С помощью технологии виртуальных машин VMWare Workstation для выполнения задания смоделирована корпоративная сеть организации на 2 филиалах и 1 офисе партнеров.
Необходимо самостоятельно настроить соединения между виртуальными машинами используя сетевые интерфейсы.
При выполнении заданий необходимо ключевые настройки (установка паролей, настройки соединения с БД, компрометация, скриншоты работоспособной сети ViPNet и аналогичные) или указанные моменты в задании подтверждать скриншотами. Скриншоты необходимо сохранить на рабочем столе в папке «Модуль InfoTeCS». Формат названия скриншотов: ITCS-1-2-1.jpg (задание 1.2, скриншот 1). Можно добавить комментарий (ITCS-1-2-1-Coordinator).
Делать лишние скриншоты установки ПО нет необходимости, только скриншоты работоспособности!
В ходе выполнения данного задания нужно установить основное ПО VipNet на рабочие станции будущей защищенной сети.
В случае изменения паролей обязательно отразить это в отчете!
Перед установкой ПО ViPNet необходимо настроить сеть в соответствии со схемой.
Необходимо записать все IP адреса, логины и пароли в текстовый файл vipnet.txt на рабочем столе хост-компьютера, где развернута сеть 1.
В связи с особенностями работы системы на различных версиях Windows может потребоваться устанавливать компоненты системы вручную (например БД, сервер ЦУС, клиент ЦУС) используя пакеты MSI в подпапках дистрибутивов.
При выполнении задания можно пользоваться документацией к ПО, презентациями из папки и справочными ресурсами в интернете.
Вам предоставлен физический координатор HW для Центрального офиса. Установка и настройка физического координатора будет оцениваться максимальным баллом. Установка и настройка виртуального координатора для Центрального Офиса не считается ошибкой и может быть реализовано, однако, будет оценено меньшим количеством баллов.
Если были произведены изменения паролей, IP-адресов и так далее, необходимо отразить это в отчете.
Установка «Все-в-одном» будет считаться некорректным выполнением развертывания, но допустимо для продолжения дальнейшей работы.
Если были произведены изменения паролей, IP-адресов и так далее, необходимо отразить это в отчете.
Задание 1.4. Установка ПО VipNet для организации сети филиала:
Необходимо использовать рабочее место администратора для создания структуры защищенной сети предприятия и настроить необходимые АРМ в соответствии с заданными ролями. В итоге выполнения задания должны быть развернуты и настроены следующие сетевые узлы защищенной сети (см. таблицу).
Таблица 1 Узлы защищенной сети если УКЦ и ЦУС на одной машине.
Вирт. машина |
Название сетевого узла |
ПО VipNet |
ОС сетевого узла |
Имя пользо-вателя узла |
Net1-AdminCA (ЦО) |
Главный администратор |
ViPNet Administrator (ЦУС сервер + УКЦ) ViPNet CA Informing |
ОС Windows 10 |
Admin |
Net1-OperCA (ЦО) |
Оператор УЦ |
ViPNet Client ViPNet Publication Service, ViPNet Registration Point |
ОС Windows 10 |
OperCA |
Net1-Open (ЦО) |
Клиент ЦУС, База данных ЦУС |
Клиент ЦУС, |
ОС Windows 10 |
— |
Net1-Coord HW (ЦО) |
Координатор Центр Офис (VM) |
ViPNet Coordinator HW |
HW-VA |
CoordinatorOffice |
Net2-Coord HW (Филиал) |
Координатор Филиал (VM) |
ViPNet Coordinator HW |
HW-VA |
CoordinatorSub |
Net2-Client (филиал) |
Пользователь_2 Филиал (VM) |
ViPNet Client |
ОС Windows 10 |
User2 |
Net2-Astra-Cli (филиал) |
Пользователь_3 Филиал (VM) |
ViPNet Client |
ОС Astra Linux SE |
User3 |
Связи между узлами необходимо настроить самостоятельно.
Таблица 2. Схема связей пользователей
Схема связей пользователей |
Coord Office |
Admin |
OperCA |
Coord Sub |
User2 |
User3 |
Coord Office |
× |
* |
* |
* |
|
|
Admin |
* |
× |
* |
|
* |
* |
OperCA |
* |
* |
|
× |
|
|
Coord Sub |
* |
|
|
× |
* |
* |
User2 |
|
* |
|
* |
× |
* |
User3 |
|
* |
|
* |
* |
|
Задание 2.1. Создание структуры защищенной сети:
Необходимо проверить работоспособность сети с помощью отправки текстовых сообщений между Администратором и пользователем филиала.
Необходимо проверить работоспособность сети с помощью отправки деловой почты между Администратором и пользователем филиала.
Отправку и получение сообщений зафиксировать скриншотами.
Необходимо перевести УКЦ в режим аккредитованного удостоверяющего центра, настроить параметры издания квалифицированных сертификатов, указав:
После перевода УКЦ в аккредитованный режим необходимо выпустить:
Создать квалифицированные ключи ЭП и ключи проверки ЭП для пользователей сети.
Настроить схему обмена файлами между УКЦ посредством Сервиса Публикации (ViPNet Publication Service).
Настроить переход в автоматический режим (при бездействии администратора): передачу на публикацию и обновление CRL с периодичностью 1 день.
Реализовать автоматическую публикацию сертификатов издателей на FTP-сервере.
Посредством Центра Регистрации (ViPNet Registration Point):
Посредством Сервиса Информирования (ViPNet CA Informing):
Компании необходим сервер, отвечающий за выдачу штампов времени пользователям. Поэтому в сети филиала на узле с клиентом ViPNet должен быть установлен сервер TSP-OCSP (ПК ViPNet УЦ 4).
Для функционирования сервера необходимо издать сертификат для TSP сервиса. Поместить контейнер ключей и сертификат необходимо в программу ViPNet CSP. И после указать изданный сертификат для TSP в программе TSP-OCSP Service.
Также для корректной работы TSP сервера необходимо на работающем сервере УКЦ создать политику применения, которая будет использоваться для выдачи дальнейших сертификатов:
Для TSP сервера необходимо задать эту политику применения по умолчанию.
Перед запуском TSP-OCSP сервера, требуется провести небольшую настройку:
Перед началом выполнения зафиксировать скриншотами имеющуюся структуру сети и окно УКЦ с вариантами персонального ключа компрометируемого пользователя, т. к. в случае неудачной компрометации структура сети может нарушиться.
Произвести компрометацию ключей и восстановление сетевого взаимодействия средствами УКЦ/ЦУС:
Восстановление взаимодействия с помощью ручной установки DST засчитано не будет.
Необходимо зафиксировать процесс настройки скриншотами:
Необходимо делать скриншоты до, после и в процессе компрометации, иначе другие задания могут быть не зачтены в случае неудачной компрометации.
2.2.1 Создать шаблон политики безопасности, т. е. определить сетевой фильтр в соответствии c которым Net2-Astra-Cli должен быть доступен по SSH только с узлов Admin СА и внешней сети (фильтр защищенной сети) для работоспособности соединения с Net3-Open.
Назначить сформированный шаблон сетевым узлам, отправить политику безопасности на сетевой узел.
Зафиксировать результат (скриншотами) через журнал отправки и применения политик безопасности, на узлах в Мониторе просмотреть списки сетевых фильтров.
2.2.2 Создать шаблон политики безопасности для запрета на использование популярных соцсетей vk.com, facebook.com, tiktok.com с узлов пользователей сети (клиенты).
Применить политику к клиентам.
Зафиксировать результат (скриншотами) настройки и проверки.
2.2.3 Создать шаблон политики безопасности для возможности подключения защищенных и незащищенных узлов своей сети по протоколу RDP к AdminCA. Также необходимо включить RDP доступ на данном узле.
Применить политику к устройствам.
Зафиксировать результат (скриншотами) настройки и проверки.
Развернуть на Net3-Admin (Сеть 2 межсеть) на ПК рабочее место Администратора партнёрской сети, создать структуру второй сети:
Настроить связи узлов/пользователей администраторов и необходимых для работоспособности узлов.
Инициализируйте HW-VA: при настройке необходимо включить DHCP сервер
Все пароли пользователей в сети ViPNet сделать 12344321
Пароли администраторов сети ViPNet сделать xxXX1234
Необходимо предоставить:
Скриншоты:
Предоставить скриншоты создания/настройки правил и скриншоты работоспособности: RDP сессии, Подключения к SSH. Зафиксировать скриншотами создание правила для SMTP и SMTPS.
Настроить Bond интерфейс(собрать из eth1-eht2) на координаторе для балансировки и резервирования(выбрать подходящий режим)
Скриншоты:
В связи с участившимися случаями «падения» координатора межсети было принято решение добавить дополнительный координатор HW-VA в «Сеть 2 Межсеть» в дополнение к Net3-Coord HW-VA.
Для настройки необходимо самостоятельно развернуть соответствующий OVA-образ из дистрибутивов в сегмент межсети, настроить горячее резервирования и проверить работоспособность отключением одного из координаторов (система не должна прекращать работать при отключении одного из устройств от сети или питания).
Выбор IP координаторов и виртуальных адресов выбирается самостоятельно и записывается в отчет на рабочем столе.
Скриншоты:
Оба координатора необходимо оставить включенными!