Вы работаете инженером в центре информационной безопасности (департамент проектирования и внедрения) одного из интеграторов DEMO Lab.
Вам поручили собрать демонстрационный стенд в отдельной «песочнице» (тестовом контуре) и развернуть DLP-систему на отдельном сегменте сети.
В «песочнице» развернуты два контроллер домена (с каталогом Active Directory и ALD Pro), с которым необходимо будет осуществить интеграцию DLP-системы.
В качестве виртуальной инфраструктуры для пилотного проекта используется среда виртуализации VMWare Workstation.
В качестве DLP-системы выбран продукт InfoWatch Traffic Monitor (IWTM). Необходимо развернуть компоненты уровня сети (network) и хоста (endpoint).
Вам необходимо установить и настроить компоненты DLP-системы в соответствии с выданным заданием.
Необходимо использовать следующие виртуальные машины:
Сетевые настройки виртуальных машин указаны в дополнительной карточке заданий.
Основными каналами потенциальной утечки данных являются носители информации, электронная почта и различные интернет-ресурсы.
В компании развернут домен со всеми сотрудниками с указанием ФИО, должности и контактов.
При выполнении заданий можно пользоваться справочными ресурсами в сети Интернет и документацией на компьютерах.
Если в задании необходимо сделать скриншот, необходимо называть его по номеру задания, например: Задание_5_копирование.jpg.
Динамичное развитие компании Demo.Lab привело к значительному расширению штата и переезду в новый офис. В связи с этим, принято решение о расширении всей ИТ-инфраструктуры компании, в том числе и систем обеспечения корпоративной безопасности.
Необходимо мигрировать решение InfoWatch Traffic Monitor (IWTM), согласно рекомендациям, полученным от подразделений внедрения ГК Инфовотч. Основная идея – максимальное разнесение компонент уровня сети (network, IWTM) и хоста (endpoint, IWDM) для распределения нагрузки в связи с увеличением числа сотрудников.
По возможности все имеющиеся настройки и события в системе (как IWTM, так и IWDM) необходимо сохранить при миграции.
В качестве DLP-системы выбран продукт InfoWatch Traffic Monitor (IWTM). Необходимо мигрировать или развернуть с нуля компоненты уровня сети (network) и хоста (endpoint).
В соответствии с Вашей частью пилотного проекта на отдельном сегменте сети «песочницы» Заказчика необходимо мигрировать или установить с нуля на 2 разных машины следующие сетевые компоненты InfoWatch Traffic Monitor:
Система, установленная без сохраненных событий допустима, но оценивается меньшим количеством баллов. Необходимо мигрировать Node или Database сервер на отдельную машину, которую предварительно необходимо создать самостоятельно и дать ей имя в соответствии с тем, какой компонент мигрируете – iwtm_db или iwtm_node. Для развертывания машины можно воспользоваться OVA образом подготовленной операционной системы Astra Linux (информация находится в дополнительной карточке).
Параметры IWTM: версия — Enterprise, СУБД — PostgreSQL.
Все развернутые сервера должны быть доступны для управления (службы) и мониторинга из консоли управления IWTM.
Ваша задача — установить указанные компоненты IWTM используя распределенный сценарий установки.
Подтвердить выполнение задания скриншотами (основные моменты: правка конфигурационных файлов, изменение настроек, проверка работоспособности, отчет о состоянии системы в web-консоли IWTM).
В соответствии с Вашей частью пилотного проекта сети Заказчика необходимо произвести миграцию следующих endpoint-компонентов InfoWatch Device Monitor (IWDM):
Версия СУБД IWDM для установки или миграции — PostgreSQL.
Необходимо мигрировать Node или Database сервер на отдельную машину, которую предварительно необходимо создать самостоятельно и дать ей имя в соответствии с тем, какой компонент мигрируете – iwdm_db или iwdm_node. Для развертывания машины можно воспользоваться OVA образом подготовленной операционной системы Astra Linux (информация находится в дополнительной карточке).
В случае невозможности сохранения конфигурации допускается установка с нуля. Это не будет являться полным выполнением задания, но позволит перейти к следующим этапам.
Для проверки правильности разнесения компонентов IWTM необходимо создать:
В качестве объекта защиты необходимо использовать технологию с фразой: «Разнесение настроено успешно!»
Зафиксировать скриншотом работоспособность.
Для удаленного управления IWTM (Node) настройте безопасный беспарольный (по ключу) доступ по SSH (используя программу PuTTY, с помощью RSA-ключа) с контроллера домена (AD Demo.lab, Domain Controller).
Парольная фраза для ключа (если применимо): xxXX1234 (или своя, поместить в файл отчета на рабочем столе), файл ключа также сохранить рядом с файлом отчета.
Зафиксируйте все этапы (генерация ключа, подключение) выполнения задания скриншотами. Необходимо сохранить SSH-сессию в SSH-клиенте для проверки
Для корректной работы некоторых сервисов, предоставляемых внутри компании, заказчику необходимо развернуть структуру PKI. Сгенерированные сертификаты не должны иметь ошибок, критических полей (кроме указанных) или неверных данных. Так же после генерации всех сертификатов, они должны быть установлены в локальное хранилище на контроллере домена.
Все сертификаты и соответствующие им закрытые ключи должны быть помещены в папку на рабочем столе. Далее указана информация для сертификатов, которую они должны содержать. Можно использовать любое удобное ПО для работы с сертификатами, не допускается ошибок в основных и дополнительных полях сертификата.
commonName: CA
E-mail: ca-support@demo.lab
Период действия: 10 лет
Альтернативные имена субъекта по DNS: CA; CA.demo.lab
commonName: Intermediate
E-mail: support@demo.lab
Альтернативные имена субъекта по DNS: Intermediate; Intermediate.demo.lab
E-mail: iwtm@demo.lab
E-mail: user@demo.lab
Период действия: 365 дней
Генерацию сертификатов зафиксируйте скриншотами.
Созданные сертификаты, ключи, скрипты для их создания и скриншоты процесса разместите в папке «Certificates IWTM» на рабочем столе компьютера.
Примените цифровые сертификаты для защиты клиент-серверного соединения по протоколу HTTPS при подключении к веб-консоли IWTM со всех узлов сети домена по DNS-имени вашего Traffic Monitor. Для этого необходимо установить серверный сертификат на веб-сервер Traffic Monitor, а клиентский — на устройства в сети.
Проверку необходимо осуществить с помощью браузера Google Chrome. Проверка должна производиться через всплывающее окно запроса сертификата.
Зафиксируйте все этапы выполнения задания (настройка веб-сервера, установка защищенного HTTPS-соединения и т. п.) скриншотами.
Необходимо указать в отчете, с помощью какого DNS имени осуществлялась проверка соединения.
Необходимо установить, настроить и проверить IW ARMA IF.
Задание включает проверку на обнаружение известных атак (сгенерированных участником).
Все действия необходимо документировать скриншотами в формате: IDS-2-1-3, где T — Task (задача), 1 — номер задания, 2 — подпункт задания (при наличии), 3 — шаг.
На каждое задание ОБЯЗАТЕЛЬНО необходимо сохранять скриншоты всех действий по изменению настроек (установка, использование конструктора фильтров, создание отчетов и т. д.) и проверке работоспособности системы и правил. Формат скриншотов для документирования действий указан выше.
ВАЖНО! Запрещается воздействовать на инфраструктуру чемпионата, объекты информатизации на площадки и за пределами площадки, машины других участников и экспертов. Объектами атак при моделировании угроз должны быть только собственные виртуальные машины.
При выполнении заданий рекомендуется использовать следующие виртуальные машины:
1. Образ IW ARMA IF необходимо развернуть в VMWare Workstation.
a. Для подключения возможны два варианта (настроить интерфейсы, адресацию для интерфейсов выбрать самостоятельно):
1) Использовать 1 сетевой интерфейс для управления, 2 — для перехвата трафика (в общей сети NAT)
2) Использовать один интерфейс для всех VM в неразборчивом режиме
b. Настроить нового администратора системы с полным доступом (officer).
с. Загрузить и применить актуальные правила (результат успешной загрузки зафиксировать).
d. Настроить подключение ARMA к syslog серверу. IP: 172.23.5.4. Порт подключение TCP – 514.
Зафиксировать выполнение задания скриншотами: настройка сетей, пользователей.
Записать все логины и пароли в файле ARMA.txt на рабочем столе!
Некоторый злоумышленник совершит атаку на наш веб-сайт, формируя специальное значение поля Range заголовка http, передаст туда довольно большое количество байт(>100000000). Известно что запрос будет отправлен на http://{ip msf1: 2k8}/welcome.png и будет представлять собой “Range: bytes=184944-18446744073709551615”, наша задача не допустить подобного рода атак и провести проверку количества байт (>1000000000). В правиле используйте ключевое слово “byte_test” для оценки количества.
3. Подготовить раздел в отчете об обнаруженной атаке согласно прилагаемому в дополнительных файлах шаблону
Зафиксировать выполнение задания (правила и обнаруженные события) скриншотами и приложить их в отчет.
Главный эксперт выполняет отсылку трафика только ТРИ раза.
Известно, что на сервер Nginx была проведена попытка использования уязвимости, позволяющей удаленное выполнение произвольного кода, при помощи эксплуатации уязвимости в PHP.
Для выполнения данного задания необходимо иметь настроенную и работоспособную IW ARMA. Для получения трафика необходимо запросить Главного эксперта.
После получения трафика на свою инфраструктуру необходимо изучить полученный трафик, подготовить правило на детектирование данного вида атак и подготовить раздел в отчете.
Для автоматизации проверки в поле msg необходимо добавить сообщение «WSR-CVE-2023»
Зафиксировать выполнение задания (правила и обнаруженные события) скриншотами и приложить их в отчет.
Главный эксперт выполняет отсылку трафика только ТРИ раза.
1. Сформировать отчет в IW ARMA IF по событиям из задания
Все отчеты зафиксировать скриншотами.