¶ Задание 1: настройка сетевого окружения и компонентов систем
С помощью технологии виртуальных машин VMWareWorkstation для выполнения задания смоделирована корпоративная сеть организации на 2 филиалах и 1 офисе партнеров.
Необходимо самостоятельно настроить соединения между виртуальными машинами используя сетевые интерфейсы.
При выполнении заданий необходимо ключевые настройки (установка паролей, настройки соединения с БД, компрометация, скриншоты работоспособной сети ViPNet и аналогичные) или указанные моменты в задании подтверждать скриншотами. Скриншоты необходимо сохранить на рабочем столе в папке «Модуль InfoTeCS». Формат названия скриншотов: ITCS-1-2-1.jpg (задание 1.2, скриншот 1). Можно добавить комментарий (ITCS-1-2-1-Coordinator).
Делать лишние скриншоты установки ПО нет необходимости, только скриншоты работоспособности!
В ходе выполнения данного задания нужно установить основное ПО VipNet на рабочие станции будущей защищенной сети.
- Доступ на все Windows 10: xxXX.1234
- Все пароли пользователей в сети ViPNet сделать 12344321
- Все пароли администраторов в сети ViPNet сделать xxXX.1234.
В случае изменения паролей обязательно отразить это в отчете!
Перед установкой ПО ViPNet необходимо настроить сеть в соответствии со схемой.
Необходимо записать все IP адреса, логины и пароли в текстовый файл vipnet.txt на рабочем столе хост-компьютера, где развернута сеть.
В связи с особенностями работы системы на различных версиях Windows может потребоваться устанавливать компоненты системы вручную (например БД, сервер ЦУС, клиент ЦУС) используя пакеты MSI в подпапках дистрибутивов.
При выполнении задания можно пользоваться документацией к ПО, презентациями из папки и справочными ресурсами в интернете.
Схема сети, которую требуется создать, приведена далее.
¶ Задание 1.1. Установка ПО ViPNet Administrator для создания защищённой сети:
Если были произведены изменения паролей, IP-адресов и так далее, необходимо отразить это в отчете.
- Установить базу данных MSSQL на Net1-Open (незащищенный узел)
- Установить и настроить рабочее место администратора VipNet Certification Authority (на базе виртуальной машины Net1-AdminCA (ЦО)): Центр управления сетью (серверное приложение ЦУС), Удостоверяющий и ключевой центр (УКЦ); использовать ранее установленную БД.
- Установить клиент ЦУС на ВМ Net1-Open (незащищенный узел)
Установка «Все-в-одном» будет считаться некорректным выполнением развертывания, но допустимо для продолжения дальнейшей работы.
- На компьютере на Net1-AdminCA (ЦО) установить ПО ViPNet Client (Windows), рабочее место администратора;
Если были произведены изменения паролей, IP-адресов и так далее, необходимо отразить это в отчете.
¶ Задание 1.2. Установка менеджера политик, центра регистрации, сервиса публикации и сервиса информирования VipNet Certification Authority на соответствующие виртуальные машины:
- На компьютере на Net1-OperCA(ЦО) установить ПО ViPNet Client (Windows);
- На компьютере на Net1-OperCA(ЦО) установить ПО ViPNet Publication Service;
- На компьютере на Net1-OperCA(ЦО) установить ПО ViPNet Registration Point;
- На компьютере на Net1-OperCA(ЦО) установить ПО ViPNet Registration Point;
- На компьютере на Net1-AdminCA (ЦО) установить ПО ViPNet CA Informing;
- На компьютере на Net1-OperCA (ЦО) установить ПО TSP-OCSP;
Задание 1.3. Установка ПО VipNet для организации сети филиала:
- На ВМ Net2-Client (филиал) установить ПО ViPNet Client Windows, рабочее место пользователя;
¶ Задание 2. Защита локально-вычислительной сети предприятия с применением ПО ViPNet
Необходимо использовать рабочее место администратора для создания структуры защищенной сети предприятия и настроить необходимые АРМ в соответствии с заданными ролями. В итоге выполнения задания должны быть развернуты и настроены следующие сетевые узлы защищенной сети (см. таблицу).
Таблица 1 Узлы защищенной сети если УКЦ и ЦУС на одной машине.
|
Вирт. машина |
Название сетевого узла |
ПО VipNet |
ОС сетевого узла |
Имя пользователя узла |
|
Net1-AdminCA (ЦО) |
Главный администратор |
ViPNet Administrator (ЦУС сервер + УКЦ) |
ОС Windows 10 |
Admin |
|
Net1-OperCA (ЦО) |
Оператор УЦ |
ViPNet Client ViPNet Publication Service, ViPNet Registration Point |
ОС Windows 10 |
OperCA |
|
Net1-Open (ЦО) |
Клиент ЦУС, База данных ЦУС |
Клиент ЦУС, |
ОС Windows 10 |
— |
|
Net1-Coord HW (ЦО) |
Координатор Центр Офис (VM) |
ViPNet Coordinator HW |
HW-VA |
CoordinatorOffice |
|
Net2-Coord HW (Филиал) |
Координатор Филиал (VM) |
ViPNet Coordinator HW |
HW-VA |
CoordinatorSub |
|
Net2-Client (филиал) |
Пользователь_2 Филиал (VM) |
ViPNet Client |
ОС Windows 10 |
Пользователь 2 |
Связи между узлами необходимо настроить самостоятельно.
Таблица 2. Схема связей пользователей
|
Схема связей пользователей |
Coord Office |
Admin |
OperCA |
Coord Sub |
Пользователь 2 |
Пользователь 3 |
|
Coord Office |
× |
* |
* |
* |
|
|
|
Admin |
* |
× |
* |
|
* |
* |
|
OperCA |
* |
* |
|
× |
|
|
|
Coord Sub |
* |
|
|
× |
* |
* |
|
Пользователь 2 |
|
* |
|
* |
× |
* |
Задание 2.1. Создание структуры защищенной сети:
- ЦУС. Необходимо создать в ЦУС структуру защищенной сети в соответствии с заданной схемой (выгрузить отчет в HTML). Создать пользователей узлов, настроить полномочия пользователей и их связи в соответствии со схемой.
- УКЦ. Провести инициализацию УКЦ, сохранить контейнер ключей администратора в общей папку (создать подпапку Задание 2.1), поменять тип паролей для пользователей («собственный»). Задать пароли пользователей и сохранить в текстовый файл на рабочем столе. Сформировать дистрибутивы ключей для всех сетевых узлов (сохранить на жесткий диск). Создать группы узлов для центрального офиса (удостоверяющего центра) и филиала, настроить пароль администратора группы сетевых узлов для каждой из групп (проверить, что пароль работает).
- На всех узлах сети корректно настроить или проверить корректность настройки сетевых интерфейсов в соответствии со схемой, проверить доступность соседних узлов.
- Разнести DST файлы по АРМ, провести первичную инициализацию узлов защищенной сети (координаторов и клиентов), проверить доступность узлов защищенной сети и сделать скриншоты работоспособности узлов.
- Произвести первичную инициализацию HW
- Настроить удаленный доступ через веб интерфейс к HW с открытого узла своей сети
Необходимо проверить работоспособность сети с помощью отправки текстовых сообщений между Администратором и пользователем филиала.
Необходимо проверить работоспособность сети с помощью отправки деловой почты между Администратором и пользователем филиала.
Отправку и получение сообщений зафиксировать скриншотами.
¶ Задание 2.2. Настройка работы удостоверяющего центра в аккредитованном режиме
Необходимо перевести УКЦ в режим аккредитованного удостоверяющего центра, настроить параметры издания квалифицированных сертификатов, указав:
- Сведения о средствах УЦ,
- Средство электронной подписи издателя: ViPNet CSP
- Средство удостоверяющего центра: ПК ViPNet УЦ 4
- Сертификат на средство электронной подписи издателя: Сертификат Demo.lab.crt
- Сертификат на средство удостоверяющего центра: Сертификат Demo.lab.p7b
- В настройках средства электронной подписи владельца сертификата ничего менять не требуется.
- Класс защищенности, которому соответствуют программные средства УЦ,
После перевода УКЦ в аккредитованный режим необходимо выпустить:
- Корневой квалифицированный сертификат. Назначить текущим.
- Квалифицированную электронную подпись для пользователя Admin. Выдать с новым дистрибутивом ключей.
- Квалифицированную электронную подпись для пользователя Client. Сохранить электронные ключи в файл.
- При выдаче сертификатов необходимо заполнить следующие поля:
Имя: <Имя пользователя или узла>
Электронная почта: <Имя пользователя>@demo.lab
Город: Казань
Область: Республика Башкортостан
Страна: RU
Организация: ФИРПО
Подразделение: Отдел информационной безопасности
Почтовый индекс: 123123
Создать квалифицированные ключи ЭП и ключи проверки ЭП для пользователей сети.
Настроить схему обмена файлами между УКЦ посредством Сервиса Публикации (ViPNet Publication Service).
Настроить переход в автоматический режим (при бездействии администратора): передачу на публикацию и обновление CRL с периодичностью 1 день.
Реализовать автоматическую публикацию сертификатов издателей на FTP-сервере.
Посредством Центра Регистрации (ViPNet Registration Point):
- зарегистрировать пользователя: User2.
- Отправить запрос в УКЦ на выпуск сертификата, удовлетворить запрос. Результат выпуска сертификата зафиксировать скриншотом.
- Отправить запрос в УКЦ на аннулирование ранее выпущенного сертификата, удовлетворить запрос. Результат зафиксировать скриншотом.
Посредством Сервиса Информирования (ViPNet CA Informing):
- Сформировать отчет о выданных за текущие сутки сертификатах, предварительно в настройках указав место хранения отчетов (на рабочем столе).
¶ Задание 2.3. Сервер установки штампа времени и подписание OCSP.
Компании необходим сервер, отвечающий за выдачу штампов времени пользователям. Поэтому на узле OperCA с клиентом ViPNet должен быть установлен сервер TSP-OCSP (ПК ViPNet УЦ 4).
Для функционирования сервера необходимо издать сертификат для TSP сервиса. Поместить контейнер ключей и сертификат необходимо в программу ViPNet CSP. И после указать изданный сертификат для TSP в программе TSP-OCSP Service.
Также для корректной работы TSP сервера необходимо на работающем сервере УКЦ создать политику применения, которая будет использоваться для выдачи дальнейших сертификатов:
- Наименование: test TSP Policy
- Идентификатор: 1.2.643.100.1.2.3
- Краткое описание: Проверка штампа времени
Для TSP сервера необходимо задать эту политику применения по умолчанию.
Перед запуском TSP-OCSP сервера, требуется провести небольшую настройку:
- Номер порта сервера: 8777
- Серийный номер: 01 00 00 00 00 00 00 00
- Параметры OSCP-сервера: отключить все функции.
¶ Задание 2.4. Компрометация узла защищенной сети
Перед началом выполнения зафиксировать скриншотами имеющуюся структуру сети и окно УКЦ с вариантами персонального ключа компрометируемого пользователя, т. к. в случае неудачной компрометации структура сети может нарушиться.
Произвести компрометацию ключей и восстановление сетевого взаимодействия средствами УКЦ/ЦУС:
- скомпрометировать ключи пользователя user 2 на узле Пользователь_2 Филиал
- произвести смену ключей пользователя и сетевых узлов,
- отправить обновления и произвести процедуру смены ключа пользователя на узле Пользователь_2 Филиал (фиксировать все шаги),
- проверить работу защищенной сети после обновления отправив сообщение от пользователя user 2 администратору.
Восстановление взаимодействия с помощью ручной установки DST засчитано не будет.
Необходимо зафиксировать процесс настройки скриншотами:
- Компрометация пользователя.
- Смена ключей пользователя и сетевых узлов.
- Процедура смены ключа на клиенте с использованием резервного набора ключей.
- Скриншот экрана «защищенная сеть» в VipNet Monitor на узле Пользователь_2 Филиал + результат проверки доступности узлов.
Необходимо делать скриншоты до, после и в процессе компрометации, иначе другие задания могут быть не зачтены в случае неудачной компрометации.