ПРАКТИКУМ. В настоящем учебно-методическом пособии представлены основы технологии и практические задания по курсу «Технология системы защиты информации ViPNet

Введение в практикум

В настоящем учебно-методическом пособии представлены основы технологии и практические задания по курсу «Технология системы защиты информации ViPNet. Подготовка Администраторов ViPNet версии 3.0 (на платформе Windows)».

В практических заданиях прорабатываются темы, связанные с развертыванием защищенной VPN-сети на основе новой версии (3.0) программного обеспечения ViPNet, обеспечения взаимодействия ПО версий 2.8 с версией 3.0, модификации сети на основе версии 3.0 и модификации взаимодействия с сетью на основе версии 2.8. Также представлены упражнения, позволяющие освоить работу с основными модулями системы защиты информации ViPNet - [Администратор], [Клиент] и [Координатор].

Курс рассчитан для профессиональной подготовки сотрудников, в функции которых входит администрирование защищенных сетей, а также для повышения квалификации специалистов служб компьютерной безопасности по вопросам построения комплексных систем защиты информации и применения средств защиты в автоматизированных системах.

Основными целями практикума являются:

- Теоретическая и практическая подготовка слушателей в области защиты информации и защищенных компьютерных сетей.

- Приобретение умений и навыков для построения и модификации защищенных сетей по заданным схемам.

- Приобретение опыта в организации межсетевого взаимодействия защищенных сетей ViPNet.

 

Требования к подготовке администратора ViPNet

После подготовки Администратор ViPNet v.3.0 должен:

 

иметь представление:

- о современном состоянии, тенденциях и перспективах развития в области телекоммуникаций;

- о структуре и организации различных видов телекоммуникаций;

- об общих принципах криптографии и особенностях криптосистемы в продуктах ViPNet;

- о составе ключевой информации;

- об изменении рабочих параметров и настроек системы ViPNet версии 3.0 по сравнению с версией 2.8;

- о новых программных модулях системы ViPNet в версии 3.0.

 

быть способен:

- создавать и модифицировать защищенные сети ViPNet версии 3.0 по заданным схемам;

- организовывать межсетевое взаимодействие сетей ViPNet как между версиями 3.0, так и между сетями ViPNet версий 2.8 и 3.0;

- обеспечивать взаимодействие всех объектов сети ViPNet между собой;

- обеспечивать работу Координаторов;

- обеспечивать работу Центра регистрации и системы PKI;

- вести контроль безопасности функционирования программного комплекса ViPNet;

- организовывать взаимодействие между серверами и рабочими станциями виртуальных сетей ViPNet.

 

знать и использовать:

- принципы работы защищенных виртуальных сетей;

- принципы действия, технологию использования и методику применения защищенных сетей;

- методы организации защищенных сетей ViPNet версий 2.8 и 3.0.

 

уметь:

- организовывать доступ к защищаемым ресурсам и наделять полномочиями пользователей (в соответствии с решением по доступу пользователей к информационным ресурсам и в объеме, соответствующем этому решению);

- контролировать выполнение правил работы пользователями компьютеров, на которых установлено программное обеспечение ViPNet;

- проводить аудит журналов на предмет попыток НСД и прочих нарушений;

- осуществлять тестирование правильности функционирования ПО ViPNet;

- контролировать соблюдение мер информационной безопасности;

- оказывать помощь пользователям по применению ПО ViPNet.

 

владеть:

- методами управления защищенными сетями;

- технологией организации VPN;

- методикой использования системы защиты информации ViPNet версий 2.8 и 3.0.

 

Продолжительность курса

- 5 дней (40 академических часов) под руководством инструктора.

Используемое программное обеспечение

- ПО ViPNet [Администратор] (версии 2.8.11 и 3.0);

- ПО ViPNet [Координатор] (версии 2.8.11 и 3.0);

- ПО ViPNet [Клиент] (версии 2.8.11 и 3.0);

- ПО ViPNet [Центр Регистрации] (версии 3.0);

- ПО ViPNet [Сервис Публикации] (версии 3.0).

Рекомендации при использовании ПО ViPNet Custom (на ОС Windows) версии 3.0 следующие:

- Использовать файловую систему NTFS.

- Переименовать или удалить пользователя с именем Administrator (Администратор в русской версии ОС Windows). Должен быть зарегистрирован только один пользователь, обладающий правами администратора, на которого и возлагается обязанность управлять ОС.

- Удалить у группы Everyone все привилегии.

- Отключить учетную запись для гостевого входа (Guest).

- Использовать автоматическую блокировку компьютера при отсутствии активности пользователя свыше 15 мин.

- Установить ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа.

- Ограничить использование Планировщика задач (Scheduler).

- Устанавливать атрибуты SECURITY_ATTRIBUTES процессов и потоков в соответствии с требованиями безопасности всей системы в целом.

- Для предотвращения стороннего анализа остаточной информации желательно использовать дополнительные ограничения по доступу к временным файлам.

- Отказаться от использования режима автоматического входа пользователя при ее загрузке.

- Исключить возможность удаленного редактирования системного реестра через общедоступные каналы передачи данных.

- Удалить все общие ресурсы на компьютере с установленным ПО СКЗИ «Домен-К» (в том числе и создаваемые по умолчанию при установке ОС), которые не используются. Права доступа к используемым общим ресурсам задать в соответствии с политикой безопасности, принятой в организации.

- Устанавливать выпускаемые Microsoft исправления ошибок ОС, позволяющих получать привилегии администратора

- Отключить сервис DCOM при использовании общедоступных каналов передачи данных.

- Запретить вход в ОС через общедоступные каналы передачи данных для всех пользователей, включая группу Administrators.

- Закрыть доступ к неиспользуемым портам.

- Включать фильтры паролей, устанавливаемые вместе с пакетами обновлений ОС.

- Ограничить доступ пользователей в каталог %SystemRoot%.

- Установить права доступа к каталогам %Systemroot%\System32\Config, %Systemroot%\System32\SPOOL, %Systemroot%\Repair, %Systemroot%\COOKIES, %Systemroot%\FORMS, %Systemroot%\HISTORY, %Systemroot%\SENDTO, %Systemroot%\PROFILES, %Systemroot%\OCCACHE, \TEMP, а также файлам boot.ini, autoexec.bat, config.sys, ntdetect.com и ntldr в соответствии с политикой безопасности, принятой в организации.

- После установки операционной системы удалить из каталога %Systemroot%\System32\Config файл sam.sav.

- Использовать систему аудита в соответствии с политикой безопасности, принятой в организации.

- При работе через общедоступные каналы передачи данных отказаться от использования протокола SMB, либо в случае необходимости установить в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\ Parameters параметр EnableSecuritySignature (REG_DWORD) со значением 1 и параметр RequireSecuritySignature (REG_DWORD) со значением 1.

 

Рекомендуется внести следующие изменения в системном реестре:

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa установить параметр RestrictAnonymous (REG_DWORD) со значением 1 для исключения доступа анонимного пользователя к списку разделяемых ресурсов, а также для исключения доступа к содержимому системного реестра;

* удалить имя SPOOLSS из ключа HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes для исключения утечки информации при передаче данных по именованному каналу \\server\PIPE\SPOOLSS;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ LanManServer\Parameters установить параметры AutoShareWks (для Windows NT Workstation) и AutoShareServer (для Windows NT Server), имеющие тип REG_DWORD, со значением 0 для запрета автоматического создания скрытых совместных ресурсов;

* в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon установить параметр CachedLogonsCount (REG_DWORD) со значением 0 для отключения кэширования паролей последних десяти пользователей, вошедших в систему;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\ < LogName> (LogName – имя журнала, для которого следует ограничить доступ пользователям группы Everyone) установить параметр RestrictedGuestAccess (REG_DWORD) со значением 1 для исключения доступа группы Everyone к системному журналу и журналу приложений;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ SessionManager\MemoryManagement установить параметр ClearPageFileAtShutDown (REG_DWORD) со значением 1 для включения механизма затирания файла подкачки при перезагрузке;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ SecurePipeServers установить параметр winreg (REG_DWORD) со значением 1 для ограничения удаленного доступа к реестру;

* в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ СurrentVersion\Winlogon установить параметр AllocateFloppies (REG_SZ) со значением 1 для исключения параллельного использования дисковода для гибких дисков;

* в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon установить параметр DontDisplayLastUserName (REG_SZ) со значением 1 для отключения отображения имени последнего зарегистрированного пользователя;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa установить параметр AuditBaseObjects (REG_DWORD) со значением 1 для включения аудита базовых объектов системы;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

* установить параметр FullPrivilegeAuditing (REG_BINARY) со значением 1 для включения аудита привилегий;

* в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\ Parameters установить параметр EnablePlainTextPassword (REG_DWORD) со значением 0 для исключения передачи пароля пользователей по сети в открытом виде.

Дополнительно при использовании ОС Microsoft Windows XP следует произвести дополнительные настройки:

- Запретить использование функции резервного копирования паролей.

- Отключить режимы отображения окна всех зарегистрированных на компьютере пользователей и быстрого переключения пользователей.

- Отключить возможность удаленного администрирования компьютера.