Конкурсное задание - sutkt.ru › documents › wsr › it_setevoe_i... ·...
TRANSCRIPT
ТехническийдепартаментWSR 1
ТехническийдепартаментWSR
Москва,16декабря2015
Конкурсноезадание
Компетенция
«Сетевоеисистемноеадминистрирование»
Конкурсноезаданиевключаетвсебяследующиеразделы:
1. Введение2. Формыучастиявконкурсе3. Модулизаданияинеобходимоевремя4. Критерииоценки5. Конкурсноезадание6. Приложения(1-9)
Количествочасовнавыполнениезадания:15ч.
РазработаноэкспертамиWSR:ФерС.В.ЛотошЕ.В.ФучкоМ.М.ГорбачевА.П.ЩербининА.А.ОвсянниковС.В.
ТехническийдепартаментWSR 2
Введение
Названиепрофессиональнойкомпетенции:Сетевоеисистемноеадминистрирование.Описаниепрофессиональнойкомпетенции.
Сетевое и системное администрирование требуетшироких познаний в областиинформационных технологий. В связи с быстрым развитием этой области,требованиякадминистраторампостоянновозрастают.
Системныйисетевойадминистратор(инженер)долженуметь:• Разрабатывать и развертывать комплексную информационную
инфраструктуру предприятий, включающую рабочие станции, серверы и сетевоеоборудование,сетевоеоборудование
• Развертыватьосновныесервисы,включаяслужбыкаталогов,резервногокопирования,почтовыеидругиеприкладныесервисы.
• ИспользоватьширокийнабороперационныхсистемисерверногоПО• Эффективно организовывать защищенные соединения сетей
предприятий,доступвИнтернетииныесети• Устанавливать и настраивать устройства беспроводной сети,
коммутаторы,маршрутизаторыисредствазащитыинформации• Организовыватьзащитуинформацииотнесанкционированногодоступа• Разрабатыватьдокументациюинформационнойструктурыпредприятия• Устанавливать, настраивать и отлаживать программные и аппаратные
средстваVoIP• УстанавливатьинастраиватьсетевыесервисынабазепротоколовIPv4и
IPv6• Устанавливать,настраиватьиподдерживатьвиртуальныесреды• Осуществлять поиск и устранение неисправностей в работе
информационныхсистемисетей
ОбластьприменениязаданияКаждыйЭкспертиУчастникобязанознакомитьсясданнымКонкурснымзаданием.Данное задание рекомендовано для подготовки региональных чемпионатов,финаловчемпионатовпофедеральнымокругам,атакжедляподготовкиучастниковкНациональномучемпионатуWSR2016г.
ТехническийдепартаментWSR 3
СопроводительнаядокументацияПосколькуданноеКонкурсноезаданиесодержитлишьинформацию,относящуюсяксоответствующей профессиональной компетенции, его необходимо использоватьсовместнососледующимидокументами:
• «WorldSkills Russia», Техническое описание по компетенции Сетевое исистемноеадминистрирование;
• «WorldSkillsRussia»,Правилапроведениячемпионата• Принимающая сторона – Правила техники безопасности и санитарные
нормы.
ФормаучастиявконкурсеИндивидуальныйконкурс.
МодулизаданияинеобходимоевремяМодулиивремясведенывтаблице1Таблица1.
№п/п Наименованиемодуля Рабочее
времяВремяназадание
1 Модуль1:День1.Сетевыетехнологии С109.00-12.00С113.00-15.00
3часа2часа
2 Модуль2:День2.РаботасОСMicrosoftWindows С109.00-12.00С113.00-15.00
3часа2часа
3 Модуль3:День3.РаботасОСLinuxCentOS С109.00-12.00С113.00-15.00
3часа2часа
КритерииоценкиВ данном разделе определены критерии оценки и количество начисляемых
баллов (субъективные и объективные) таблица 2. Общее количество балловзадания/модуляповсемкритериямоценкисоставляет100.
Таблица2.Раздел Критерий Оценки
Субъективная(врежиме
судейства)
Объективная Общая
А Модуль1:День1.Сетевыетехнологии
3
31
34
В Модуль2:День2.РаботасОСMicrosoftWindows
0
33
33
ТехническийдепартаментWSR 4
С Модуль3:День3.РаботасОСLinuxCentOS
0 33 33
Итого= 0 100 100
Субъективная оценка относится к выполнению участником задания, связанного сведениемтехническойдокументацииипланированиемработ.Субъективнаяоценкавыполняется в режиме судейства (Judgment), где судьи выставляют свои оценкиисходяизследующихсоображений:
0-нечегооценивать.Документотсутствуетилинеявляетсяреализуемой(содержитгрубыеошибки).
1-Документнеконкретен,можеттрактоватьсяразличнымиспособами,допускаетразныевариантыреализации.
2-Документоднозначениреализуем,носодержитнедочеты.
3-Всевыполненоидеально.
ТехническийдепартаментWSR 5
Конкурсноезадание
Общаяинформация
Позвольте представиться, мой новый коллега: я начальник ИТ-департамента успешной финансовойкорпорации «ЦИС и Ко Финанс», куда вы только что устроились на должность главного системногоадминистратора. Благодаря соблюдению правил регуляторов и собственным строгим внутреннимправилам,вкризисноевремянашакомпаниясохраняетстабильность,очемсвидетельствуетвашанемалаязарплата. К сожалению, ваш коллега, создававший ИТ-инфраструктуру, находится в длительнойкомандировкеиещенеуспелввестивасвкурсвсехдел.Однакоблагодарявашейвысокойквалификациивамдолжнохватитьитехобрывковинформации,чтоонуспелпередать.
Уменядлявасотличнаяновость:дваконкурирующихбанкаполучиликрупныенеприятности,посколькувелинепродуманнуюирискованнуюфинансовуюполитику.Еслиточнее,решениенасчетнихЦентробанкужепринял:банкипередаютсянамнасанациюивближайшембудущемстанутинтегральнойчастьюнашейфинансовой структуры. Эти банки – «Микрошот Бэнк» и «ПинВин Файненшл» – уже давно являлисьстратегической целью нашей компании, и сейчас «ЦИС и Ко Финанс» имеет уникальную возможностьполучитьконтрольнадактивамииклиентамиэтихбанков.
Для успешной санацииобоих банковнеобходимо какминимумобеспечить слияниеИТ-инфраструктуривзаимодействие на уровне базовых сервисов. К сожалению, оба банка проводили политику тотальнойэкономии и мало вкладывались в развитие и поддержание ИТ, поэтому рассчитывать на готовность ихинфраструктурктакимизменениямнеприходится.
Сейчас каждый час на счету, а потому наше руководство требует, чтобы через три дня все задачи пообъединениюИТ-систембанковбыливыполнены.Общаяситуациятакова:
1. Вы должны строго следовать действующим правилам и регламентам своей компании,зафиксированным в Политике корпорации в области информационных технологий и защитыинформации(Приложение1),далеепотекступросто«Политике».
2. Тотальнаяэкономиянаоборудованиивподключаемыхбанкахисжатыесрокипривеликтому,чтоуваснетбольшогозапасаоборудованиядляпроведенияработ.Все,чтоувасестьврезерве,это:• ОдинмежсетевойэкранCiscoASA5505• ОдинкоммутаторCiscoCatalyst2960• Одинноутбук• ОдинIP-телефонCisco7900Прочееоборудованиевы,конечно,такжеможетеиспользовать,ноимейтеввиду,чтооновходитвсостав действующей инфраструктуры корпорации, и у вас нет права менять ее логику работы. Вкаждом банке необходимо настроить VPN-шлюз и подключение к сети IP-телефонии.МаршрутизаторR2ужеподключенксетикорпорации,нопокаещененастроен,переноситьегокуда-либоещенельзя,решениеобэтомпринятодовольнодавно.
3. Наши партнеры из компании-оператора «Босс-телеком» выполнили предварительную настройкусвоей сети и готовы предоставить каналы связимежду офисами банков. Технические условия наподключениеприведенывПриложении8.
4. Ксожалению,вынужденнаяспешкавподготовкекработампривелактому,чтонекоторыесетевыенастройкибыливыполненынекорректно.Обнаруженныеошибкиисправлены,носложносказать,какиеещенеточностиосталисьнезамеченными.Обращайтенаэтовнимание.Возможно,что-товсуществующихконфигурацияхпридетсяисправлять.
ТехническийдепартаментWSR 6
5. Имейте в виду, что все три банка являются действующими, перерывы в обслуживании клиентовдолжны быть минимизированы. Вам известно, что сервисы «ЦИС и Ко» должны быть доступныпостоянно, «Микрошот Бэнк» может по согласованию быстро переключиться на резервнуюплощадку,авбанке«ПинВинФайненшл»работы, связанныеспростоемсетевыхсервисов,могутпроводитьсятолькопоокончаниирабочегодня(т.е.позавершениивсехостальныхработ,которыевы запланировали на этот день). Если вы предполагаете выполнение работ, связанных сотключением каких-либо сервисов, вам необходимо согласовывать время и длительностьпроведенияэтихработиобязательновключатьихвплан.
Мысвашимколлегойуженарисовалиэскизнуюсхемубудущейсети(Приложение7),новнееещенужновнестиряддеталейирешить,какоеоборудованиеикакбудетиспользоваться.
ТехническийдепартаментWSR 7
День1.Сетевыетехнологии
Сегоднявампредстоитмногоработы.Сначаланеобходимовнестинекоторыеизменениявинфраструктурусобственнойсети,затем–обследоватьсетиприсоединяемыхбанковипринятьокончательноерешениеобудущем дизайне единой сети и использовании имеющегося в вашем распоряжении резервногооборудования.Вконце–выполнитьработывофисахбанков«МикрошотБэнк»и«ПинВинФайненшл».
Ваширешениядолжныбытьотраженывдокументацииввидесхем,таблициплановиодобренымной.Явсе еще не имел возможность убедиться в вашей реальной квалификации (да-да, ваше резюме оченькрасивое,норезюмеижизнь–несколькоразныевещи),апотомустануоченьвнимательноследитьзавсемходом работ. Изменить принятые и утвержденные решения позднее будет невозможно, поэтому передначалом работы ПРОЧИТАЙТЕ ВСЕ ЗАДАНИЯ, ИЗУЧИТЕ ТЕКУЩИЕ НАСТРОЙКИ ОБОРУДОВАНИЯ, НЕИЗМЕНЯЯИХ,иподготовьтенеобходимыедокументы.
1. Используяпредоставленныедокументы,формыисхемы,подготовьтеследующиематериалывтом
виде,вкоторомонипредставляютсявампоокончаниивсехработ• Таблицусоединенийиподключенийпортовоборудования(Приложение3)• Схемусетевогоуровнявобъединеннойсети(Приложение7)
2. Вы должны представить мне на утверждение План работ, которые предполагаете выполнить втечениесегодняшнегодня(формаплананаходитсявПриложении2).
3. Поправиламнашейкорпорацииядолженпоставитьрезолюциюнавашемпланеработ,преждечемвыприступитеквыполнениюнастроек.Сэтогомоментавсевашидействиярегулируютсяпланами,схемами,политиками,регламентамиитехническимиусловиями.Нивкоемслучаененарушайтеих,иливампредстоиточеньнеприятныйразговорсомной.Вамзапрещается:• УдалятьсуществующиеидобавлятьновыеVLAN,еслиэтогоявнонетребуетпланработ• Удалятьидобавлятьновыестатическиемаршруты,еслиэтоявнонеразрешено• ИзменятьрежимыработыпротоколовSTPиVTP• Удалять или снимать с интерфейсов списки контроля доступа. Однако вы можете их
редактировать
Послеполученияодобрениявамнеобходимовыполнитьрядподготовительныхоперацийинастроитьсвязьмежду сетями банков в соответствии с собственной политикой нашей корпорации и техническимиусловиями оператора связи. Кроме того, прошу провести ряд работ по оптимизации внутренней сетикорпорации,используявыделенныевамвременныеокнадляпроведенияработ.
4. НасервереNMSзапущеноприкладноеПО,выполняющеефункцииTFTP-сервераиsyslog-сервера.Выполните резервное копирование конфигураций сетевого оборудования и баз данных VLANкоммутаторовкорпоративнойсетинаTFTP-сервер,запущенныйнасервереNMS.Используйтеименафайлов в формате <ИМЯ УСТРОЙСТВА>-<ТЕКУЩЕЕ ВРЕМЯ>.cfg (например, R1-10.05.cfg) и <ИМЯУСТРОЙСТВА>-VLAN.dat (например, SW2-VLAN.dat). По завершении работ всего дня не забудьтеповторить процедуру для всех сетевых устройств. В конце дня у вас должны быть сохраненыконфигурациивсехсетевыхустройств,подключенныхксети,ибазыVLANкоммутаторовSW1иSW2.Сохранятькопииконфигурацийоборудования,неподключенногоксети,нетребуется.СохраняйтефайлывпапкуC:\TFTP.Присовпаденииименфайлыдолжныперезаписываться.
5. ВсоответствиисПолитикой,всесетевыеустройстваCiscoввашейсетидолжныотсылатьжурнальныесообщения с критичностью большей или равной 5 (Informational) на syslog-сервер. Локально на
ТехническийдепартаментWSR 8
устройствах хранятся сообщения с критичностью 3 (Error) и выше. Убедитесь, что эти политикисоблюденынавсехустройствах,включаяте,чтовыпланируетеподключатьксети.
6. Сетевоеоборудование(коммутаторы,маршрутизаторыимежсетевыеэкраны)Cisco,подключенноексети,должносинхронизироватьсвоичасыповремениконтроллерадоменаNew-DCинаходитьсяв правильной временной зоне (GMT+3). Убедитесь, что это так, особенно, по окончании работсегодняшнегодня.
МеждукоммутаторамиSW1иSW2втекущейконфигурацииприсутствуеттрипараллельныхканаласвязи,которыеиспользуютсянеоченьэффективно.Вашазадача–изменитьконфигурациикоммутаторов,чтобыдобитьсяописанныхнижерезультатов.
Ксчастью,SW2,какивесьVLAN10,обслуживаеттольковашесобственноеподключение,поэтомувыможетепроводитьработывлюбоевремя,новсеравно–будьтеосторожны.Сервисыбанкапострадатьнедолжны!ПривыполненииработнеизменяйтенастройкипортаF0/22коммутатораSW2.
7. ПортыF0/23иF0/24коммутаторовдолжныбытьобъединенывагрегированныйканалсномеромPort-Channel1.Используйтединамическийпротоколсогласования,соответствующийстандартуIEEE802.3ad.
8. ВсеканалысвязиF0/22-24должныбытьпереведенывтранковыйрежимработы,соответствующийстандартуIEEE802.1Q.
9. ТрафиквсехVLAN,существующихвсети,припередачемеждукоммутаторамиSW1иSW2долженпередаватьсячерезPort-Channel1,заисключениемтрафикаVLAN10,которыйдолженпередаватьсячерезпортF0/22.ВслучаеобрывасвязинапортуF0/22трафикAdminPCдолженбытьпереключеннаPort-Channel1неболее,чемза5секунд.
Маршрутизатор R2 предполагалось использовать как IP-телефонную станцию и резервныймаршрутизатордляподключениявнутреннихсегментовсети.ПреждечемиспользоватьR2вкачествешлюзадлясвязисофисамибанков,необходимонастроитьвсезапланированныеранеефункции.
10. Маршрутизатор R2 подключен к коммутатору SW1 двумя портами, как и R1. В сторонумаршрутизаторов должен передаваться трафик только тех VLAN, которые терминируются на егоинтерфейсахиподинтерфейсах.ИспользуйтеинтерфейсыF0/0маршрутизаторовисключительнодлясвязиихмеждусобой,вчастности,дляобменаанонсамипопротоколуOSPF.НакоммутатореSW1дляэтогодолженбытьсозданVLAN12.
11. НастройтенаR1иR2IP-адресациювсоответствиисутвержденнойсхемойсетевогоуровня.12. Маршрутизаторы R1 и R2 должны обеспечивать взаимное резервирование при подключении
сервероввVLAN20.ВсенеобходимыенастройкинаR1ужевыполнены.ПроведитенастройкинаR2так,чтобывштатнойситуациивпареR1-R2навсеARP-запросыотвечалR2.
13. Маршрутизаторы R1 и R2 должны обеспечивать взаимное резервирование при подключениипользователейвVLAN10.R1долженявлятьсяосновнымшлюзомпоумолчанию,R2–резервным,который берет на себя функции шлюза по умолчанию только в случае, когда R1 недоступен.ИспользуйтепротоколHSRPверсии2,номергруппы–12иключаутентификацииCISCO.Убедитесь,чтопослевыполненияработрабочиестанциивVLAN10 сохраняютсвязьссерверамисетидажевслучае,когдамаршрутизаторR1недоступен.Изменятьнастройкишлюзапоумолчаниюнарабочихстанцияхнеразрешается.
14. МеждумаршрутизаторамиR1иR2вVLAN12настройтеобменмаршрутнымианонсамипопротоколуOSPFв соответствии сПолитикойвобластиИТ.R1 иR2 должныобмениватьсяпрефиксамисетей
ТехническийдепартаментWSR 9
своихинтерфейсовLoopback0.Наинтерфейсах,соответствующихVLAN10,20и101протоколOSPFдолженбытьвыключен.
15. ЗапуститенаR2сервисIP-телефонии.ВкачестветестовогоаппаратаподключитектелефоннойсетисофтфонCiscoIPCommunicator,дистрибутивкоторогоестьввашемкомплектеПО.Софтфондолжензарегистрироватьсяиполучитьномер10001.
Послетогокакзакончитеснашейсетью,переходитексетибанка«МикрошотБэнк»,гдевасожидаетмногосюрпризов.БанкпредпочиталнеиметьсобственнойИТ-инфраструктуры,аарендоватьуоператора«Босс-Телеком» вычислительные мощности и каналы связи. Поэтому в офисе банка расположены почтиисключительнорабочиеместасотрудников,авсесервисыразмещенынаплощадкеоператора.Операторнесетполнуюответственностьзанастройкуикорректнуюработусетевойинфраструктурыбанка.Поэтомуувас нет доступа к граничномумаршрутизатору сети «Микрошот Бэнк», но вамизвестныего настройкиисхемаподключения.
Чтобы вы могли спокойно выполнять свои работы, сегодня банковские процессы в «Микрошот Бэнк»переведенынарезервнуюплощадку.Однаковконцеднябудетпроизведенообратноепереключение.Кэтомумоментувыдолжнызакончитьсвоючастьработ.Такжеяожидаю,чтовконцеднявашимисиламибудетустановленавнутренняятелефоннаясвязьпозащищенномуканалусбанком«МикрошотБэнк».
Граничныймаршрутизаторофиса«МикрошотБэнк»уженастроенвашимипартнерамииз«Босс-телекома»подтезадачи,которыевампредстоитрешить.Егоконфигурацияувасесть(Приложение9),новноситьвнееизменениявынеможете,посколькуэтотребуетдлительногосогласованияивремени,которогоуваснет.
16. Обеспечьте подключение сети корпорации «ЦИС и КоФинанс» к VPN-сегменту оператора «Босс-телеком»сучетомТехническихусловий.ТерминируйтевыданныйоператоромPVCнароутереR2,используянастройки,соответствующиепараметрамТУ.
17. Установите в сети «Микрошот Бэнк» оборудование, которое вы запланировали использовать, иподключитееговсоответствиисутвержденнойтаблицейсоединений.
18. Настройте параметры IP на VPN-шлюзе в соответствии с выданными техническими условиямиоператора и утвержденной схемой сетевого уровня. Настраивать какие-либо функции сетевойбезопасностинаVPN-шлюзенетребуется(хотя,конечно,невозбраняется),онбудетиспользоватьсякакобычныймаршрутизатор.
Предварительноеобследованиевыявилоещеоднупроблему.Всетибанка«МикрошотБэнк»используютсяадресаиздиапазона10.0.0.0/16,которыйзарезервировандлясетинашейкорпорации.СерверWWWимеетадрес,который,ксчастью,неиспользуетсявнашейсети,новсеравно–Политикатребует,чтобыпрефикс10.0.0.0/16анонсировалсятолькоизсети«ЦИС&КоФинанс»,аизменятьадресациюв«МикрошотБэнк»мысейчаснеможем–никакоговременинехватит.
19. Между сетями «Микрошот Бэнк» и головным офисом корпорации должна быть настроенамаршрутизация по протоколу OSPF, соответствующая техническим условиям оператора.Маршрутизатор R2 должен передавать в сеть «Микрошот Бэнк» только анонсы агрегированногопрефикса10.0.0.0/16.Граничныймаршрутизаторсети«МикрошотБэнк»уженастроенпартнерамииз«Босс-телекома»иготовкподключениювOSPF-доменчерезVLAN100.
20. Настройте наVPN-шлюзе NAT-трансляцию так, чтобы серверWWW банка «Микрошот Бэнк» былдоступенизсетинашейкорпорациипоадресу10.1.0.100.Менятьнастройкинасерверезапрещено,номожноиспользоватьстатическуюмаршрутизациюнаVPN-шлюзе.
21. Между маршрутизатором R2 и VPN-шлюзом банка «Микрошот Бэнк» должен быть настроенстатический IPSec-туннель. Параметры защиты данных описаны в Политике информационной
ТехническийдепартаментWSR 10
безопасности корпорации. Этот туннель должен защищать весь трафик системы IP-телефонии.Прочийтрафикзащищатьнеобязательно.
Последнийшаг:нужнообеспечитьработуIP-телефонии.Необходимоеоборудованиеувасимеется,ноегонужновключитьинастроить.
22. Обеспечьте подключение нового оборудования в соответствии с утвержденной таблицейсоединений и подключений. Настройте VPN-шлюз так, чтобы все необходимые параметры дляработытелефониивыдавалисьустройствудинамическипопротоколуDHCP.
23. Настройте маршрутизатор R2 так, чтобы новое устройство могло зарегистрироваться в системетелефониисномером10101.Убедитесь,чтозвонокнаномер10001проходитвобестороныиобестороныслышатдругдруга.
24. Настройтекнопкувторойлиниителефонатак,чтобыпринажатиинанеепроисходилавтоматическийвызовномера10001.
Сруководством«ПинВинФайненшл»согласованократковременноеотключениесетибанкаотИнтернетавконцерабочегодня.Оначалеработ(т.е.оботключении)выдолжныуведомитьменя.Увасбудеттолькодвадцатьминут,чтобывыполнитьпереключениеипроверитьрезультат,поэтомувседействиявыдолжныспланировать заранее. Имейте в виду, что скоро в этот офис переедет несколько сотрудников вашейкорпорации,такчтоимпонадобитсятелефоннаясвязь.
25. Изучите конфигурацию сервера, который выполняет функцию маршрутизатора в офисе «ПинВинФайненшл».Выполнитевсенеобходимыенастройкидлятого,чтобыподключитьегокVPN-сегменту,предоставляемому«БОСС-Телекомом»,всоответствиисТехническимиУсловиями.Маршрутизатордолжен установить соединение по протоколу OSPF и проанонсировать в сеть оператораиспользуемыепрефиксыиздиапазона10.2.0.0/16.НастраиватьIPSec-туннельсцентральнымофисомсейчас не требуется, это вы выполните в другой раз. Зато надо добиться, чтобы в будущем приподключении дополнительных телефонных аппаратов в сеть офиса от нее не потребовалосьотключатькакое-либооборудование.
ТехническийдепартаментWSR 11
День2.РаботасОСMicrosoftWindows
Доброеутро,коллега.Судяповсему,первыйденьнабоевомдежурствевыдалсянелегким.Хотянастройкасетевогооборудованияужепозади,радостимало:работывпередивсеещенепочатыйкрай.Сетьслужитлишьбазойдляпредоставлениясервисовпользователям,исэтимисервисамивампредстоитповозиться.
Ключевыми задачами, решаемыми любой инфраструктурой, является контролируемый доступпользователейкданным.Яужеуспелнемногопроанализироватьинфраструктурудвухновыхкомпаний,азаодно заново взглянуть на свою собственную. Даже беглый взгляд обнаруживает множество проблем,требующихсрочногорешения.
Вотчтомнеизвестноовсехтрехинфраструктурах:
1)Центральныйофискомпании«ЦИСиКоФинанс»
В офисе функционирует домен Active Directory (AD) под названием kiska.ru. Операционная система наединственномконтроллередомена (КД) сименемNew-DC–WindowsServer2012R2.Когда-товдоменеприсутствоваливторойконтроллердоменаCool-DC,новодинпрекрасныйденьэтотКДполностьювышелиз строя из-за внезапного сбояжесткого диска с утратой как пользовательских файлов, так и локальнойкопии баз AD. Выводы были сделаны, и теперь пользовательские файлы, хранящиеся на контроллередомена,регулярносохраняютсяспомощьюсистемырезервногокопирования(докоторойвампокаделанет–ибезтогопроблемхватает).
2)Компания«МикрошотБэнк»
В офисе отсутствует домен AD. Пользователи хранят файлы на сервере с именем FS под управлениемWindows Server 2012 R2 (папкаd:\files с сетевым именем \\FS\files), но доступ к нему осуществляется спомощьюоднойлокальнозаведеннойнасервереучетнойзаписипользователясименемServUsrипаролем12345,используемойвсемипользователями.Индивидуальныйконтрольдоступапользователейкданнымисервисам отсутствует в принципе. DNS-имена на станциях разрешаются через DNS-серверы в Интернете.Соответствие имени сервера FS его IP-адресу прописано в файле hosts на каждом ПК. Резервные копииданных на сервере не делаются. Всего в офисе работает 50 пользователей, каждый входит на свойперсональныйкомпьютербезпаролясреквизитамиучетнойзаписиUserсадминистративнымиправами.Навсехкомпьютерахиспользуетсястатическаяадресация.ОдинизкомпьютеровподуправлениемWindows8.1сейчаснеиспользуетсяидоступенвамдляэкспериментов.
3)Компания«ПинВинФайненшл»
Здесь все не так плохо, как в «Микрошот Бэнк». В офисе функционирует домен Active Directory подназванием pinwin.ru. Операционная система на единственном КД с именем Server01 установленаустаревшая–WindowsServer2008R2.Данныезащищаютсянормальноработающейсистемойрезервногокопирования. В домене обнаружился еще один серверGoodSRV на базеWindows Server 2012 R2, ранеепредназначавшийсянарольновогоКД,носистемныйадминистраторбанкатакинедовелделодоконца.СейчаснаGoodSRVнеподнятониоднойроли,исейчасоннезанимаетсяобслуживаниемпользователей.ВцеломсостояниеИТ-инфраструктуры–среднейтяжести.Главнаяпроблемвтом,чтоздесьработаеточеньмного устаревших компьютеров, с трудом справляющихся или не справляющихся вообще с запускомсовременныхприложений.
ТехническийдепартаментWSR 12
Внимательно посмотрев на сервернуюинфраструктуру всех трех офисов, я понял, что обменданнымиидоступкнимпринынешнихнастройкахкрайнезатруднен.Сучетомбольшогоколичествапользователейвкаждомофисепередвами,коллега,встаетбольшаязадача:необходимомодифицироватьсуществующиедоменыActiveDirectory, обеспечить резервное копированиефайлов в офисе «Микрошот Бэнк», а такжекаким-тообразомсправитьсяснехваткойпроизводительностирабочихстанций.
Сегодняуменябольшоесовещаниесдиректоромнашегобанка,котороезатянетсянавесьдень,апотомуянемогузаранееоцениватьвашипланы.Однакоянамеренпроконтролироватьвашидействияпостфактум,апотомувыобязаныфиксироватьВСЕсвоидействия:изменениесистемныхнастроекиконфигурационныхфайлов, тексты скриптов, выполненные процедуры (кратко, если выполняется стандартный мастер состандартными настройками) и так далее в журнале выполненных работ. Формужурнала для сервернойинфраструктурывынайдетевприложении2.Поокончанииработжурналдолженбытьпереданмне.Есликакое-товашедействиенеописановжурнале,будетсложнопонять,какиеизмененияпроизошливсистеме,ивселисделановерно,такчтопостарайтесьвестидетальныйучетсвоихработ.
Итак, первая большая задача, стоящая перед вами – справиться с проблемами аутентификации в офисе«МикрошотБэнк».Полагаю,дляэтоговамследуетсделатьлокальныйфайл-сервервторымконтроллеромдоменаkiska.local.Вамнеобходимовыполнитьследующиепредварительныедействия:
1. Запустив программу диагностики наNew-DC, я обнаружил множественные ошибки, связанные срепликацией AD на серверCool-DC. Ваша первая задача – ликвидировать их и добиться полногоздоровья домена kiska.ru. Вы также должны убрать все следы Cool-DC из зоны DNS. Программадиагностикинедолжнавыдаватьсообщенийобошибкахиважныхпредупреждений.Сохранитевжурналеработвыдачудиагностическойпрограммывотремонтированномдомене.
2. Я обнаружил, что при существующей настройке прямой зоны kiska.ru ее функционирование враспределенной сети не будет оптимальным. Вам необходимо оптимизировать настройки зонытаким образом, чтобы избавиться от разделения DNS-серверов на первичные и вторичные ипозволитьрабочимстанциямрегистрироватьсвоиадресаналюбомDNS-серверевлесуAD.
3. Вамтакженеобходимодобиться,чтобыDNS-сервермогразрешатьвименаIP-адресакомпьютеровкакв главномофисе, такивофисе«МикрошотБэнк».Какинапредыдущемшаге,модификациясвязеймеждуименамииадресамидолжнаосуществлятьсяналюбомDNS-серверевлесу.
Завершивподготовкудоменаkiska.ru,выдолжнысоздатьновыйконтроллердомена.
4. ВведитесерверFSвофисе«МикрошотБэнк»вдоменkiska.ru.
5. Повысьтерольэтогосерверадоконтроллерадомена.
6. Настройте инфраструктуру AD таким образом, чтобы рабочие станции в каждом офисе в первуюочередь обращались к контроллеру домена в своем офисе и только при его недоступности – кконтроллерувдругомофисе.
7. ДополнительнонастройтеновыйКДFSтакимобразом,чтобыминимизироватьслужебныйтрафикADмеждуофисамиприпоискеинформации,относящейсякпользователям.
8. Протестируйте работоспособность AD с помощью стандартной утилиты и поместите в журналвыполненныхработеевыводвкачестведоказательства,чтосерьезныхпроблемнеимеется.
ТехническийдепартаментWSR 13
9. Для отработки процедуры перед ее применением ко всем станциям в офисе «Микрошот Бэнк»введитевдоменрабочуюстанциювегоофисе.ЛиквидируйтенанейразрешениеименисервераFSчерезфайлhostsинастройтеотказоустойчивоеразрешениеименнастанциях(сучетомпункта6).
Послезавершениясозданияновогоконтроллеравамнеобходимоупроститьадминистрированиерабочихстанций.
10. РазвернитенаКДFSслужбуDHCPинастройтееедлявыдачиадресовизподсетирабочихстанций.Требуемаянастройкароутераужевыполнена,вамееделатьнетребуется.
11. Переведите тестовую рабочую станцию в режим получения IP-адреса по протоколу DHCP ивыполните на DHCP-сервере настройки, позволяющие ей в дальнейшем всегда получать тот жесамыйадрес.
ВсепользователиработаютнасвоихПКсадминистративнымиправами,из-зачегоуслужбытехподдержкипостоянно возникают проблемы с вирусами и несанкционированными приложениями (торренты, игры,мессенджерыит.п.)Крометого,превращениефайл-серверавконтроллердоменаприведетктому,чтовселокальныеучетныезаписинанемпропадут,иупользователейбольшенебудетдоступакданнымнанем.Вамнеобходимозавестидлянихдоменныеучетныезаписи,азаодноиотобратьунихадминистративныеправанаПК.Ксчастью,системныйадминистраторбывшего«МикрошотБэнк»когда-тодумалотомжеиуспелподготовитьCSV-файл,содержащийновыелогиныипаролипользователей.ТакжеменябеспокоитотсутствиерезервныхкопийфайловнасервереFS.
Вамнеобходимо:
12. Сегодняжезавестивсеучетныезаписипользователей.Учтите,чтоуваснетвременивводитьданныевручную, по-отдельности для каждого пользователя, поэтому вы должны завести их с помощьюскрипта.ВсеучетныезаписидолжныбытьразмещенывконтейнереMicroOUдоменаKiska.ruибытьактивными. Каждая учетная запись должна иметь пароль, указанный в CSV-файле. Скопируйте вжурналтекстскрипта.
13. СоздатьгруппуMicroUsersипредоставитьеечленамправаназаписьвдиректорию\\fs\files.Внестивсесозданныеучетныезаписивэтугруппу.Приэтомдоступвдиректориюd:\files\admins(ноневдругиеподдиректорииd:\files)должныиметьполныйдоступтолькочленыгруппыDomainAdminsилокальнаяоперационнаясистема,всемостальнымонанедолжнабытьдоступнадаженапросмотр.
14. Создать в AD группу MicroAdmins, пользователи в которой автоматически получали быадминистративные права на все компьютеры в офисе «Микрошот Бэнк» за исключениемконтроллеровдомена.
15. Обеспечить автоматическую двустороннюю репликацию файлов между директорией d:\files насервереFSидиректориейd:\files\microshotнасервереNew-DC.
16. ОбеспечитьавтоматическоеподключениесетевогодискаK:кфайловойдиректории\\fs\flesнавсехПК в офисе «Микрошот Бэнк», причем таким способом, чтобы пользователи автоматическипереключалисьнадиректориюd:\files\microshotнасервереNew-DCпринедоступностисервераFS.ЕслисерверFSдоступен,пользователивсегдадолжныподключатьсяименнокнему.
ТехническийдепартаментWSR 14
После завершения работ в «Микрошот Бэнк» займитесь офисом компании «ПинВин Файненшл». Из-заимеющегоместоцейтнотапокачтооставьтесуществующийтамдоменpinwin.ruвнеизменномсостоянии.Однако задачи совместной работы пользователей всех офисов по-прежнему актуальны, и вы неможетепозволить себе заводить лишние учетные записи в обоих доменах. Кроме того, руководство бывшейкомпании сообщило, что у них возникали проблемы с утечкой конфиденциальной информации кконкурирующейфирме «Злоботрясов и партнеры».Однако так и не удалось установить, явилось ли онаследствием взлома учетных записей пользователей посторонними злоумышленниками или жедобровольнойпередачисведенийподкупленнымисотрудниками«ПинВин».
Поэтомувамнеобходимо:
17. СоздатьвдоменеPinwin.ru группуEnhancedSecurityидобиться,чтобыкеечленамприменялисьгранулярнаяполитикаусиленнойбезопасности,вчастностиопцияповышеннойсложностипаролей.Этаполитиканедолжнаприменятьсякпользователям,невходящимвданнуюгруппу.
18. Блокироватьдоступковсемвеб-сайтамкомпании«Злоботрясовипартнеры»вдоменеzlobny.yh,заисключением сайта www.zlobny.yh, где сотрудники бывшей «ПинВин Файненшл» самиподсматриваютинформациюоконкуренте.Ксожалению,«Злоботрясов»всевремяменяетIP-адресасайтов(кромесайтаwww,имеющегопостоянныйIP-адрес20.10.0.100),такчтоблокировкаможетбытьвыполненатолькопоимени.БлокировкадолжнабытьвыполненацентрализованнонаDNS-сервере,индивидуальныенастройкиПКвыполнятьсянедолжны.
19. НастроитьдвусторонниедоверительныеотношениямеждудоменамиKiska.ruиPinwin.ru.ПриэтомколичестворучныхмодификацийнаDNS-серверахвобоихдоменахдолжнобытьминимизировано,новые серверы DNS, если таковые появятся, должны получать соответствующие настройкиавтоматически.
20. СоздатьвдоменеPinwin.ruгруппуPinwinMicroAccessипредоставитьейправаначтениеизаписьвдиректорииd:\files\pinwinнасервереFSвофисе«МикрошотБэнк».НастроитьнавсехПКвофисе«ПинВинФайненшл»автоматическоеподключениеэтойдиректориикакдискаT:
Нуиподзанавесещеоднаплохаяновость:отдохнутьнеудастся.Руководствонашейкорпорациинастаивает,чтодлявсехсотрудников,втомчислевбывшейкомпании«ПинвинФайненшл»,обязательноиспользованиепрограммногообеспеченияWordpadдляобработкидокументов.Ксожалению,унекоторыхсотрудников«ПинВин» настолько слабыеПК, что на них толкомне работает даже эта простая программа.Посколькузатраты на санацию конкурентов и без того очень высоки, закупка новых ПК в ближайшее время непланируется, но указание начальства должно быть выполнено. Сервер GoodSRV в офисе «ПинВина»развернут,нонеиспользуется,иприэтомобладаетнеплохимиаппаратнымихарактеристиками.Однакоприегоработенаблюдаютсястранныепроблемы,подробноисследоватькоторыеуменянебыловремени.
Вамнеобходимо:
21. Выяснитьиликвидироватьпричину,покоторойсерверGoodSrvхаотичноинепредсказуемотеряетдоступкдоменуPinwin.ru.
22. Превратить сервер GoodSRV в терминальный сервер с доступом всех пользователей домена копубликованномуприложениюWordpad.Закупкатерминальныхлицензийбудетвыполненапозже,дотехпорсервердолженфункционироватьвпробномрежиме.
23. Пользователи должны получать доступ к приложениям, опубликованным на сервере, через веб-интерфейс.Правильныйадресдлядоступаквеб-интерфейсу–https://goodsrv.pinwinm.ru/RDWeb,ноубольшинствапользователейвозникаютпроблемысегозапоминанием.Выдолжныизменить
ТехническийдепартаментWSR 15
настройки IIS так, чтобы при доступе пользователей к http://goodsrv.pinwin.ru иhttps://goodsrv.pinwin.ruониавтоматическиперенаправлялисьнаправильныйадрес.
24. Также пользователи должны получать доступ к приложению Wordpad через RDP-файл,размещенный в файловой директории \\GoodSRV\Apps, связанной с локальной директориейсервераc:\apps.RDP-файлдолженбытьсгенерированавтоматически,хотяпринеобходимостивыможете вручную перемещать его между компьютерами и директориями. Пользователи, необладающиеадминистративнымиправами,недолжныиметь возможностимодифицироватьилиудалятьфайлывэтойдиректориинипосети,нилокальноприработенатерминальномсервере,нодолжныиметьвозможностьчитатьеесодержимое.
Преждечемвыначнетепереводитьпользователейна терминальныйрежимработы, хочунапомнитьободнойтипичнойпроблеме.Принебрежнойнастройкепользователямпостоянноприходитсяподтверждать,чтотерминальныйсервер,скоторымониработают,являетсядоверенным.Этосмущаетнекоторыхлюдейнастолько, что они не в состоянии нажать вполне очевидную нужную кнопку и начинают звонить втехподдержку. Проблема связана с тем, что терминальный сервер по умолчанию используетсамосгенерированныйисамоподписанныйSSL-сертификатдляподписикоммуникацийсклиентом.Покупкасертификата у стороннего центра сертификации (ЦС) нам сейчас не по карману, так что придетсяиспользовать свой собственный.При этомяпланируювобозримомбудущемполностьювывестидоменpinwin.ruизэксплуатацииинехочуразвертыватьцентрсертификациивнем.
Вамследует:
25. Развернуть доменный центр сертификации на контроллере домена New-DC в главном офисе.Названиецентрасертификациидолжнобытьследующим:Kiska-Main-CA.
26. СоздатьиопубликоватьнанемнеобходимыйшаблонSSL-сертификата,назвавегоTermServSSL.Срокдействиясертификатадолженсоставлять5лет.
27. СгенерироватьпоэтомушаблонуSSL-сертификатдлясервераgoodsrv.pinwin.ruиэкспортироватьеговзащищенныйпаролемфайл (файлвместеспаролемдолженбытьпереданмневдополнениекобычнойзаписивжурналеопераций).
28. Установитьэтотсертификатнасервереgoodsrv.pinwin.ruипривязатьегокакквеб-сайтуIIS,такиковсемнеобходимымкомпонентамтерминальнойинфраструктуры(неменеетрехкомпонентов).
29. Удостовериться, что данный сертификат воспринимается как доверенный на всех компьютерах вдомене pinwin.ru. Необходимые модификации должны быть выполнены централизованно.Модификацияиндивидуальныхнастроекрабочихстанцийпроводитьсянедолжна–уваснаэтонетвремени.
Послезавершенияработубедитесь,чтоврезультатевашихдействийвходнавеб-интерфейстерминальногосервера через веб-браузер, а также запуск RDP-файла не приводят к появлению вопросов, связанных снедовереннымSSL-сертификатом,иначеполучится,чтовызрятратиливремя.
Наэтомвсе.Вконцедняубедитесьещераз,чтовызадокументироваливсесвоидействияиоставьтенасвоемрабочемместежурналвыполненныхработивсевспомогательныефайлы.
ТехническийдепартаментWSR 16
День3.РаботасОСLinuxCentOS
Исновадоброеутро,коллега.Мнеискренневасжаль,новынужденсообщить,чтосамоеинтересноеещевпереди.Сегоднявампредстоитсделатьзавершающийшагвслияниитрехофисов.Дляэтогонеобходиморазобратьсясоставшейсяинформационнойинфраструктуройкомпании«ПинВинФайнэншл».
Вчерапослесовещанияяуспелсъездитьв«ПинВин»ивыяснил,чтоадминистратор«ПинВинФайненшл»часто использовал свободно распространяемое программное обеспечение, что, безусловно, былоследствиемполитикибанка.Настроенныевамиконтроллердоменаитерминальныйсервер–единственныеwindows-серверывинфраструктуре«ПинВин».Однакокроменихтамнашлисьещемаршрутизатор,которыйвыпаруднейназаднастраивали,идвавиртуальныхсервераподуправлениемLinux–настраиватьихтакжепредстоит вам. Ну, и IP-телефония тоже за вами (я ведь упоминал на собеседовании, что нам нужен непростойсистемныйадминистратор,амногорукийШива,нетакли?)
По обрывочной информации известно, что один из Линукс-серверов является веб-сервером, а другойиспользовался как тестовая машина с типовой пользовательской конфигурацией. Так же известно, что кконсолямсерверовобычноможнополучитьдоступсправамисуперпользователяиспользуяпароль“toor”.
Первыйшагввашейработе–чистокосметический:
1. Насхемахсети«ПинВинФайненшл»,которыеимеютсяввашемраспоряжении,исправьтеименатак,чтобыонисоответствовалиреальнымименамсерверов.
Таккакбольшоеколичествосервисовтеперьпредоставляетсяизцентральногоофисанашейкомпании,вамвпервуюочередьнеобходимоналадитьвнутреннююсвязьмеждуИТ-инфраструктурами:
2. ОрганизуйтеотдельнуюВЛВСсномером10длятрафикаIP-телефонииипоместитевнегоустройство,которое вам согласовали для использования в качестве IP-телефона. Данное устройство должнозарегистрироватьсявсистеметелефониикорпорациисномером10201.
3. Не забывайте о том, что при работе с голосовым трафиком вам необходимо соответствоватьтребованиям Политики вашей корпорации в области информационных технологий и защитыинформации.
Во времямоего краткого визитаодиниз сотрудников«ПинВинФайненшл» спросил: «Когда сновабудетдоступен удаленный доступ в офис?»Ну, по крайнеймере, теперьмы знаем, что такой сервис был тамреализован.Темболее,чтосотрудникам«ЦИСиКоФинанс»возможностьудаленноработатьсдокументаминафайловом сервере будет крайне полезной при проведении процедуры санации. В кабинете бывшегосистемногоадминистратораяобнаружилираспечаткистатьиссайтаХабрахабрспримеромконфигурациисервисаOpenVPN.Скореевсего,именноэтотпакетиспользовалсядляпредоставленияудаленногодоступа.
Сделайтеследующее:
4. На сервере, выполняющем функцию маршрутизатора, изучите существующую конфигурациюOpenVPN.Устранитенеисправностивработеданногосервиса.
5. Длявашегожеудобстваиудобствавашихсотрудниковприудаленномподключениипользователидолжныполучатьдоступклокальнымсетямвсехтрехофисов.
6. ПроверьтеработуOpenVPNсвеб-серверавофисе«Микрошот».
ТехническийдепартаментWSR 17
Тот же самый сотрудник «ПинВин» оказался весьма назойливым. Он привязался ко мне со следующимвопросом:«Яобычнохожунаработусосвоимноутбуком.Тутякупилновый,принесего,подключилсетевойкабель,аИнтернетанет.Подключаюстарый–Интернетработает».Яуделилнесколькоминут,чтобыпонятьпроблему поближе, и обнаружил, что на старом ноутбуке настроен статический IP-адрес. Я настроилстатический адрес на новом ноутбуке, и все заработало нормально. Однако попытка автоматическогополученияIP-адресанесработала.
Нужноразобратьсясэтойпроблемойнемедленно.
7. НастройтеавтоматическуювыдачуIP-адресоввлокальнойподсетиофиса.Исключитеиздиапазонараздачиадреса,присвоенныесерверамимаршрутизатору.
Далее вам следует разобраться с веб-сервером. После разговора с местными сотрудниками мне сталоизвестно,чтонанемработаетИнтернет-банкинг.Изучивповерхностноегоконфигурацию,язаметил,чтоданныйсерверимеетпрямойвыходвИнтернет,минуямаршрутизатор.Соднойстороны,этоправильно,посколькувеб-сервервосновномипосещаетсячерезИнтернет.Однакоэтообстоятельствоимоглостатьглавной причиной утечки конфиденциальной информации к конкурирующей фирме «Злоботрясов ипартнеры».
Поэтомувцеляхповышениябезопасностивамнеобходимо:
8. Оставитьнавеб-сервереврабочемсостоянииединственныйсетевойинтерфейс,подключенныйвVLAN20,носохранитьдоступкнемуизИнтернетапопрежнемуIP-адресу.
9. Убедиться, что из Интернета к данному серверу можно обращаться только с использованиемпротоколовHTTPиHTTPS.
10. Настроитьаутентификациюпользователейнавеб-сервере такимобразом,чтобыона требоваласьтолькопридоступеизИнтернета,нонепривходенасайтизлокальныхсетейостальныхофисов.
После завершения работ необходимо убедиться, что пользователи могут получить к серверу доступ сиспользованиемдоменногоимени.Кстати,язабылзаписать,какоеимяимелвеб-серверикакойDNSсерверотвечалзаегоразрешение.РазберитесьсконфигурациейDNSвданномофисеи,разужвызанялисьэтимвопросом,следуетреализоватьправильнуюсхемудоступаковсемключевымсерверампоимени.
Удостоверьтесь,чтовыполняютсяследующиеусловия:
11. Доменные имена маршрутизатора и веб-сервера должны разрешаться во внешний адрес длядоступаизИнтернета.
12. Доменныеименадлявсехсервероввданномофисе(включаямаршрутизаторивеб-сервер)должныразрешатьсявовнутреннийадресприобращенииизвнутреннейсети.
13. Сайтнавеб-сервередолженбытьдоступенпоинмениpinwin.ru.14. Используя нашшаблон плана производства работ, составьте план, отражающий, каким серверам
какиеименабудутприсвоены,накакомсерверебудетрасполагатьсяDNS-сервисикакиересурсыокажутсянедоступнымивпериодпроведенияработ.
15. Приступитьквыполнениюэтойчастиработвыможететолькопослеполученияотменяодобрениявашегоплана.
Движемсядальше.Проститеменя за трюизм, но безопасность должнабыть безопасной. Так как у нас вцентральномофисетеперьфункционируетцентрсертификации,следуетвоспользоватьсяэтим.
ТехническийдепартаментWSR 18
16. На доменном центре сертификации Kiska-Main-CA сгенерируйте сертификат для веб-сервера«ПинВинФайненшл»ииспользуйтеегодлядоступаксайтуИнтернет-банкингапопротоколуHTTPS.
17. Убедитесь в том, что при обращении к сайту Интернет-банкинга по протоколу HTTP происходитавтоматическое перенаправление веб-броузерана тотже адрес, но с использованиемпротоколаHTTPS.
18. Убедитесь,чтопарольныеполитикинавеб-серверахсоответствуютПолитикекорпорации,и,кстати,проверьтевеб-серверв«МикрошотБэнк»–авдругитамнадоужесточитьполитику?
Нувотивсе…Спасибозаработу,теперьможетеотдохнуть!Хотя…навернякаведьзавтрабудеткучазвонковотпользователей,укоторыхчего-тонеработает.Готовьтесь–ктокакневыбудетимпомогать!
ТехническийдепартаментWSR 19
Приложение 1. Политика корпорации «ЦИС и Ко Финанс» в областиинформационныхтехнологийизащитыинформации
1. Вся информация, хранимая, передаваемая и обрабатываемая с использованием вычислительныхсредств корпорации «ЦИС и Ко Финанс», является собственностью корпорации. Руководствокомпанииимеетнеограниченныйдоступкинформации.Доступпрочихсотрудниковкинформацииопределяетсядействующимирегламентамиираспоряжениямируководства.
2. Вкорпоративнойсетииспользуетсядиапазонадресов10.0.0.0/16.Всеустройствавсети,еслиэтонеуказаноявно,должныиметьадресаизуказанногодиапазона.Каждоеподразделениедолжноиметьсобственный диапазон адресов с маской 255.255.255.0. Транзитные сети (предназначенные дляобеспечениясвязимеждумаршрутизаторами)должныиметьадресаиздиапазона10.0.255.128/25и максимальную длину маски, достаточную для обеспечения связи. Использование маски /31категорически запрещено,использованиемаски /32допускается толькодляадресации Loopback-интерфейсов.
3. Всемаршрутизаторы должны иметь интерфейс Loopback 0 с адресом в формате 10.0.255.z/32 издиапазона10.0.255.0/25.Выделениеадресовпроизводитсяповозрастанию.
4. Все сетевые устройства должны синхронизировать свои часы с часами контроллера домена.Журнальнаяинформацияссетевыхустройствдолжнапередаватьсянаспециализированныйsyslog-сервер. Перед проведением работ, связанных с изменением конфигураций, критическаяинформациядолжнабытьсохраненанаTFTP-сервер.Поокончанииработфинальныеконфигурациитакжедолжнысохраняться.
5. Для подключения к сети Интернет используется диапазон адресов 20.15.0.0/24, выделенныйкорпорацииевропейскимрегистромRIPEизакрепленныйзаномеромавтономнойсистемыAS2015.
6. ГраничныемаршрутизаторыAS2015должныприниматьизсетиИнтернеттолькоиисключительномаршрутпоумолчанию(префикс0.0.0.0/0),прочиепрефиксыдолжныфильтроваться.
7. Для организации связи между подразделениями корпорации используются выделенные каналысвязиисервисыL2/L3VPN.ИспользованиеИнтернетаииныхпубличныхсетейдляорганизациисвязимеждуподразделениямикатегорическизапрещено.
8. ТелефоннаясвязьвнутрикорпорацииосуществляетсяпотехнологиямIP-телефонии.Звонкимеждуфилиаламиицентральнымофисомвобязательномпорядкедолжнышифроваться.
9. Шифрованиетелефонныхзвонковмеждуфилиалами,атакжешифрованиевсегопрочеготрафиканеобязательно,нодопускается.
10. При использовании шифрования трафика применяются IPSec-туннели со следующимихарактеристиками:
• Аутентификация–пообщемуключу• Шифрование–3DESилиболеестойкое• Контрольцелостности–SHA1илиболеестойкий
11. Функции криптошлюза в головном офисе корпорации должны быть вынесены на отдельныймаршрутизатор. Совмещениефункций граничногомаршрутизатора сетиИнтернети криптошлюзакатегорическизапрещено.
12. ДопускаетсясовмещениефункцийIP-телефонногошлюзаикриптошлюзанаодномустройстве.13. ВнутрисетикорпорациииспользуетсяпротоколдинамическоймаршрутизацииOSPF.Сетьголовного
офисавключаетсявBackboneArea(Area0).14. Удаленный доступ к интерфейсам управления разрешается только в случае использования
защищенных протоколов передачи данных, поддерживающих как аутентификацию, так ишифрованиеданных.
15. Доступ к корпоративным ресурсам разрешен только с использованием рабочих станций, гдепредварительновыполненаавторизациясиспользованиемцентрализованнойслужбыкаталогов.
ТехническийдепартаментWSR 20
16. Для всех используемых веб-серверов на платформе ОС Linux должна соблюдаться следующаяпарольнаяполитика:
• пароль должен состоять из символов принадлежащих как минимум трем множествам(например,верхнийинижнийрегистр,цифры);
• длинапаролянедолжнабытьменьше8символов;• рядовой пользователь не может создать пароль, противоречащий заданным правилам;
администраторможет,нодолженполучатьпредупреждение;• пользователи не должны входить в системную консоль как администраторы, но должны
иметьвозможностьпереключатьсявконтекстсуперпользователя,используякомандуsu;
Технический департаментWSR21
Приложение2.Типовыеформызаявокижурналов
Утверждаю:
Зам.директорапоИТ
______________ЦискинС.С.
«____»_________2015г.
Заявканамодернизациюсетевойинфраструктуры
№п.п.
Наименованиеработы Длительностьработ Недоступныесервисы
1.
2.
3.
4.
5.
6.
7.
8.
*Количествопунктовможетбытьувеличенопринеобходимости
Технический департаментWSR22
Журналпроведенияработвсервернойинфраструктуре
№задания Описаниеработиизмененийнастроек
1.
2.
3.
4.
5.
6.
7.
8.
*Количествопунктовможетбытьувеличенопринеобходимости
ТехническийдепартаментWSR 23
Приложение3.Схемасоединенийиподключений(физическийуровень)
Технический департаментWSR24
Приложение4.Таблицасоединенийиподключений
ТаблицасоединенийиподключенийУтверждаю
Зам.директорапоИТ__________ЦискинС.С.
SW1 Устройство Порт SW2 Устройство Порт R1 Устройство Порт R2 Устройство Порт Устройство Порт Устройство ПортF0/1 R1 F0/0 F0/1 F0/0 SW1 F0/1 F0/0 SW1 F0/1F0/2 R1 F0/1 F0/2 F0/1 SW1 F0/2 F0/1 SW1 F0/2F0/3 R2 F0/0 F0/3 S0/1/0 BOSS S0/1/0 S0/1/0 R1 S0/1/1F0/4 R2 F0/1 F0/4 S0/1/1 R2 S0/1/0 S2/1F0/5 F0/5F0/6 F0/6F0/7 F0/7F0/8 F0/8F0/9 F0/9F0/10 CIS&KoServerNIC0 F0/10F0/11 F0/11F0/12 F0/12F0/13 F0/13F0/14 F0/14F0/15 F0/15F0/16 F0/16F0/17 F0/17F0/18 F0/18F0/19 F0/19F0/20 VIPPC* NIC0 F0/20 AdminPC NIC0F0/21 F0/21F0/22 SW2 F0/22 F0/22 SW1 F0/22F0/23 SW2 F0/23 F0/23 SW1 F0/23F0/24 SW2 F0/24 F0/24 SW1 F0/24
Корпорация"ЦИСиКоФинанс"
ТехническийдепартаментWSR 25
Приложение5.Схемасоединенийиподключений(канальныйуровень)
ТехническийдепартаментWSR 26
Приложение6.Схемасоединенийиподключений(сетевойуровень)
Технический департаментWSR27
Приложение7.Проектсхемысоединенийиподключений(сетевойуровень)
ТехническийдепартаментWSR 28
Приложение8.Техническиеусловиянаподключение
УТВЕРЖДАЮ
ГенеральныйдиректорОАО«Босс-телеком»
__________________С.Г.Босс
ТЕХНИЧЕСКИЕУСЛОВИЯ
Техническиеусловиядействительнывтечениетрехкалендарныхдней,начинаяс_________.
Условия ПараметрыПрисоединениек сети L3VPNоператора«Босс-телеком»
Адреса:1.Корпорация«ЦИСиКоФинанс»2.Банк«МикрошотБэнк»3.Банк«ПинВинФайненшл»
Физическоеподключение 1.Корпорация«ЦИСиКоФинанс»ИспользоватьсуществующеепоследовательноесоединениекмаршрутизаторуBOSS,портSerial0/1/02.Банк«МикрошотБэнк»Использовать существующее витопарное соединение кмаршрутизаторуBOSS,портFastEthernet0/03.Банк«ПинВинФайненшл»Использовать существующее витопарное соединение кмаршрутизаторуBOSS,портFastEthernet0/1
Канальноеподключение 1.Корпорация«ЦИСиКоФинанс»На интерфейсе Serial 2/0 маршрутизатора BOSS выделитьдополнительныйDLCI с номером123, терминировать его наподинтерфейсетипаточка-точкаSerial0/1/0.1232.Банк«МикрошотБэнк»ВыделитьдополнительныйVLANсномером123,использоватьподинтерфейсFa0/0.1233.Банк«ПинВинФайненшл»ВыделитьдополнительныйVLANсномером123.использоватьподинтерфейсFa0/1.123ОбъединитьперечисленныеподинтерфейсывVRFсименемVPN.ИспользоватьRD65000:123
IP-адресация 1.Корпорация«ЦИСиКоФинанс»Использоватьдиапазон172.16.0.0/302.Банк«МикрошотБэнк»Использоватьдиапазон172.16.1.0/303.Банк«ПинВинФайненшл»Использоватьдиапазон172.16.2.0/30Адрес .2изкаждогодиапазонаназначитьсоответствующемуинтерфейсуроутераBOSS.
Маршрутизация ИспользоватьпротоколOSPF,Area123,типNormal
ТехническийдепартаментWSR 29
Приложение 9. Конфигурация граничного маршрутизатора банка«МикрошотБэнк»
servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsec!hostnameMicroshot!ipcefnoipdomainlookupipdomainnamemicroshot.ru!usernameadminprivilege15secret*****!interfaceLoopback1ipaddress10.1.0.1255.255.255.0ipospfnetworkpoint-to-pointipospf1area123!interfaceFastEthernet0/0descriptionMicroshotBanknoipaddress!interfaceFastEthernet0/0.10descriptionWWWencapsulationdot1q10ipaddress10.0.110.1255.255.255.0!interfaceFastEthernet0/0.20descriptionServersencapsulationdot1q20ipaddress10.1.20.1255.255.255.0ipospf1area123!interfaceFastEthernet0/0.30descriptionUsersencapsulationdot1q30ipaddress10.1.30.1255.255.255.0iphelper-address10.1.20.100ipospf1area123!interfaceFastEthernet0/0.100descriptionReservedforMSBackBoneencapsulationdot1q100ipaddress10.1.100.1255.255.255.0ipospf1area123!routerospf1
КОНФИДЕНЦИАЛЬНОДЛЯСЛУЖЕБНОГОПОЛЬЗОВАНИЯ
УТВЕРЖДАЮГенеральныйдиректорОАО«Босс-телеком»__________________С.Г.Босс
ТехническийдепартаментWSR 30
passive-interfacedefaultnopassive-interfaceFastEthernet0/0.100!