#️⃣GreenSkills 2023 - Module A
Тренировочное задание по настройке корпоративной IT-инфраструктуры с чемпионата "GreenSkills 2023"
Схема стенда
IP-адресация
Host | Interface | IP and mask |
---|---|---|
DC-EXPO | eth0 | 172.16.28.10/24 |
Admin-EXPO | eth0 | 172.16.29.8/24 |
FW-Astra | eth0 | 172.16.28.254/24 (DC-EXPO) |
eth1 | 172.16.29.254/24 (Admin-EXPO) | |
eth2 | 92.0.0.1/24 (Edge-R1) | |
Edge-R1 | eth0 | 92.0.0.2/24 (FW-Astra) |
eth1 | 1.1.1.1/24 (OSPF) | |
eth2 (tunnel) | 172.20.0.1/24 (DMVPN) | |
Edge-R2 | eth0 | 192.168.172.254/24 (MSK net) |
eth1 | 1.1.1.2/24 (OSPF) | |
eth2 (tunnel) | 172.20.0.2/24 (DMVPN) | |
Edge-R3 | eth0 | 10.10.10.254/24 (Storage0) |
eth1 | 1.1.1.3/24 (OSPF) | |
eth2 (tunnel) | 172.20.0.3/24 (DMVPN) | |
Internet (ISP) | eth0 | 1.1.1.5/24 (OSPF) |
Storage0 | eth0 | 10.10.10.10/24 |
AD1 | eth0 | 192.168.172.74/24 |
AD2 | eth0 | 192.168.172.75/24 |
CLI-Win | eth0 | 192.168.172.100/24 |
Таблица с логинами и паролями от виртуальных машин:
Название ВМ | Логин | Пароль |
---|---|---|
Admin-EXPO | admin-wsht | password |
FW-Astra | admin-fw | password |
Storage0 | storage | password |
Edge-R1 | vyos | vyos |
Edge-R2 | vyos | vyos |
Edge-R3 | vyos | vyos |
Windows | Administrator | P@ssw0rd |
Пример шаблона таблицы для Ваших логинов и паролей
Машина | Раздел | Логин | Пароль |
---|---|---|---|
DC-EXPO | LVM | - | your_passwd_here |
Учетная запись | dc-admin | your_passwd_here | |
GRUB-загрузчик | - | your_passwd_here | |
Admin-EXPO | LVM | - | your_passwd_here |
Учетная запись | wsht-admin | your_passwd_here | |
GRUB-загрузчик | - | your_passwd_here | |
FW-Astra | LVM | - | your_passwd_here |
Учетная запись | fw-admin | your_passwd_here | |
GRUB-загрузчик | - | your_passwd_here | |
Storage0 | LVM | - | your_passwd_here |
Учетная запись | storage | your_passwd_here | |
GRUB-загрузчик | - | your_passwd_here |
Задание 1. Создание машины DC-EXPO
Создайте ВМ DC-EXPO, руководствуясь следующими требованиями:
CPU – 1 RAM – 2 GB HDD – 40 GB
Язык системы: Английский
Местоположение: Другое
Континент: Европа
Страна: Россия
Имя хоста: DC-EXPO
Имя Администратора: gain-access
Пароль Администратора: 8v0rq5WY8O
Временная зона: Москва
Настройте зашифрованный lvm
Установите ядро системы: Generic или Hardened. Аргументируйте свой выбор
Выберите максимальный уровень безопасности "Смоленск"
Установите пароль для Grub – "UsA3ZJdHh*"
Задание 2. Отключение root
Отключите root пользователя у следующих виртуальных машин. А именно:
Admin-EXPO
FW-Astra
DC-EXPO
Storage0
Задание 3. Настройка sudo
Настройте sudo для 3 виртуальных машин: Admin-EXPO, FW-Astra, DC-EXPO
root не может использовать sudo
Не менять домашнюю директорию
Сохранять список групп текущего пользователя
Количество попыток ввода пароля максимум 2
Установите блокировку на 5 мин, в случае некорректного ввода пароля
Установите сообщение при вводе sudo
Включите логирование команды sudo
Задание 4. Настройка дополнительных мер безопасности
Настройте дополнительные меры обеспечения ИБ на своё усмотрение, обоснуйте свой выбор
Задание 5. Смена пароля для GRUB-загрузчика
Измените пароль для загрузчика GRUB: Admin-EXPO, FW-Astra, Storage0
Задание 6. Ограничение попыток ввода пароля, добавление резервной УЗ
Ограничьте попытки некорректного ввода пароля до полной блокировки УЗ на 3 виртуальных машинах (Admin-EXPO, FW-Astra, DC-EXPO). А также добавьте резервную учетную запись (данные для входа отразите в отдельном файле)
Задание 7. Настройка мандатного разграничения прав доступа
Настройте Мандатное разграничение прав на локальных пользователей системы на виртуальной машине Admin-EXPO, предварительно самостоятельно создав директорию с файлами
Задание 8. Настройка SSH
Настройте SSH на Admin-EXPO, DC-EXPO, FW-Astra и Storage0 по следующим критериям:
Banner
Запрет на доступ root
Сгенерируйте RSA ключи
Защитите ssh ключи парольной фразой
Отключите аутентификацию по паролю
Переведите на нестандартный порт
Ограничьте ввод попыток до 2
Отключим список доверенных хостов
Отключаем пустые пароли.
Настройте доступ только из определенной сети
Задание 9. Смена пароля для LVM
Смените пароль зашифрованного LVM у виртуальных машин Admin-EXPO, FW-Astra и Storage0
Задание 10. Настройка UFW для SSH-доступа
Настройте UFW на Admin-EXPO, FW-Astra, DC-EXPO, а именно разрешите подключения к SSH на определенном порту, который вы настроили ранее по заданию
Задание 11. Настройка технологии Router-on-a-stick
Реализуйте технологию "Router-on-a-stick", в которой вм FW-Astra выступает в качестве роутера, а для остальных виртуальных машин в этом филиале шлюзом по умолчанию
Задание 12. Настройка UFW (FW-Astra)
Запретить трафик telnet
Запретить трафик ftp
Запретить трафик от адреса 8.8.8.8
Запретить трафик http
Задание 13. Настройка роутеров
На всех роутерах необходимо:
Установить сильные пароли для всех учетных записей;
Создать резервную учетную запись;
Отключить стандартную учетную запись;
Отключить учетную запись root;
Настроить SSH, порт 555N, где N – это номер роутера из хостнейма;
Задание 14. Настройка маршрутизации
Настройте DMVPN + OSPF (DMVPN – 172.20.0.0/24)
Задание 15. Работа с Active Directory
На AD1 с ОС Windows Server 2019 требуется установить и настроить компонент AD DS с доменом training.cybersecurity. В средстве управления пользователями AD необходимо добавить сотрудников и включить их в группы пользователей, соответствующих им должностям. Необходимая информация собрана в таблице:
ФИО/login | Должность | Контактная информация |
---|---|---|
Попова София S.Popova | Системный администратор / Admins | +7(495)168-5709 S.Popova@training.cybersecurity |
Антонова Ника N.Antonova | Старший программист / Developers | +7(916)879-0636 N.Antonova@training.cybersecurity |
Дорохова Арина A.Dorohova | Программист / Developers | +7(916)070-6402 A.Dorohova@training.cybersecurity |
Андреев Максим M.Andreev | Специалист отдела ТП / Tech-Support | +7(912)192-5495 M.Andreev@training.cybersecurity |
Зимин Григорий G.Zimin | Специалист отдела продаж / Sales | +7(495)379-3755 G.Zimin@training.cybersecurity |
Золотарев Иван I.Zolotarev | Менеджер по закупкам / Sales | +7(912)470-3857 I.Zolotarev@training.cybersecurity |
Козырева Анна A.Kozyreva | Начальник отдела ИТ / Cybersecurity | +7(922)741-8158 A.Kozyreva@training.cybersecurity |
Балашов Максим M.Balashov | Старший специалист отдела ИБ / Cybersecurity | +7(495)240-2995 M.Balashov@training.cybersecurity |
Булгакова Ксения K.Bulgakova | Младший специалист отдела ИБ / Cybersecurity | +7(495)903-6625 K.Bulgakova@training.cybersecurity |
Задание 16. Настройка общего доступа к папкам
Настройте сетевые паки с разграничением доступа исходя из должности сотрудника. Сетевые папки должны быть расположены по пути: С:\Training\
Доступ / Название папки | Admins | Developers | Tech-Support | Sales | Cybersecurity |
---|---|---|---|---|---|
Admins | чтение/за пись | - | - | - | |
Developers | чтение | чтение/за пись | |||
Tech-Support | чтение | чтение/за пись | - | - | |
Sales | чтение | - | чтение/за пись | - | |
Cybersecurity | чтение | - | - | чтение/за пись | |
All | чтение/за пись | чтение/за пись | чтение/за пись | чтение/за пись | чтение/за пись |
Задание 17. Настройка необходимых служб кнтроллера домена
Установите и настройте компоненты DNS, DHCP, Центр сертификации (CA). Создайте зоны обратного просмотра
Задание 18. Политики
Настройте политики ИБ в отношении пользователей:
Настройте парольную политику для всех виртуальных машин:
Минимальная длинна 12 символов
Обязательные условия: 1 спец. символ, символы верхнего и нижнего регистра, цифры
Настройте групповые политики Windows
Отключите стартовую заставку при первом входе нового пользователя
Включите блокировку на 2 минуты при неправильном вводе пароля 3 раза
Включить экранную заставку при простое компьютера более чем на 5 минут, требовать пароль для разблокировки, запретить пользователям менять настройки скрин сервера
Включить автоматическую очитку диска, задать время очистки раз в месяц, включить автоматическое удаление старых элементов в корзине
Включите автоматическое обновление групповых политик на компьютерах домена, где интервал обновление 60 минут, случайное смещение (offset) 10 минут
Запретите пользователям менять настройки прокси-сервера
Запретите выключать службу брандмауэра, настроив автоматический запуск
Отключите автоматическое обновление драйверов, запретить поиск обновлений драйверов на узлах Windows update.
Запретить пользователям доступ к реестру
Настройте политики аудита на все действия типов: Logon, Logoff
Задание 19. Создание сайта
Создайте свой собственный сайт с названием команды и местом, обеспечьте работу веб-сервиса по протоколу https с доверенным сертификатом и доступность только по имени сайта
Задание 20. Работа с резервным контроллером домена
На ВМ AD2 с ОС Windows Server 2019 требуется установить и настроить компонент AD DS с доменом training.cybersecurity. Настройте удаленный доступ, настроив RDP Gateway на AD2.
Задание 21. Создание бэкапа, ввод в домен
Сделайте back-up системы и введите всех клиентов на ОС Windows в домен, предварительно переименовав
Last updated