#️⃣GreenSkills 2023 - Module A

Тренировочное задание по настройке корпоративной IT-инфраструктуры с чемпионата "GreenSkills 2023"

Схема стенда

Схема корпоративной сети

IP-адресация

Host	Interface	IP and mask
DC-EXPO	eth0	172.16.28.10/24
Admin-EXPO	eth0	172.16.29.8/24
FW-Astra	eth0	172.16.28.254/24 (DC-EXPO)
	eth1	172.16.29.254/24 (Admin-EXPO)
	eth2	92.0.0.1/24 (Edge-R1)
Edge-R1	eth0	92.0.0.2/24 (FW-Astra)
	eth1	1.1.1.1/24 (OSPF)
	eth2 (tunnel)	172.20.0.1/24 (DMVPN)
Edge-R2	eth0	192.168.172.254/24 (MSK net)
	eth1	1.1.1.2/24 (OSPF)
	eth2 (tunnel)	172.20.0.2/24 (DMVPN)
Edge-R3	eth0	10.10.10.254/24 (Storage0)
	eth1	1.1.1.3/24 (OSPF)
	eth2 (tunnel)	172.20.0.3/24 (DMVPN)
Internet (ISP)	eth0	1.1.1.5/24 (OSPF)
Storage0	eth0	10.10.10.10/24
AD1	eth0	192.168.172.74/24
AD2	eth0	192.168.172.75/24
CLI-Win	eth0	192.168.172.100/24

Таблица с логинами и паролями от виртуальных машин:

Название ВМ	Логин	Пароль
Admin-EXPO	admin-wsht	password
FW-Astra	admin-fw	password
Storage0	storage	password
Edge-R1	vyos	vyos
Edge-R2	vyos	vyos
Edge-R3	vyos	vyos
Windows	Administrator	P@ssw0rd

Пример шаблона таблицы для Ваших логинов и паролей

Машина	Раздел	Логин	Пароль
DC-EXPO	LVM	-	your_passwd_here
	Учетная запись	dc-admin	your_passwd_here
	GRUB-загрузчик	-	your_passwd_here
Admin-EXPO	LVM	-	your_passwd_here
	Учетная запись	wsht-admin	your_passwd_here
	GRUB-загрузчик	-	your_passwd_here
FW-Astra	LVM	-	your_passwd_here
	Учетная запись	fw-admin	your_passwd_here
	GRUB-загрузчик	-	your_passwd_here
Storage0	LVM	-	your_passwd_here
	Учетная запись	storage	your_passwd_here
	GRUB-загрузчик	-	your_passwd_here

Задание 1. Создание машины DC-EXPO

Создайте ВМ DC-EXPO, руководствуясь следующими требованиями:

1. CPU – 1 RAM – 2 GB HDD – 40 GB

2. Язык системы: Английский

3. Местоположение: Другое

4. Континент: Европа

5. Страна: Россия

6. Имя хоста: DC-EXPO

7. Имя Администратора: gain-access

8. Пароль Администратора: 8v0rq5WY8O

9. Временная зона: Москва

10. Настройте зашифрованный lvm

11. Установите ядро системы: Generic или Hardened. Аргументируйте свой выбор

12. Выберите максимальный уровень безопасности "Смоленск"

13. Установите пароль для Grub – "UsA3ZJdHh*"

Задание 2. Отключение root

Отключите root пользователя у следующих виртуальных машин. А именно:

• Admin-EXPO

• FW-Astra

• DC-EXPO

• Storage0

Задание 3. Настройка sudo

Настройте sudo для 3 виртуальных машин: Admin-EXPO, FW-Astra, DC-EXPO

1. root не может использовать sudo

2. Не менять домашнюю директорию

3. Сохранять список групп текущего пользователя

4. Количество попыток ввода пароля максимум 2

5. Установите блокировку на 5 мин, в случае некорректного ввода пароля

6. Установите сообщение при вводе sudo

7. Включите логирование команды sudo

Задание 4. Настройка дополнительных мер безопасности

Настройте дополнительные меры обеспечения ИБ на своё усмотрение, обоснуйте свой выбор

Задание 5. Смена пароля для GRUB-загрузчика

Измените пароль для загрузчика GRUB: Admin-EXPO, FW-Astra, Storage0

Задание 6. Ограничение попыток ввода пароля, добавление резервной УЗ

Ограничьте попытки некорректного ввода пароля до полной блокировки УЗ на 3 виртуальных машинах (Admin-EXPO, FW-Astra, DC-EXPO). А также добавьте резервную учетную запись (данные для входа отразите в отдельном файле)

Задание 7. Настройка мандатного разграничения прав доступа

Настройте Мандатное разграничение прав на локальных пользователей системы на виртуальной машине Admin-EXPO, предварительно самостоятельно создав директорию с файлами

Задание 8. Настройка SSH

Настройте SSH на Admin-EXPO, DC-EXPO, FW-Astra и Storage0 по следующим критериям:

1. Banner

2. Запрет на доступ root

3. Сгенерируйте RSA ключи

4. Защитите ssh ключи парольной фразой

5. Отключите аутентификацию по паролю

6. Переведите на нестандартный порт

7. Ограничьте ввод попыток до 2

8. Отключим список доверенных хостов

9. Отключаем пустые пароли.

10. Настройте доступ только из определенной сети

Задание 9. Смена пароля для LVM

Смените пароль зашифрованного LVM у виртуальных машин Admin-EXPO, FW-Astra и Storage0

Задание 10. Настройка UFW для SSH-доступа

Настройте UFW на Admin-EXPO, FW-Astra, DC-EXPO, а именно разрешите подключения к SSH на определенном порту, который вы настроили ранее по заданию

Задание 11. Настройка технологии Router-on-a-stick

Реализуйте технологию "Router-on-a-stick", в которой вм FW-Astra выступает в качестве роутера, а для остальных виртуальных машин в этом филиале шлюзом по умолчанию

Задание 12. Настройка UFW (FW-Astra)

1. Запретить трафик telnet

2. Запретить трафик ftp

3. Запретить трафик от адреса 8.8.8.8

4. Запретить трафик http

Задание 13. Настройка роутеров

На всех роутерах необходимо:

1. Установить сильные пароли для всех учетных записей;

2. Создать резервную учетную запись;

3. Отключить стандартную учетную запись;

4. Отключить учетную запись root;

5. Настроить SSH, порт 555N, где N – это номер роутера из хостнейма;

Задание 14. Настройка маршрутизации

Настройте DMVPN + OSPF (DMVPN – 172.20.0.0/24)

Задание 15. Работа с Active Directory

На AD1 с ОС Windows Server 2019 требуется установить и настроить компонент AD DS с доменом training.cybersecurity. В средстве управления пользователями AD необходимо добавить сотрудников и включить их в группы пользователей, соответствующих им должностям. Необходимая информация собрана в таблице:

ФИО/login	Должность	Контактная информация
Попова София S.Popova	Системный администратор / Admins	+7(495)168-5709 S.Popova@training.cybersecurity
Антонова Ника N.Antonova	Старший программист / Developers	+7(916)879-0636 N.Antonova@training.cybersecurity
Дорохова Арина A.Dorohova	Программист / Developers	+7(916)070-6402 A.Dorohova@training.cybersecurity
Андреев Максим M.Andreev	Специалист отдела ТП / Tech-Support	+7(912)192-5495 M.Andreev@training.cybersecurity
Зимин Григорий G.Zimin	Специалист отдела продаж / Sales	+7(495)379-3755 G.Zimin@training.cybersecurity
Золотарев Иван I.Zolotarev	Менеджер по закупкам / Sales	+7(912)470-3857 I.Zolotarev@training.cybersecurity
Козырева Анна A.Kozyreva	Начальник отдела ИТ / Cybersecurity	+7(922)741-8158 A.Kozyreva@training.cybersecurity
Балашов Максим M.Balashov	Старший специалист отдела ИБ / Cybersecurity	+7(495)240-2995 M.Balashov@training.cybersecurity
Булгакова Ксения K.Bulgakova	Младший специалист отдела ИБ / Cybersecurity	+7(495)903-6625 K.Bulgakova@training.cybersecurity

Задание 16. Настройка общего доступа к папкам

Настройте сетевые паки с разграничением доступа исходя из должности сотрудника. Сетевые папки должны быть расположены по пути: С:\Training\

Доступ / Название папки	Admins	Developers	Tech-Support	Sales	Cybersecurity
Admins	чтение/за пись		-	-	-
Developers	чтение	чтение/за пись
Tech-Support	чтение		чтение/за пись	-	-
Sales	чтение		-	чтение/за пись	-
Cybersecurity	чтение		-	-	чтение/за пись
All	чтение/за пись	чтение/за пись	чтение/за пись	чтение/за пись	чтение/за пись

Задание 17. Настройка необходимых служб кнтроллера домена

Установите и настройте компоненты DNS, DHCP, Центр сертификации (CA). Создайте зоны обратного просмотра

Задание 18. Политики

Настройте политики ИБ в отношении пользователей:

1. Настройте парольную политику для всех виртуальных машин:

   • Минимальная длинна 12 символов

   • Обязательные условия: 1 спец. символ, символы верхнего и нижнего регистра, цифры

2. Настройте групповые политики Windows

   • Отключите стартовую заставку при первом входе нового пользователя

   • Включите блокировку на 2 минуты при неправильном вводе пароля 3 раза

   • Включить экранную заставку при простое компьютера более чем на 5 минут, требовать пароль для разблокировки, запретить пользователям менять настройки скрин сервера

   • Включить автоматическую очитку диска, задать время очистки раз в месяц, включить автоматическое удаление старых элементов в корзине

   • Включите автоматическое обновление групповых политик на компьютерах домена, где интервал обновление 60 минут, случайное смещение (offset) 10 минут

   • Запретите пользователям менять настройки прокси-сервера

   • Запретите выключать службу брандмауэра, настроив автоматический запуск

   • Отключите автоматическое обновление драйверов, запретить поиск обновлений драйверов на узлах Windows update.

   • Запретить пользователям доступ к реестру

   • Настройте политики аудита на все действия типов: Logon, Logoff

Задание 19. Создание сайта

Создайте свой собственный сайт с названием команды и местом, обеспечьте работу веб-сервиса по протоколу https с доверенным сертификатом и доступность только по имени сайта

Задание 20. Работа с резервным контроллером домена

На ВМ AD2 с ОС Windows Server 2019 требуется установить и настроить компонент AD DS с доменом training.cybersecurity. Настройте удаленный доступ, настроив RDP Gateway на AD2.

Задание 21. Создание бэкапа, ввод в домен

Сделайте back-up системы и введите всех клиентов на ОС Windows в домен, предварительно переименовав