microbik.ru
1
Необходимое оборудование и программное обеспечение для проведения лабораторных работ.

В случае выполнения лабораторных работ в учебном классе нужно не менее 8 отдельных компьютеров следующей конфигурации: CPU Intel Pentium III 800 или выше, RAM 512 Mb или выше, HDD – 20 Gb или выше, разделенный на два тома NTFS, CDROM, 100 Mb LAN, остальные параметры конфигурации не принципиальны.

Шесть компьютеров должны быть объединены в сеть по технологии Switch. Два оставшихся компьютера нужно объединить в другую сеть по технологии Switch. На одном компьютере в сети из 6 компьютеров нужно установить два дополнительных сетевых адаптера. Наличие выхода во внешние сети не обязательно, но приветствуется. Тип адресации не принципиален, можно использовать любую настройку TCP/IP со статическими адресами.

На все компьютеры нужно установить Windows Server 2003 Enterprise Edition, любой файловый менеджер и MS Word. Также необходимо иметь в распоряжении два установочных диска Microsoft ISA Server 2004.

Если предполагается использование виртуальных машин, то рекомендуется использовать не менее трех физических компьютеров в объемом оперативной памяти не менее 1 Gb и процессором тактовой частотой не менее 2 GHz.

Лабораторная 1. Анализ политики безопасности в соответствии с бизнес-процессами на предприятии.
Вводное: При выполнении лабораторной работы необходимо, чтобы в группах администрации и проектировщиков было не менее 3-4 человек (в этом случае можно разделить роли, совмещение которых не допускается). Администрации необходимо учитывать, что корпорация представляет из себя главный офис и филиал в разных городах, каждый из которых имеет не менее 200 клиентских компьютеров. Группе проектировщиков необходимо исходить из того, что сеть организации представляет собой домен в главном офисе и поддомен в дочернем филиале, соединенные между собой посредством VPN. Сервера компании управляются Windows Server 2003. При обсуждении проекта защиты сети группе разработчиков необходимо предложить как минимум 2 варианта рабочих проектов, в зависимости от величины затрат на каждый из них.


  1. Разбиться на две группы: администрация предприятия и проектировщики.

  2. Группе администрации придумать легенду о предприятии и необходимости автоматизации.

  3. Группе администраторов провести беседу с администрацией, в результате которой: формализовать предметную область, разработать пакет предложений о защите уязвимых мест корпоративной сети.

  4. Группе администрация придумать легенду о документообороте на предприятии и использовании электронных документов.

  5. Группе администраторов провести классификацию документов в зависимости от широты доступа к ним.

  6. Обеим группам провести общий брифинг, в результате которого обсудить предложенные проектировщиками технические решения защиты корпоративной сети и утвердить общий план работ.


Лабораторная 2. Проектирование иерархии ЦС, установка корневого сервера сертификатов и подчиненного сервера сертификатов.
Вводное: Необходимо иметь три компьютера под управлением WS 2003. По возможности лабораторную работу следует выполнять с помощью трех виртуальных машин (это позволит не вмешиваться в существующую сеть и снимет необходимость использования трех отдельных аппаратных компьютеров). Два из трех компьютеров или виртуальных машин должны представлять собой домен с одним контроллером, на котором развернут DNS-сервер, и одним клиентом (членом домена). Третий компьютер или виртуальная машина должен быть членом рабочей группы. На всех трех компьютерах, выполняющий лабораторные работы должен обладать административными привилегиями (в рабочей группе быть членом группы локальных администраторов, в домене – членом группы администраторов предприятия). Основной сервер сертификатов необходимо развернуть на изолированном компьютере в рабочей группе, а на сервере – члене домена развернуть подчиненный сервер сертификатов.


  1. Отключите один из серверов от сети (если он был членом домена, введите его в состав рабочей группы).

  2. С установочного диска WS2003 установите Службы сертификации.

  3. Запустите Мастер установки сервера сертификатов.

  4. Следуйте инструкциям Мастера и установите Корневой сервер сертификатов.

  5. Из оснастки Сертификаты запросите сертификат для подчиненного сервера, сконфигурируйте его и запишите на дискету.

  6. Повторите шаги со 2 по 4 на другом сервере, но установите подчиненный сервер сертификатов (при запросе корневого сертификата используйте дискету).

  7. Запросите и сконфигурируйте какой-нибудь сертификат на подчиненном сервере.

  8. Просмотрите информацию о созданном сертификате и убедитесь, что одним из участников формирования является созданный Вами ранее корневой сервер.

Опишите методы защиты корневого сервера. Нарисуйте схему иерархии серверов сертификатов для компании, имеющей три филиала в разных городах, использующие VPN для связи сетевых сегментов.
Лабораторная 3. Запрос сертификатов.
Вводное: Для работы с Мастером запросов сертификатов можно воспользоваться подчиненным сервером сертификатов из лабораторной работы №2 (см. соответствующее вводное). В случае, если в созданном домене используются перечисленные в лабораторной работе механизмы, то можно использовать Мастер для запроса конкретных сертификатов. Если домен настроен на базовом уровне, без поддержки указанных технологий, то соответствующие шаги запросов сертификатов нужно просто смоделировать.
Для одного из подчиненных серверов сертификатов в разработанной на прошлом занятии иерархии центра сертификации разработайте стратегию автоматического запроса сертификатов. Учтите, что пользователи используют EFS для шифрования файлов, в сети используется IPSec. Опишите параметры автоматической подачи заявок.
Лабораторная 4. Установка ISA Server 2004. Создание протоколов, наборов сетей и пользователей.
Вводное: Необходимо использовать домен, созданный на лабораторной работе №2 (см. соответствующее вводное). Еще на одном компьютере или виртуальной машине необходимо установить WS 2003. Сделать этот компьютер членом домена. Выполнять установку ISA Server 2004 нужно на вновь созданном члене домена. Выполняющий лабораторную работу должен использовать учетную запись администратора предприятия. Также необходимо снабдить указанный компьютер или виртуальную машину тремя сетевыми адаптерами. Каждый сетевой адаптер необходимо подключить в отдельную подсеть. Если трех отдельных подсетей нет, можно соединить сетевые адаптеры проводами с одним концентратором, но назначив им адреса разных классов. Наличие подключения к внешнему Интернету не принципиально – его заменит любое из трех созданных подключений. В качестве сервера хранилища можно использовать подчиненный сервер сертификатов.


  1. На компьютере под управлением Windows Server 2003 вставьте компакт-диск ISA Server 2004 и выберите команду Install.

  2. Пропустите страницу приветствия.

  3. Согласитесь с лицензионным соглашением.

  4. Введите свое имя, название организации и серийный номер продукта.

  5. Установите службы ISA Server и сервер хранения.

  6. Пути для файлов оставьте без изменения.

  7. Задайте имя нового массива

  8. Выберите тип аутентификации для связи с серверов CSS (используйте аутентификацию Windows).

  9. На странице Установка сетей нажмите кнопку Добавить и укажите диапазоны IP-адресов или задайте адаптеры сетей предприятия.

  10. Не меняйте политику предприятия по умолчанию.

  11. Не задавайте обратную совместимость с клиентами брандмауэра предыдущих версий.

  12. Прочитайте предупреждения о перезапуске некоторых системных служб в процессе установки ISA Server.

  13. Дождитесь установки ISA Server 2004.



Лабораторная 5. Установка Web-прокси, SecureNAT и клиента брандмауэра.
Вводное: Необходимо использовать сеть из предыдущей лабораторной работы. По возможности необходимо ввести в домен еще три рядовые сервера. В случае если это не возможно, нужно ввести один рядовой сервер под управлением WS2003 (аппаратный компьютер или виртуальную машину). В последнем случае все три вида клиентов можно установить на одном сервере. Выполнять лабораторную работу необходимо с использованием привилегий администратора предприятия.


  1. Выберите три компьютера, подключенные к брандмауэру. На одном из них разверните SecureNAT, на втором – Web-прокси, а третьем – клиент брандмауэра.

  2. Для установки SecureNAT выполните на клиентском компьютере следующие действия:

  • зайдите в папку Сетевые подключения;

  • выберите подключение к брандмауэру и зайдите в его свойства;

  • в свойствах TCP/IP этого подключения настройте IP-адрес компьютера из одной подсети с брандмауэром;

  • укажите соответствующую маску подсети;

  • в качестве Основного шлюза укажите внутренний IP-адрес брандмауэра;

  • при необходимости укажите адреса DNS-серверов.

После этого SecureNAT готов к работе.

  1. Для установки Web-прокси выполните следующие действия:

  1. На ISA Server

  • откройте консоль Управление ISA Server, в Узле настройки выберите Сети;

  • из списка выберите сеть, которая будет использоваться Web-прокси, (к которой подключен второй клиентский компьютер). Зайдите в свойства выбранной сети, щелкнув по ней правой кнопкой мыши

  • перейдите на вкладку Web-прокси и установите флажок напротив параметра Разрешить клиентов Web-прокси. Поставьте флажок для разрешения использование протокола HTTP. Укажите порт 8080.

  • на вкладке Аутентификация поставьте галочку напротив Встроенной аутентификации Windows

  1. На клиентском компьютере

  • в Панели управления выберите Свойства обозревателя;

  • на вкладке Подключения нажмите кнопку Настройка LAN;

  • поставьте флажок напротив параметра Использовать прокси-сервер. В соответствующих полях укажите DNS-имя ISA Server и номер порта 8080;

    1. Для установки клиента брандмауэра выполните следующие действия:

  1. Клиент брандмауэра находится на установочном диске ISA Server 2004 и для его распространения в сети необходимо создать общий ресурс с установочными файлами. Для этого на ISA-сервере запустите программу установки ISA Server с установочного диска. Следуйте инструкции Мастера, а на странице Тип установки нажмите Выборочные. Выберите параметр Установить клиент брандмауэра в локальную папку. Не устанавливайте никаких других компонентов;

    1. На третьем клиентском компьютере обратиться к созданной общей папке по адресу \\путь_к_ISA_серверу\mspclnt и запустить программу setup. Следовать инструкциям Мастера.

    2. На ISA сервере открыть консоль Управление ISA сервером и по аналогии с включением web-прокси в нужных сетях включить клиента брандмауэра.


Лабораторная 6. Анализ журналов ISA Server 2004. Составление отчетов.
Вводное: Необходимо использовать сеть, описанную во вводном к лабораторной работе №4 (если успешно выполнена лабораторная работа №5, то можно использовать и сеть с установленными клиентами). Выполнять лабораторную работу необходимо на сервере, на котором установлен ISA Server 2004, с помощью привилегий администраторов предприятия или администраторов массива ISA Server 2004.


  1. На ISA сервере запустите утилиту Просмотр событий.

  2. Изучите журнал Приложение на предмет наличия сообщений от службы ISA Server.

  3. Для просмотра собственных журналов ISA Server необходимо выполнить следующие действия: открыть консоль Управление ISA Server, развернуть узел Мониторинг, выбрать вкладку Записи, произвести настройку журналов на вкладке Задачи (можно выбрать тип хранения журнала в базе SQL, MSDI или в файле.

  4. При наличии записей из узла Мониторинг просмотреть три журнала брандмауэра (журнал Web-прокси, журнал брандмауэра и журнал сообщений SMTP).

  5. Отфильтровать в них записи по какому-нибудь критерию.

  6. В узле Мониторинг перейти на вкладку Отчеты.

  7. Создать новый отчет с помощью Мастера (выбрать тип данных и временной интервал их отображения. Не публикуйте отчет и не отсылайте административных электронных сообщений).

  8. Просмотрите готовый отчет и закончите работу.



Лабораторная 7. Внедрение шаблона 3-Leg Perimeter.
Вводное: см. вводное к лабораторной работе №6.


  1. Запустите консоль Управление ISA Server.

  2. Раскройте узел Настройки и выберите узел Сети.

  3. Перейдите на вкладку Шаблоны.

  4. Выберите шаблон 3-Leg Perimeter.

  5. На первой странице запустившегося Мастера прочитайте сводную информацию о шаблоне и создайте резервную копию текущей конфигурации сервера для последующего возврата.

  6. Задайте диапазон IP-адресов внутренней сети.

  7. Настройте таблицу маршрутизаторе на внутреннем адаптере ISA сервера.

  8. Сконфигурируйте сеть периметра также как в двух предыдущих пунктах.

  9. Выберите одну из политик брандмауэра (рекомендуется заблокировать весь сетевой трафик, за исключением DNS в сети периметра).

  10. Подтвердите созданные настройки.

  11. Изучите последнюю страницу Мастера со схемой сетевой топологии и внедренным шаблоном.

  12. Нажмите на кнопку Применить.


Лабораторная 8. Настройка защищенной репликации DNS.
Вводное: Лабораторная работа выполняется на контроллере домена с привилегиями администратора предприятия. В домен необходимо ввести еще один сервер. На нем установить службы DNS и развернуть дополнительную или зону-заглушку, перед этим сделав сервер членом домена. На DNS-сервере зайдите в консоль DNS.


  1. Разверните список зон прямого просмотра.

  2. Выберите Свойства какой-нибудь зоны.

  3. Выясните, интегрирована ли она в активный каталог.

  4. В зависимости от возможности настройте обновления записи ресурсов.

  5. Перейдите на вкладку Передачи зон.

  6. Разрешите передачи только на определенные сервера, введя их IP-адреса.

  7. На втором DNS-сервере включите Сетевой монитор и начните запись трафика.

  8. Перезагрузите с другого сервера зону, для которой разрешили передачу.

  9. Изучите журнал Сетевого монитора.


Лабораторная 9. Создание постоянных политик. Выбор режима запуска IPSec.
Вводное: Использовать сеть, созданную в лабораторной работе №8. Данную лабораторную работу выполнять на сервере, на котором установлен DNS, используя привилегии администратора предприятия.


  1. В консоль MMC добавьте оснастку Управление IP безопасностью с фокусом на локальный компьютер.

  2. Сохраните созданную консоль.

  3. В оснастке Политика безопасности IP выберите команду Создать политику безопасности IP.

  4. Введите имя политики.

  5. Снимите флажок напротив параметра Использовать правило по умолчанию.

  6. Не используйте мастер создания правил.

  7. В окне Список фильтров IP добавьте новый фильтр. Назовите его и дайте описание.

  8. В свойствах фильтра в качестве адреса источника пакетов выберите Любой IP-адрес.

  9. В качестве адреса назначения пакетов выберите Мой IP-адрес.

  10. В качестве протокола выберите TCP/IP.

  11. В качестве порта протокола используйте порт 135 и активируйте параметр Пакеты на этот порт.

  12. Повторите предыдущие шаги для портов 136 – 139 TCP и UDP.

  13. В окне Список фильтров IP выберите Блокировать.

  14. Для добавления не используйте Мастер.

  15. В качестве действия фильтра на вкладке Методы безопасности используйте Блокировать.

  16. Закройте все диалоговые окна.

Вы создали блокирующую трафик политику IPSec. Какой из режимов запуска выбрать, если ее планируется применить на DNS-сервере?
Лабораторная 10. Создание доверия между доменами.

Вводное: До начала выполнения лабораторной работы установить на новый компьютер WS 2003. Поднять на нем контроллер домена. Имя домена должно отличаться от имени домена, используемого в предыдущих лабораторных работах. Данный сервер подключить к концентратору, к которому подключены компьютеры сети, созданной на прошлых лабораторных работах. При работе на контроллерах домена нужно использовать записи доменных администраторов. Нумерацию доменов можно выбрать произвольно.


  1. Войдите на контроллер домена с реквизитами административной учетной записи.

  2. Запустите консоль Active Directory – домена и доверия.

  3. В случае если лес работает в режиме, отличном от WS2003, измените режим работы леса.

  4. То же самое сделайте на контроллере того домена, с которым предполагается установить доверие.

  5. На контроллере первого домена в оснастке Active Directory – домены и доверие выберите свойства верхнего домена.

  6. Перейдите на вкладку Доверие и нажмите кнопку Создать.

  7. Введите доменное имя другого домена (или леса).

  8. Перейдите к пункту Доверие лесов.

  9. Установите Двустороннее доверие.

  10. В качестве Уровней проверки подлинности для входящего и исходящего доверия выберите параметр Проверка подлинности по всему лесу.

  11. Изучите сводную информацию.

  12. Подтвердите создание входящего и исходящего доверия и завершите работу Мастера.


Лабораторная 11. Проектирование политики паролей и учетных записей.

Вводное: Использовать сеть, созданную в лабораторной работе №5. Лабораторная работа выполняется на компьютере, настроенном как Web-прокси с привилегиями доменного администратора.
Спроектируем политику паролей и учетных записей для клиентского локального компьютера. По необходимости можно спроектировать аналогичную политику на уровне домена или подразделения.

  1. Запустите консоль Локальная политика безопасности из меню Администрирование.

  2. Разверните узел Политика паролей.

  3. Задайте максимальный срок действия пароля, равный 7 дням.

  4. Задайте минимальную длину пароля, равную 7 символам.

  5. Задайте минимальный срок действия пароля, равный 1 дню.

  6. Включите параметр, требующий безопасных паролей.

  7. Настройте систему на хранение 10 последних паролей.

  8. Разверните узел Политика блокировки учетных записей.

  9. Установите пороговое значение блокировки, равное 3.

  10. Установите время блокировки, равное 15 минутам.

  11. Установите время сброса счетчика неверных попыток, равное 5 минутам.

  12. В командной строке выполните команду gpupdate.


Лабораторная 12. Настройка разрешений на доступ к общим объектам.
Вводное: см. вводное к лабораторной работе №11.


  1. На томе NTFS создайте несколько вложенных папок.

  2. Создайте в них несколько вложенных файлов.

  3. В Панели управления выберите пункт Свойства папки.

  4. Снимите галочку напротив параметра Использовать простой общий доступ.

  5. Для созданных папок изучите вкладки Доступ и Безопасность в их Свойствах.

  6. Назначьте различные разрешения общего доступа и разрешения NTFS для созданных папок и файлов. При этом рекомендуется использовать несколько учетных записей пользователей и групп. Лучше, сели хотя бы один пользователь является членом нескольких групп, которым вы назначаете разрешения.

  7. Изучите Действующие разрешения для какого-либо участника безопасности в Дополнительных свойствах папки.

  8. Изучите унаследованные разрешения для какой-нибудь вложенной папки в ее Дополнительных свойствах.

  9. Отмените наследование со стороны дочернего объекта.

  10. Восстановите наследование со стороны родительского объекта.

  11. Для различных учетных записей пользователей попытайтесь осуществить доступ и изменение созданных папок и файлов. Обсудите результаты.


Лабораторная 13. Создание межсайтовой VPN.

Вводное: Необходимо использовать сеть с двумя доменами, созданную в лабораторной работе №10. Домен, в котором есть ISA Server 2004, оставить без изменения. В домен, в котором ISA Server нет, необходимо ввести еще один рядовой сервер под управлением WS 2003 и установить на него ISA Server 2004. Оба домена должны быть подключены к разным концентраторам. Необходим третий концентратор, к которому нужно подключить ISA Server обоих доменов. Выполнять лабораторную работу (производить настройку граничных точек VPN) необходимо на этих ISA Server.


  1. Установите по одной дополнительной сетевой карте на двух компьютерах в разных доменах в тестовой сети.

  2. Одну из сетевых карт на каждом компьютере настройке как внутренний интерфейс, а другую – как внешний.

  3. Внешние интерфейсы подключите к концентратору (эмуляция внешнего Интернета).

  4. На одном из компьютеров в меню Администрирование выберите Маршрутизацию и удаленный доступ.

  5. Включите маршрутизацию.

  6. Выберите Удаленный доступ (VPN или модем).

  7. В качестве типа доступа выберите VPN.

  8. Укажите адрес внешнего интерфейса в качестве подключения к Интернет.

  9. Укажите какой-нибудь диапазон свободных адресов из подсети в домене.

  10. В обоих доменах создайте разные учетные записи пользователей с правами на удаленный доступ.

  11. Повторите все вышеперечисленные действия на сервере в другом домене, в конце указав другой диапазон свободных адресов.

  12. На сервере в первом домене в консоли Маршрутизация и удаленный доступ перейдите на панель Сетевые интерфейсы и выберите внешний интерфейс.

  13. Создайте новый интерфейс вызова по требованию.

  14. В качестве имени интерфейса используйте сокращенное имя сетевого адаптера плюс имя домена.

  15. Выберите параметр Подключаться с использованием VPN.

  16. Выберите протокол PPTP.

  17. Введите IP-адрес внешнего интерфейса.

  18. Добавьте информацию о созданной в пункте 10 учетной записи.

  19. Добавьте статический маршрут в сеть другого домена в соответствии с принятой схемой адресации.

  20. В качестве учетных данных входящего подключения введите имя внешнего интерфейса и стойкий пароль.

  21. В качестве учетных данных исходящего подключения используйте название внешнего сетевого интерфейса и пароль, созданные в другом домене.

  22. В Свойствах созданного подключения убедитесь, что в качестве адреса маршрутизатора используется внешний IP-адрес сервера в другом домене.

  23. В качестве Дополнительных параметров безопасности выберите MSCHAPv2.

  24. Повторите шаги с 12 по 23 на сервере в другом домене, изменяя параметры учетной записи пользователя и сетевого интерфейса на заданные в первом домене.

  25. Установите подключение VPN.


Лабораторная 14. Проектирование политики удаленного доступа.

Вводное: Для выполнения этой и последующих лабораторных работ физических компьютеров и вмешательства в сеть как таковую не требуется. Необходимо предложить методы защиты в зависимости от данных задачи и в конце обсудить их на брифинге с другими учащимися.
В организации установлено рабочее время с 8.00 до 17.00. Некоторые служащие организации часто ездят в командировки и подключаются к сети с помощью удаленного доступа. Их учетные записи выделены в отдельную группу безопасности с ограниченным членством Sgroup. В соответствии с Политикой безопасности в организации не используются протоколы MSCHAP и PAP. В корпоративном домене управление удаленным доступом для всех учетных записей пользователей осуществляется через групповую политику. Спроектируйте одну или несколько групповых политик удаленного доступа для реализации данных задач. Опишите условия применения политики, ее разрешение, профиль и фильтрацию по группам Windows.
Лабораторная 15. Защита беспроводной точки доступа.

Вводное: см. вводное к лабораторной работе №14.
Рассмотрите следующую ситуацию: Один из управляющих компании приобрел переносной компьютер с устройством wi-fi. Также в магазине ему порекомендовали купить точку доступа, реализующую стандарт 802.11, и подключить ее в кабинете к сети. Он обратился к вам, чтобы вы разработали план защиты этой точки доступа, сказав, что возможно и другие управляющие будут ею пользоваться. Порекомендуйте 5 – 6 способов защиты и мотивируйте свои предложения.
Лабораторная 16. Проектирование защиты IIS.

Вводное: см. вводное к лабораторной работе №14.
Web-сервер вашей компании предоставляет следующие возможности: доступ к виртуальным каталогам, загрузку содержимого через FTP, рассылку сообщений по протоколу SMTP. Причем на нем требуется разместить около 500 сайтов, для каждого из которых требуется независимое управление содержимым, которое разрешено только его владельцу. Финансовых возможностей на использование сертификатов нет. Также необходимо реализовать возможность пересылки почтовых сообщений на внешний сервер провайдера. Разработайте и задокументируйте технологии защиты необходимых функций с учетом перечисленных возможностей.