственным исключением явилось, пожалуй, предложение ею собственного механизма управления доступом для Unix — Tivoli Access Control Facility (TACF). Фирма PLATINUM, по сути, предлагает для Unix ту же самую технологию, что и Tivoli. Кроме того, использование ее средства AutoSecure Access Control for Windows NT потребует существенных изменений в системе безопасности Windows NT. Компания CA, единственная, предлагает для Windows NT настраиваемое диалоговое окно WINLOGON и рассчитывает, что после внедрения ее продуктов администраторы перестанут использовать утилиту User Manager for Domains (собственное средство Windows NT). Но, несмотря ни на что, продукты всех трех фирм обеспечивают постоянное обновление собственных баз данных безопасности ОС, что позволит в случае чего вернуться к использованию их механизмов.

Хотя подробное сравнение цен на продукты фирм CA, PLATINUM и Tivoli было бы слишком субъективным, чтобы представлять какую-либо ценность, мы попросили представителей этих компаний прислать нам цены для четырех вариантов инсталляции, начиная с небольшой (4 сервера и 100 клиентов) и кончая очень крупной (2 тыс. серверов и 30 тыс. клиентов). В целом картина такова: у фирмы СА цены существенно ниже, чем у ее конкурентов. Наиболее дорогими оказались продукты фирмы Tivoli, но поддерживаемые ими функции намного шире функций обеспечения безопасности, на которых мы сфокусировали свое внимание в этом обзоре.

Если комплексные решения на базе связующих сред пугают вас своей сложностью и дороговизной, может быть, вам больше подойдут менее дорогие средства контроля за выполнением правил безопасности, такие, как AXENT Enterprise Security Manager фирмы AXENT и AutoSecure Policy Compliance Manager фирмы PLATINUM (см. “Контроль за безопасностью”). Они позволяют проверить, насколько хорошо защищена каждая базовая платформа, и даже автоматически выполняют корректирующие действия, когда обнаруживают какие-нибудь нарушения. Эти продукты можно также задействовать как внешние средства аудита и отчетности для протестированного нами ПО, ориентированного на использование связующих сред.

Продукты фирмы Tivoli

Система Tivoli Enterprise, известная также под названием Tivoli 3.6, включает в себя два основных компонента для администрирования пользователей и управления ресурсами в многоплатформенной среде. Один — Security Management позволяет определить системные ресурсы и группы пользователей и установить соответствие между ними, как этого требует политика безопасности. Другой — User Administration обеспечивает управление пользователями, их группами и хостами. В этой версии продуктов с целью устранения проблем масштабируемости, возникавших в некоторых инсталляциях более ранних версий Tivoli TME 10, переработаны некоторые связи между процессами.

Управление безопасностью — это только малая часть возможностей базовой среды управления фирмы Tivoli, которая отлично подходит для применения в качестве универсального средства сетевого, системного управления и дистрибуции ПО. Ее дополнительные функции существенно расширяют возможности контроля за безопасностью. Благодаря поддержке разнообразных платформ, гибкой архитектуре, мощным функциональным возможностям и ясной методологии внедрения продукты Tivoli заслуженно заняли первое место в наших испытаниях.

При создании своих продуктов специалисты Tivoli не задавались целью расширить собственные средства безопасности Windows NT или NetWare. Следствием этого, с одной стороны, является, например, невозможность при использовании этих продуктов задавать усовершенствованные правила образования паролей, но, с другой — это означает, что вы, когда подойдет время модернизировать пользовательские системы, не будете жестко привязаны к своему поставщику ПО системного управления.

Для решения различных фундаментальных проблем обеспечения безопасности в системах Unix фирма Tivoli предлагает программный компонент TACF, концептуально схожий с системой RACF корпорации IBM. Будучи основанным на программе SeOS фирмы MEMCO Software (теперь она называется AutoSecure Access Control for Unix и принадлежит фирме PLATINUM), TACF перехватывает запросы, так или иначе имеющие отношение к безопасности, и обеспечивает их проверку. Чтобы сопоставлять пользовательские запросы с профилями безопасности, программу TACF можно использовать вместе с продуктом Security Management. В этом случае списки контроля доступа самой ОС становятся ненужными.

Средства управления безопасностью фирмы Tivoli не могут быть отделены от ее связующей среды управления, и это отличает их от продуктов компаний PLATINUM и CA, которые можно установить автономно. Программные модули Tivoli устанавливаются поверх среды Tivoli Management Framework и требуют, чтобы к тому моменту уже были определены группы систем, называемые Tivoli Management Region (TMR).

Вместо того чтобы использовать один сервер, непосредственно взаимодействующий со всеми управляемыми узлами (конечными точками (еndpoint) согласно терминологии Tivoli), разработчики системы Tivoli Enterprise пошли по другому пути. На основном сервере каждой группы TMR запускается процесс Endpoint Manager, передающий задачи шлюзам Endpoint Gateways, которые, в свою очередь, распределяют их по конечным точкам. Получается трехуровневая иерархия (число уровней можно увеличить, разместив группы TMR последовательно друг над другом). Согласно заявлениям специалистов Tivoli, данный подход позволяет одной группе TMR поддерживать 200 шлюзов, способных обслуживать до 10 тыс. конечных точек.

В системе фирмы Tivoli над физической архитектурой уровнями расположены многочисленные логические структуры. Примерами логических структур являются области применения политики (набор ресурсов, к которым применяется одинаковая политика) и менеджеры профилей (управляют распределением профилей, скажем пользовательских). Так называемые роли авторизации (authorization roles) определяют задачи, которые может выполнять конкретный администратор, — от создания новых групп TMR до повседневной работы по поддержанию систем.

Ключевым элементом в работе продуктов Tivoli User Administration и Security Management является формирование организационных групп в соответствии с должностными функциями. Должность пользователя (скажем, менеджер по продуктам) определяет его назначение в ту или иную группу, а специфическая задача (например, просмотр инженерных отчетов) определяет присваиваемую ему роль.

Организация доступа к ресурсам в соответствии с ролями пользователей делает управление в среде Tivoli разительно отличающимся от традиционных методов, предусматривающих формирование групп в соответствии с потребностями пользователей в тех или иных ресурсах. Реализуемая с помощью ПО Tivoli тесная связь организационной структуры с системными ресурсами дает возможность легко адаптировать информационную систему к изменениям, связанным с реструктуризацией предприятия.

Продукты Tivoli превосходно показали себя в наших тестах. Мы с легкостью создавали новые правила системной политики, группы и роли пользователей. С помощью интерфейса User Profile Properties мы создали пользовательский бюджет, информация которого с помощью всего лишь одной команды была перенесена в системы Solaris, Windows NT и NetWare NDS. При этом для большей части параметров предлагались готовые установки по умолчанию, что избавило нас от необходимости возиться с клавиатурой.

Ресурсные записи (Resource Records) в ПО Security Management определяют системные элементы, которые должны быть защищены. Обычно таковыми являются файлы, но это может быть также принтер, реестр Windows NT, определенная часть системы или вся она целиком. Продукт Security Management обеспечивает управление событиями через адаптеры для регистрационных файлов Unix и журнала событий Windows NT. С целью снижения нагрузки адаптеры фильтруют события.

Единственная наша претензия в отношении протестированных продуктов касается низкой производительности работы управляющей консоли Tivoli Desktop при использовании низкоскоростного канала связи. Из-за этого мы даже были вынуждены прервать попытку удаленно управлять безопасностью через линию ISDN (задержка 120 мс). Вместо этого мы решили удаленно управлять самой системой Tivoli Desktop, что несколько улучшило дело. При этом мы поняли, почему опытные администраторы, хорошо знакомые с продуктами Tivoli, до сих пор предпочитают командную строку. Дело в том, что настольная система на базе Windows открывает множество отдельных окон и работает довольно медленно.

Продукты Tivoli оказались самыми дорогими из тех, что мы испытывали, но при этом они предоставляют самый широкий спектр возможностей для системного и сетевого управления.

Продукты фирмы Computer Associates

Несмотря на то что продукты ProtectIT и DirectIT фирмы CA работают отдельно, без базовой платформы Unicenter TNG, во многом они остаются частью общей системы. Даже будучи установленным автономно, каждый из них содержит необходимые компоненты связующей среды, и поэтому администраторам очень важно понимать общую концепцию и терминологию Unicenter, чтобы извлечь максимум пользы из ProtectIT и DirectIT.

В отличие от продуктов Tivoli ПО фирмы CA не предоставляет четко определенной и документированной методологии для отображения в среду управления бизнес-процессов и системных ресурсов. Системы Tivoli ориентированы на точное определение ролей и групп в соответствии с бизнес-функциями, приложения же CA, предлагая боўльшую свободу действий, являются и более гибкими.

Несмотря на невысокую цену, характерную больше для программ класса low-end, продукты ProtectIT и DirectIT никак нельзя отнести к этому классу. Главной их характеристикой является мощная открытая связующая среда, которая наряду с массой достоинств имеет один существенный недостаток — сложность внедрения. Проведенный недавно институтом SANS опрос пользователей Unicenter показал, что чаще всего администраторов отпугивает именно сложность развертывания этой системы. Мы разделяем это мнение, но должны отметить необычайную мощь продуктов СА, что позволяет понять, почему многие пользователи предпочитают их. Однако, чтобы внедрить эти продукты у себя на предприятии, вам, вероятнее всего, потребуется помощь экспертов.

Хотим особо отметить способность продукта ProtectIT 1.0 расширять возможности служб ОС. Сочетая его мощные средства управления событиями и их корреляции со специфическим для Unicenter процессом WINLOGON для Windows NT, вы можете создать внутреннюю службу, обеспечивающую верификацию изменения пароля в момент модификации его пользователем. В коде ProtectIT используются хорошо документированные системные средства перехвата (hooks), и это опровергает утверждения конкурентов, что данное ПО существенно изменяет Windows NT. ProtectIT постоянно обновляет файлы /etc/password и базу данных NIS в Unix, а также базу диспетчера бюджета безопасности (SAM) в Windows NT на тот случай, если пользователи решат отказаться от продуктов CA.

ProtectIT позволяет администрировать пользователей и управлять ресурсами на уровне каждой машины, но сам по себе он не обеспечивает единого управления через общий справочник. Эту функцию выполняет DirectIT. С помощью интерфейса, подобного интерфейсу Microsoft Explorer, DirectIT 1.1 дает возможность сформировать единый пользовательский объект, для которого могут быть легко созданы бюджеты на нескольких управляемых платформах. Продукт поддерживает системные группы (System Group) и роли пользователей (User Role). В то же время он не способен выдать список всех пользователей, которым присвоена данная роль или разрешен доступ к конкретным системным ресурсам. Такой же недостаток имеет и продукт фирмы PLATINUM.

Было бы очень неплохо, если бы DirectIT поддерживал больше справочников и платформ. Поддержка службы NDS и протокола LDAP здесь очень нужна, и представители CA, осознавая необходимость этого, подтвердили приоритетность работ по созданию средств поддержки NDS. DirectIT объединяет администрирование пользователей, их групп и ролей для Windows NT, Unix и Microsoft Exchange, а также обеспечивает контроль за средствами управления хранением разделяемых файлов. Отчеты составляются с помощью продукта TNG Report Explorer, который выдает подробную информацию о конфигурации и активности пользователей, станций и других системных ресурсов. Его средства планирования позволяют организовывать регулярные циклы выдачи отчетов.

Ознакомившись со списком возможностей ProtectIT и DirectIT, мы настроились на очень высокие цены, но приятно разочаровались: продукты оказались совсем недорогими. Конечно, для их использования, возможно, потребуется приобрести дополнительные продукты — например, для работы ProtectIT под управлением Windows NT необходимы лицензии на SQL Server, — но расходы эти, как правило, невысоки. В то же время мы сомневаемся, что вам удастся воспользоваться всей мощью среды Unicenter TNG Framework без советов консультантов. А их услуги стоят недешево.

Продукты фирмы PLATINUM

Продукты фирмы PLATINUM позволяют администрировать большое число бюджетов пользователей в Unix, Windows NT и NetWare и контролировать доступ к системным ресурсам Unix (а в скором времени и Windows NT). Когда мы готовили данный обзор, PLATINUM занималась интеграцией продуктов недавно приобретенной ею компании MEMCO. Поэтому, будучи, безусловно, многообещающим, предложенный ею комплект ПО был еще не готов для применения в качестве полнофункционального средства, обеспечивающего единое администрирование пользователей и управление ресурсами в многоплатформенной среде.

Продукт AutoSecure Enterprise Security Administration (ESA) позволяет сетевому администратору использовать приложение AutoSecure Single Sign-On (SSO) фирмы PLATINUM для управления бюджетами на разных платформах. Для работы AutoSecure ESA требуется установить по крайней мере один главный (master) сервер SSO на Unix-машине, локальные же серверы могут функционировать и под управлением Windows NT. Клиентские средства и программы администрирования работают на компьютерах с Windows 95, 98 или NT. Для обеспечения централизованного администрирования приложение SSO может использовать внешний справочник, осуществляя доступ к нему с помощью протокола LDAP версии 2. Точное соответствие записей справочника собственной схеме AutoSecure ESA необязательно, поскольку это ПО просто добавляет к нему свои собственные классы и объекты. Тем, у кого службы справочника нет, вместе с SSO поставляется справочник ICL i500 X.500 с лицензией, позволяющей использовать его только приложению фирмы PLATINUM.

Определяя роли пользователей по их деловым функциям, ПО AutoSecure ESA в то же время не содержит усовершенствованных средств управления группами пользователей, подобных тем, какие имеются в продуктах Tivoli. Кроме того, оно плохо интегрировано с продуктами AutoSecure Access Control, обеспечивающими управление доступом к файлам и каталогам.

С целью улучшения защиты в Unix фирма PLATINUM, подобно Tivoli, использует продукт SeOS компании MEMCO, заменив его название на AutoSecure Access Control for Unix (ACX). PLATINUM снабдила этот продукт консолью администратора ACXPert, работающей под управлением Windows 95 или NT. AutoSecure ACX перехватывает запросы на такие действия, как, например, открытие файла или терминальный доступ, и переадресует их к своей базе данных для авторизации.

Зарегистрировавшись на нашем клиенте SSO, мы увидели, что в стартовом меню (Start) появились инструменты администрирования ESA. Они позволили нам создать домены ESA, объединяющие системы Windows NT, хосты Unix и деревья NDS. Далее мы успешно распределили пользователей по этим доменам, создав бюджеты на контролируемых системах. Однако ПО фирмы PLATINUM не позволило нам столь же жестко контролировать атрибуты бюджетов, как это дают делать продукты фирм Tivoli и CA. К тому же невозможно было фильтровать события Windows NT и сообщения журналов регистрации Unix и пересылать их в систему управления событиями PLATINUM. Другие продукты подобную возможность предоставляют.

Несмотря на слабую интеграцию некоторых модулей, ПО фирмы PLATINUM предоставляет неплохие возможности в части защиты хостов Unix и способно значительно облегчить жизнь администраторов “средней руки”, например тех, кому разрешено переустанавливать пароли, но запрещено управлять всей системой в целом. Хотя ПО контроля доступа для Unix (AutoSecure ACX) является уже достаточно зрелым продуктом, его версия для Windows NT (AutoSecure Access Control for Windows NT) к началу нашего тестирования еще не была готова. Тем не менее она заслуживает самого пристального внимания, так как должна расширить собственные средства защиты Windows NT, обеспечив работу с файловыми системами FAT, HPFS и CDFS, в ней также будет реализована уникальная технология, которая позволит отказаться от механизма междоменных доверительных отношений. Кроме того, новый продукт PLATINUM даст возможность заменять файл фильтров паролей в Windows NT (PASSFILT.DLL), а значит, создавать более совершенные правила для конструирования паролей без существенной переработки ОС.

Цены на продукты AutoSecure вполне конкурентны (особенно они понравятся предприятиям среднего размера), причем получение лицензий на SSO для администраторов AutoSecure ESA не потребует от вас дополнительных расходов. Для средних и больших инсталляций продукты PLATINUM обойдутся вам, скорее всего, дешевле систем Tivoli, но дороже ПО фирмы CA. Не надо забывать, что главный сервер SSO должен располагаться на хостах Solaris или HP-UX, поэтому полные затраты на внедрение систем PLATINUM для небольших предприятий могут оказаться высокими. Ожидается, что следующее поколение ПО AutoSecure ESA можно будет использовать без установки SSO, и тогда все его компоненты будут работать под управлением как Unix, так и Windows NT.





  
4 '1999
СОДЕРЖАНИЕ

колонка редактора

• Генералы информационных карьеров

локальные сети

• Пользователям Windows NT стоит обратить внимание

• Синхронизируйте время с помощью NTP

• Дефицит пожаростойких кабелей

• Будущее стандартов СКС

бизнес

• Стандарты ISO 9000: мифы и реальность

интернет и интрасети

• DNS в развитии

• Четыре В2В-решения для электронной коммерции

защита данных

• Управление безопасностью: свет в конце туннеля

• Как выбрать подходящий ИБП?

корпоративные сети

• Потоковые видеосистемы нового поколения

• Магистраль вашего бизнеса

• В поисках связующего ПО для Web

услуги сетей связи

• Рассылка факсов по сетям передачи данных

• Что нужно для успешного внедрения IP-телефонии

• Рязань: интеграция услуг на ТЧ-каналах

• Во имя третьего поколения

системы учрежденческой связи

• АТС для малого и среднего бизнеса: архитектура и сетевые возможности

новые продукты

• Мощный универсальный сервер от HP; «Малыш» CoreBuilder 9000



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх