Конкурсное задание - sutkt.ru › documents › WSR › it_setevoe_i... · 2017-02-03 · проводить работы в любое время, но все равно

ТехническийдепартаментWSR 1

ТехническийдепартаментWSR

Москва,16декабря2015

Конкурсноезадание

Компетенция

«Сетевоеисистемноеадминистрирование»

Конкурсноезаданиевключаетвсебяследующиеразделы:

1. Введение2. Формыучастиявконкурсе3. Модулизаданияинеобходимоевремя4. Критерииоценки5. Конкурсноезадание6. Приложения(1-9)

Количествочасовнавыполнениезадания:15ч.

РазработаноэкспертамиWSR:ФерС.В.ЛотошЕ.В.ФучкоМ.М.ГорбачевА.П.ЩербининА.А.ОвсянниковС.В.


Введение

Названиепрофессиональнойкомпетенции:Сетевоеисистемноеадминистрирование.Описаниепрофессиональнойкомпетенции.

Сетевое и системное администрирование требуетшироких познаний в областиинформационных технологий. В связи с быстрым развитием этой области,требованиякадминистраторампостоянновозрастают.

Системныйисетевойадминистратор(инженер)долженуметь:• Разрабатывать и развертывать комплексную информационную

инфраструктуру предприятий, включающую рабочие станции, серверы и сетевоеоборудование,сетевоеоборудование

• Развертыватьосновныесервисы,включаяслужбыкаталогов,резервногокопирования,почтовыеидругиеприкладныесервисы.

• ИспользоватьширокийнабороперационныхсистемисерверногоПО• Эффективно организовывать защищенные соединения сетей

предприятий,доступвИнтернетииныесети• Устанавливать и настраивать устройства беспроводной сети,

коммутаторы,маршрутизаторыисредствазащитыинформации• Организовыватьзащитуинформацииотнесанкционированногодоступа• Разрабатыватьдокументациюинформационнойструктурыпредприятия• Устанавливать, настраивать и отлаживать программные и аппаратные

средстваVoIP• УстанавливатьинастраиватьсетевыесервисынабазепротоколовIPv4и

IPv6• Устанавливать,настраиватьиподдерживатьвиртуальныесреды• Осуществлять поиск и устранение неисправностей в работе

информационныхсистемисетей

ОбластьприменениязаданияКаждыйЭкспертиУчастникобязанознакомитьсясданнымКонкурснымзаданием.Данное задание рекомендовано для подготовки региональных чемпионатов,финаловчемпионатовпофедеральнымокругам,атакжедляподготовкиучастниковкНациональномучемпионатуWSR2016г.


СопроводительнаядокументацияПосколькуданноеКонкурсноезаданиесодержитлишьинформацию,относящуюсяксоответствующей профессиональной компетенции, его необходимо использоватьсовместнососледующимидокументами:

• «WorldSkills Russia», Техническое описание по компетенции Сетевое исистемноеадминистрирование;

• «WorldSkillsRussia»,Правилапроведениячемпионата• Принимающая сторона – Правила техники безопасности и санитарные

нормы.

ФормаучастиявконкурсеИндивидуальныйконкурс.

МодулизаданияинеобходимоевремяМодулиивремясведенывтаблице1Таблица1.

№п/п Наименованиемодуля Рабочее

времяВремяназадание

1 Модуль1:День1.Сетевыетехнологии С109.00-12.00С113.00-15.00

3часа2часа

2 Модуль2:День2.РаботасОСMicrosoftWindows С109.00-12.00С113.00-15.00

3часа2часа

3 Модуль3:День3.РаботасОСLinuxCentOS С109.00-12.00С113.00-15.00

3часа2часа

КритерииоценкиВ данном разделе определены критерии оценки и количество начисляемых

баллов (субъективные и объективные) таблица 2. Общее количество балловзадания/модуляповсемкритериямоценкисоставляет100.

Таблица2.Раздел Критерий Оценки

Субъективная(врежиме

судейства)

Объективная Общая

А Модуль1:День1.Сетевыетехнологии

3

31

34

В Модуль2:День2.РаботасОСMicrosoftWindows

0

33

33


С Модуль3:День3.РаботасОСLinuxCentOS

0 33 33

Итого= 0 100 100

Субъективная оценка относится к выполнению участником задания, связанного сведениемтехническойдокументацииипланированиемработ.Субъективнаяоценкавыполняется в режиме судейства (Judgment), где судьи выставляют свои оценкиисходяизследующихсоображений:

0-нечегооценивать.Документотсутствуетилинеявляетсяреализуемой(содержитгрубыеошибки).

1-Документнеконкретен,можеттрактоватьсяразличнымиспособами,допускаетразныевариантыреализации.

2-Документоднозначениреализуем,носодержитнедочеты.

3-Всевыполненоидеально.


Конкурсноезадание

Общаяинформация

Позвольте представиться, мой новый коллега: я начальник ИТ-департамента успешной финансовойкорпорации «ЦИС и Ко Финанс», куда вы только что устроились на должность главного системногоадминистратора. Благодаря соблюдению правил регуляторов и собственным строгим внутреннимправилам,вкризисноевремянашакомпаниясохраняетстабильность,очемсвидетельствуетвашанемалаязарплата. К сожалению, ваш коллега, создававший ИТ-инфраструктуру, находится в длительнойкомандировкеиещенеуспелввестивасвкурсвсехдел.Однакоблагодарявашейвысокойквалификациивамдолжнохватитьитехобрывковинформации,чтоонуспелпередать.

Уменядлявасотличнаяновость:дваконкурирующихбанкаполучиликрупныенеприятности,посколькувелинепродуманнуюирискованнуюфинансовуюполитику.Еслиточнее,решениенасчетнихЦентробанкужепринял:банкипередаютсянамнасанациюивближайшембудущемстанутинтегральнойчастьюнашейфинансовой структуры. Эти банки – «Микрошот Бэнк» и «ПинВин Файненшл» – уже давно являлисьстратегической целью нашей компании, и сейчас «ЦИС и Ко Финанс» имеет уникальную возможностьполучитьконтрольнадактивамииклиентамиэтихбанков.

Для успешной санацииобоих банковнеобходимо какминимумобеспечить слияниеИТ-инфраструктуривзаимодействие на уровне базовых сервисов. К сожалению, оба банка проводили политику тотальнойэкономии и мало вкладывались в развитие и поддержание ИТ, поэтому рассчитывать на готовность ихинфраструктурктакимизменениямнеприходится.

Сейчас каждый час на счету, а потому наше руководство требует, чтобы через три дня все задачи пообъединениюИТ-систембанковбыливыполнены.Общаяситуациятакова:

1. Вы должны строго следовать действующим правилам и регламентам своей компании,зафиксированным в Политике корпорации в области информационных технологий и защитыинформации(Приложение1),далеепотекступросто«Политике».

2. Тотальнаяэкономиянаоборудованиивподключаемыхбанкахисжатыесрокипривеликтому,чтоуваснетбольшогозапасаоборудованиядляпроведенияработ.Все,чтоувасестьврезерве,это:• ОдинмежсетевойэкранCiscoASA5505• ОдинкоммутаторCiscoCatalyst2960• Одинноутбук• ОдинIP-телефонCisco7900Прочееоборудованиевы,конечно,такжеможетеиспользовать,ноимейтеввиду,чтооновходитвсостав действующей инфраструктуры корпорации, и у вас нет права менять ее логику работы. Вкаждом банке необходимо настроить VPN-шлюз и подключение к сети IP-телефонии.МаршрутизаторR2ужеподключенксетикорпорации,нопокаещененастроен,переноситьегокуда-либоещенельзя,решениеобэтомпринятодовольнодавно.

3. Наши партнеры из компании-оператора «Босс-телеком» выполнили предварительную настройкусвоей сети и готовы предоставить каналы связимежду офисами банков. Технические условия наподключениеприведенывПриложении8.

4. Ксожалению,вынужденнаяспешкавподготовкекработампривелактому,чтонекоторыесетевыенастройкибыливыполненынекорректно.Обнаруженныеошибкиисправлены,носложносказать,какиеещенеточностиосталисьнезамеченными.Обращайтенаэтовнимание.Возможно,что-товсуществующихконфигурацияхпридетсяисправлять.


5. Имейте в виду, что все три банка являются действующими, перерывы в обслуживании клиентовдолжны быть минимизированы. Вам известно, что сервисы «ЦИС и Ко» должны быть доступныпостоянно, «Микрошот Бэнк» может по согласованию быстро переключиться на резервнуюплощадку,авбанке«ПинВинФайненшл»работы, связанныеспростоемсетевыхсервисов,могутпроводитьсятолькопоокончаниирабочегодня(т.е.позавершениивсехостальныхработ,которыевы запланировали на этот день). Если вы предполагаете выполнение работ, связанных сотключением каких-либо сервисов, вам необходимо согласовывать время и длительностьпроведенияэтихработиобязательновключатьихвплан.

Мысвашимколлегойуженарисовалиэскизнуюсхемубудущейсети(Приложение7),новнееещенужновнестиряддеталейирешить,какоеоборудованиеикакбудетиспользоваться.


День1.Сетевыетехнологии

Сегоднявампредстоитмногоработы.Сначаланеобходимовнестинекоторыеизменениявинфраструктурусобственнойсети,затем–обследоватьсетиприсоединяемыхбанковипринятьокончательноерешениеобудущем дизайне единой сети и использовании имеющегося в вашем распоряжении резервногооборудования.Вконце–выполнитьработывофисахбанков«МикрошотБэнк»и«ПинВинФайненшл».

Ваширешениядолжныбытьотраженывдокументацииввидесхем,таблициплановиодобренымной.Явсе еще не имел возможность убедиться в вашей реальной квалификации (да-да, ваше резюме оченькрасивое,норезюмеижизнь–несколькоразныевещи),апотомустануоченьвнимательноследитьзавсемходом работ. Изменить принятые и утвержденные решения позднее будет невозможно, поэтому передначалом работы ПРОЧИТАЙТЕ ВСЕ ЗАДАНИЯ, ИЗУЧИТЕ ТЕКУЩИЕ НАСТРОЙКИ ОБОРУДОВАНИЯ, НЕИЗМЕНЯЯИХ,иподготовьтенеобходимыедокументы.

1. Используяпредоставленныедокументы,формыисхемы,подготовьтеследующиематериалывтом

виде,вкоторомонипредставляютсявампоокончаниивсехработ• Таблицусоединенийиподключенийпортовоборудования(Приложение3)• Схемусетевогоуровнявобъединеннойсети(Приложение7)

2. Вы должны представить мне на утверждение План работ, которые предполагаете выполнить втечениесегодняшнегодня(формаплананаходитсявПриложении2).

3. Поправиламнашейкорпорацииядолженпоставитьрезолюциюнавашемпланеработ,преждечемвыприступитеквыполнениюнастроек.Сэтогомоментавсевашидействиярегулируютсяпланами,схемами,политиками,регламентамиитехническимиусловиями.Нивкоемслучаененарушайтеих,иливампредстоиточеньнеприятныйразговорсомной.Вамзапрещается:• УдалятьсуществующиеидобавлятьновыеVLAN,еслиэтогоявнонетребуетпланработ• Удалятьидобавлятьновыестатическиемаршруты,еслиэтоявнонеразрешено• ИзменятьрежимыработыпротоколовSTPиVTP• Удалять или снимать с интерфейсов списки контроля доступа. Однако вы можете их

редактировать

Послеполученияодобрениявамнеобходимовыполнитьрядподготовительныхоперацийинастроитьсвязьмежду сетями банков в соответствии с собственной политикой нашей корпорации и техническимиусловиями оператора связи. Кроме того, прошу провести ряд работ по оптимизации внутренней сетикорпорации,используявыделенныевамвременныеокнадляпроведенияработ.

4. НасервереNMSзапущеноприкладноеПО,выполняющеефункцииTFTP-сервераиsyslog-сервера.Выполните резервное копирование конфигураций сетевого оборудования и баз данных VLANкоммутаторовкорпоративнойсетинаTFTP-сервер,запущенныйнасервереNMS.Используйтеименафайлов в формате <ИМЯ УСТРОЙСТВА>-<ТЕКУЩЕЕ ВРЕМЯ>.cfg (например, R1-10.05.cfg) и <ИМЯУСТРОЙСТВА>-VLAN.dat (например, SW2-VLAN.dat). По завершении работ всего дня не забудьтеповторить процедуру для всех сетевых устройств. В конце дня у вас должны быть сохраненыконфигурациивсехсетевыхустройств,подключенныхксети,ибазыVLANкоммутаторовSW1иSW2.Сохранятькопииконфигурацийоборудования,неподключенногоксети,нетребуется.СохраняйтефайлывпапкуC:\TFTP.Присовпаденииименфайлыдолжныперезаписываться.

5. ВсоответствиисПолитикой,всесетевыеустройстваCiscoввашейсетидолжныотсылатьжурнальныесообщения с критичностью большей или равной 5 (Informational) на syslog-сервер. Локально на


устройствах хранятся сообщения с критичностью 3 (Error) и выше. Убедитесь, что эти политикисоблюденынавсехустройствах,включаяте,чтовыпланируетеподключатьксети.

6. Сетевоеоборудование(коммутаторы,маршрутизаторыимежсетевыеэкраны)Cisco,подключенноексети,должносинхронизироватьсвоичасыповремениконтроллерадоменаNew-DCинаходитьсяв правильной временной зоне (GMT+3). Убедитесь, что это так, особенно, по окончании работсегодняшнегодня.

МеждукоммутаторамиSW1иSW2втекущейконфигурацииприсутствуеттрипараллельныхканаласвязи,которыеиспользуютсянеоченьэффективно.Вашазадача–изменитьконфигурациикоммутаторов,чтобыдобитьсяописанныхнижерезультатов.

Ксчастью,SW2,какивесьVLAN10,обслуживаеттольковашесобственноеподключение,поэтомувыможетепроводитьработывлюбоевремя,новсеравно–будьтеосторожны.Сервисыбанкапострадатьнедолжны!ПривыполненииработнеизменяйтенастройкипортаF0/22коммутатораSW2.

7. ПортыF0/23иF0/24коммутаторовдолжныбытьобъединенывагрегированныйканалсномеромPort-Channel1.Используйтединамическийпротоколсогласования,соответствующийстандартуIEEE802.3ad.

8. ВсеканалысвязиF0/22-24должныбытьпереведенывтранковыйрежимработы,соответствующийстандартуIEEE802.1Q.

9. ТрафиквсехVLAN,существующихвсети,припередачемеждукоммутаторамиSW1иSW2долженпередаватьсячерезPort-Channel1,заисключениемтрафикаVLAN10,которыйдолженпередаватьсячерезпортF0/22.ВслучаеобрывасвязинапортуF0/22трафикAdminPCдолженбытьпереключеннаPort-Channel1неболее,чемза5секунд.

Маршрутизатор R2 предполагалось использовать как IP-телефонную станцию и резервныймаршрутизатордляподключениявнутреннихсегментовсети.ПреждечемиспользоватьR2вкачествешлюзадлясвязисофисамибанков,необходимонастроитьвсезапланированныеранеефункции.

10. Маршрутизатор R2 подключен к коммутатору SW1 двумя портами, как и R1. В сторонумаршрутизаторов должен передаваться трафик только тех VLAN, которые терминируются на егоинтерфейсахиподинтерфейсах.ИспользуйтеинтерфейсыF0/0маршрутизаторовисключительнодлясвязиихмеждусобой,вчастности,дляобменаанонсамипопротоколуOSPF.НакоммутатореSW1дляэтогодолженбытьсозданVLAN12.

11. НастройтенаR1иR2IP-адресациювсоответствиисутвержденнойсхемойсетевогоуровня.12. Маршрутизаторы R1 и R2 должны обеспечивать взаимное резервирование при подключении

сервероввVLAN20.ВсенеобходимыенастройкинаR1ужевыполнены.ПроведитенастройкинаR2так,чтобывштатнойситуациивпареR1-R2навсеARP-запросыотвечалR2.

13. Маршрутизаторы R1 и R2 должны обеспечивать взаимное резервирование при подключениипользователейвVLAN10.R1долженявлятьсяосновнымшлюзомпоумолчанию,R2–резервным,который берет на себя функции шлюза по умолчанию только в случае, когда R1 недоступен.ИспользуйтепротоколHSRPверсии2,номергруппы–12иключаутентификацииCISCO.Убедитесь,чтопослевыполненияработрабочиестанциивVLAN10 сохраняютсвязьссерверамисетидажевслучае,когдамаршрутизаторR1недоступен.Изменятьнастройкишлюзапоумолчаниюнарабочихстанцияхнеразрешается.

14. МеждумаршрутизаторамиR1иR2вVLAN12настройтеобменмаршрутнымианонсамипопротоколуOSPFв соответствии сПолитикойвобластиИТ.R1 иR2 должныобмениватьсяпрефиксамисетей


своихинтерфейсовLoopback0.Наинтерфейсах,соответствующихVLAN10,20и101протоколOSPFдолженбытьвыключен.

15. ЗапуститенаR2сервисIP-телефонии.ВкачестветестовогоаппаратаподключитектелефоннойсетисофтфонCiscoIPCommunicator,дистрибутивкоторогоестьввашемкомплектеПО.Софтфондолжензарегистрироватьсяиполучитьномер10001.

Послетогокакзакончитеснашейсетью,переходитексетибанка«МикрошотБэнк»,гдевасожидаетмногосюрпризов.БанкпредпочиталнеиметьсобственнойИТ-инфраструктуры,аарендоватьуоператора«Босс-Телеком» вычислительные мощности и каналы связи. Поэтому в офисе банка расположены почтиисключительнорабочиеместасотрудников,авсесервисыразмещенынаплощадкеоператора.Операторнесетполнуюответственностьзанастройкуикорректнуюработусетевойинфраструктурыбанка.Поэтомуувас нет доступа к граничномумаршрутизатору сети «Микрошот Бэнк», но вамизвестныего настройкиисхемаподключения.

Чтобы вы могли спокойно выполнять свои работы, сегодня банковские процессы в «Микрошот Бэнк»переведенынарезервнуюплощадку.Однаковконцеднябудетпроизведенообратноепереключение.Кэтомумоментувыдолжнызакончитьсвоючастьработ.Такжеяожидаю,чтовконцеднявашимисиламибудетустановленавнутренняятелефоннаясвязьпозащищенномуканалусбанком«МикрошотБэнк».

Граничныймаршрутизаторофиса«МикрошотБэнк»уженастроенвашимипартнерамииз«Босс-телекома»подтезадачи,которыевампредстоитрешить.Егоконфигурацияувасесть(Приложение9),новноситьвнееизменениявынеможете,посколькуэтотребуетдлительногосогласованияивремени,которогоуваснет.

16. Обеспечьте подключение сети корпорации «ЦИС и КоФинанс» к VPN-сегменту оператора «Босс-телеком»сучетомТехническихусловий.ТерминируйтевыданныйоператоромPVCнароутереR2,используянастройки,соответствующиепараметрамТУ.

17. Установите в сети «Микрошот Бэнк» оборудование, которое вы запланировали использовать, иподключитееговсоответствиисутвержденнойтаблицейсоединений.

18. Настройте параметры IP на VPN-шлюзе в соответствии с выданными техническими условиямиоператора и утвержденной схемой сетевого уровня. Настраивать какие-либо функции сетевойбезопасностинаVPN-шлюзенетребуется(хотя,конечно,невозбраняется),онбудетиспользоватьсякакобычныймаршрутизатор.

Предварительноеобследованиевыявилоещеоднупроблему.Всетибанка«МикрошотБэнк»используютсяадресаиздиапазона10.0.0.0/16,которыйзарезервировандлясетинашейкорпорации.СерверWWWимеетадрес,который,ксчастью,неиспользуетсявнашейсети,новсеравно–Политикатребует,чтобыпрефикс10.0.0.0/16анонсировалсятолькоизсети«ЦИС&КоФинанс»,аизменятьадресациюв«МикрошотБэнк»мысейчаснеможем–никакоговременинехватит.

19. Между сетями «Микрошот Бэнк» и головным офисом корпорации должна быть настроенамаршрутизация по протоколу OSPF, соответствующая техническим условиям оператора.Маршрутизатор R2 должен передавать в сеть «Микрошот Бэнк» только анонсы агрегированногопрефикса10.0.0.0/16.Граничныймаршрутизаторсети«МикрошотБэнк»уженастроенпартнерамииз«Босс-телекома»иготовкподключениювOSPF-доменчерезVLAN100.

20. Настройте наVPN-шлюзе NAT-трансляцию так, чтобы серверWWW банка «Микрошот Бэнк» былдоступенизсетинашейкорпорациипоадресу10.1.0.100.Менятьнастройкинасерверезапрещено,номожноиспользоватьстатическуюмаршрутизациюнаVPN-шлюзе.

21. Между маршрутизатором R2 и VPN-шлюзом банка «Микрошот Бэнк» должен быть настроенстатический IPSec-туннель. Параметры защиты данных описаны в Политике информационной


безопасности корпорации. Этот туннель должен защищать весь трафик системы IP-телефонии.Прочийтрафикзащищатьнеобязательно.

Последнийшаг:нужнообеспечитьработуIP-телефонии.Необходимоеоборудованиеувасимеется,ноегонужновключитьинастроить.

22. Обеспечьте подключение нового оборудования в соответствии с утвержденной таблицейсоединений и подключений. Настройте VPN-шлюз так, чтобы все необходимые параметры дляработытелефониивыдавалисьустройствудинамическипопротоколуDHCP.

23. Настройте маршрутизатор R2 так, чтобы новое устройство могло зарегистрироваться в системетелефониисномером10101.Убедитесь,чтозвонокнаномер10001проходитвобестороныиобестороныслышатдругдруга.

24. Настройтекнопкувторойлиниителефонатак,чтобыпринажатиинанеепроисходилавтоматическийвызовномера10001.

Сруководством«ПинВинФайненшл»согласованократковременноеотключениесетибанкаотИнтернетавконцерабочегодня.Оначалеработ(т.е.оботключении)выдолжныуведомитьменя.Увасбудеттолькодвадцатьминут,чтобывыполнитьпереключениеипроверитьрезультат,поэтомувседействиявыдолжныспланировать заранее. Имейте в виду, что скоро в этот офис переедет несколько сотрудников вашейкорпорации,такчтоимпонадобитсятелефоннаясвязь.

25. Изучите конфигурацию сервера, который выполняет функцию маршрутизатора в офисе «ПинВинФайненшл».Выполнитевсенеобходимыенастройкидлятого,чтобыподключитьегокVPN-сегменту,предоставляемому«БОСС-Телекомом»,всоответствиисТехническимиУсловиями.Маршрутизатордолжен установить соединение по протоколу OSPF и проанонсировать в сеть оператораиспользуемыепрефиксыиздиапазона10.2.0.0/16.НастраиватьIPSec-туннельсцентральнымофисомсейчас не требуется, это вы выполните в другой раз. Зато надо добиться, чтобы в будущем приподключении дополнительных телефонных аппаратов в сеть офиса от нее не потребовалосьотключатькакое-либооборудование.


День2.РаботасОСMicrosoftWindows

Доброеутро,коллега.Судяповсему,первыйденьнабоевомдежурствевыдалсянелегким.Хотянастройкасетевогооборудованияужепозади,радостимало:работывпередивсеещенепочатыйкрай.Сетьслужитлишьбазойдляпредоставлениясервисовпользователям,исэтимисервисамивампредстоитповозиться.

Ключевыми задачами, решаемыми любой инфраструктурой, является контролируемый доступпользователейкданным.Яужеуспелнемногопроанализироватьинфраструктурудвухновыхкомпаний,азаодно заново взглянуть на свою собственную. Даже беглый взгляд обнаруживает множество проблем,требующихсрочногорешения.

Вотчтомнеизвестноовсехтрехинфраструктурах:

1)Центральныйофискомпании«ЦИСиКоФинанс»

В офисе функционирует домен Active Directory (AD) под названием kiska.ru. Операционная система наединственномконтроллередомена (КД) сименемNew-DC–WindowsServer2012R2.Когда-товдоменеприсутствоваливторойконтроллердоменаCool-DC,новодинпрекрасныйденьэтотКДполностьювышелиз строя из-за внезапного сбояжесткого диска с утратой как пользовательских файлов, так и локальнойкопии баз AD. Выводы были сделаны, и теперь пользовательские файлы, хранящиеся на контроллередомена,регулярносохраняютсяспомощьюсистемырезервногокопирования(докоторойвампокаделанет–ибезтогопроблемхватает).

2)Компания«МикрошотБэнк»

В офисе отсутствует домен AD. Пользователи хранят файлы на сервере с именем FS под управлениемWindows Server 2012 R2 (папкаd:\files с сетевым именем \\FS\files), но доступ к нему осуществляется спомощьюоднойлокальнозаведеннойнасервереучетнойзаписипользователясименемServUsrипаролем12345,используемойвсемипользователями.Индивидуальныйконтрольдоступапользователейкданнымисервисам отсутствует в принципе. DNS-имена на станциях разрешаются через DNS-серверы в Интернете.Соответствие имени сервера FS его IP-адресу прописано в файле hosts на каждом ПК. Резервные копииданных на сервере не делаются. Всего в офисе работает 50 пользователей, каждый входит на свойперсональныйкомпьютербезпаролясреквизитамиучетнойзаписиUserсадминистративнымиправами.Навсехкомпьютерахиспользуетсястатическаяадресация.ОдинизкомпьютеровподуправлениемWindows8.1сейчаснеиспользуетсяидоступенвамдляэкспериментов.

3)Компания«ПинВинФайненшл»

Здесь все не так плохо, как в «Микрошот Бэнк». В офисе функционирует домен Active Directory подназванием pinwin.ru. Операционная система на единственном КД с именем Server01 установленаустаревшая–WindowsServer2008R2.Данныезащищаютсянормальноработающейсистемойрезервногокопирования. В домене обнаружился еще один серверGoodSRV на базеWindows Server 2012 R2, ранеепредназначавшийсянарольновогоКД,носистемныйадминистраторбанкатакинедовелделодоконца.СейчаснаGoodSRVнеподнятониоднойроли,исейчасоннезанимаетсяобслуживаниемпользователей.ВцеломсостояниеИТ-инфраструктуры–среднейтяжести.Главнаяпроблемвтом,чтоздесьработаеточеньмного устаревших компьютеров, с трудом справляющихся или не справляющихся вообще с запускомсовременныхприложений.


Внимательно посмотрев на сервернуюинфраструктуру всех трех офисов, я понял, что обменданнымиидоступкнимпринынешнихнастройкахкрайнезатруднен.Сучетомбольшогоколичествапользователейвкаждомофисепередвами,коллега,встаетбольшаязадача:необходимомодифицироватьсуществующиедоменыActiveDirectory, обеспечить резервное копированиефайлов в офисе «Микрошот Бэнк», а такжекаким-тообразомсправитьсяснехваткойпроизводительностирабочихстанций.

Сегодняуменябольшоесовещаниесдиректоромнашегобанка,котороезатянетсянавесьдень,апотомуянемогузаранееоцениватьвашипланы.Однакоянамеренпроконтролироватьвашидействияпостфактум,апотомувыобязаныфиксироватьВСЕсвоидействия:изменениесистемныхнастроекиконфигурационныхфайлов, тексты скриптов, выполненные процедуры (кратко, если выполняется стандартный мастер состандартными настройками) и так далее в журнале выполненных работ. Формужурнала для сервернойинфраструктурывынайдетевприложении2.Поокончанииработжурналдолженбытьпереданмне.Есликакое-товашедействиенеописановжурнале,будетсложнопонять,какиеизмененияпроизошливсистеме,ивселисделановерно,такчтопостарайтесьвестидетальныйучетсвоихработ.

Итак, первая большая задача, стоящая перед вами – справиться с проблемами аутентификации в офисе«МикрошотБэнк».Полагаю,дляэтоговамследуетсделатьлокальныйфайл-сервервторымконтроллеромдоменаkiska.local.Вамнеобходимовыполнитьследующиепредварительныедействия:

1. Запустив программу диагностики наNew-DC, я обнаружил множественные ошибки, связанные срепликацией AD на серверCool-DC. Ваша первая задача – ликвидировать их и добиться полногоздоровья домена kiska.ru. Вы также должны убрать все следы Cool-DC из зоны DNS. Программадиагностикинедолжнавыдаватьсообщенийобошибкахиважныхпредупреждений.Сохранитевжурналеработвыдачудиагностическойпрограммывотремонтированномдомене.

2. Я обнаружил, что при существующей настройке прямой зоны kiska.ru ее функционирование враспределенной сети не будет оптимальным. Вам необходимо оптимизировать настройки зонытаким образом, чтобы избавиться от разделения DNS-серверов на первичные и вторичные ипозволитьрабочимстанциямрегистрироватьсвоиадресаналюбомDNS-серверевлесуAD.

3. Вамтакженеобходимодобиться,чтобыDNS-сервермогразрешатьвименаIP-адресакомпьютеровкакв главномофисе, такивофисе«МикрошотБэнк».Какинапредыдущемшаге,модификациясвязеймеждуименамииадресамидолжнаосуществлятьсяналюбомDNS-серверевлесу.

Завершивподготовкудоменаkiska.ru,выдолжнысоздатьновыйконтроллердомена.

4. ВведитесерверFSвофисе«МикрошотБэнк»вдоменkiska.ru.

5. Повысьтерольэтогосерверадоконтроллерадомена.

6. Настройте инфраструктуру AD таким образом, чтобы рабочие станции в каждом офисе в первуюочередь обращались к контроллеру домена в своем офисе и только при его недоступности – кконтроллерувдругомофисе.

7. ДополнительнонастройтеновыйКДFSтакимобразом,чтобыминимизироватьслужебныйтрафикADмеждуофисамиприпоискеинформации,относящейсякпользователям.

8. Протестируйте работоспособность AD с помощью стандартной утилиты и поместите в журналвыполненныхработеевыводвкачестведоказательства,чтосерьезныхпроблемнеимеется.


9. Для отработки процедуры перед ее применением ко всем станциям в офисе «Микрошот Бэнк»введитевдоменрабочуюстанциювегоофисе.ЛиквидируйтенанейразрешениеименисервераFSчерезфайлhostsинастройтеотказоустойчивоеразрешениеименнастанциях(сучетомпункта6).

Послезавершениясозданияновогоконтроллеравамнеобходимоупроститьадминистрированиерабочихстанций.

10. РазвернитенаКДFSслужбуDHCPинастройтееедлявыдачиадресовизподсетирабочихстанций.Требуемаянастройкароутераужевыполнена,вамееделатьнетребуется.

11. Переведите тестовую рабочую станцию в режим получения IP-адреса по протоколу DHCP ивыполните на DHCP-сервере настройки, позволяющие ей в дальнейшем всегда получать тот жесамыйадрес.

ВсепользователиработаютнасвоихПКсадминистративнымиправами,из-зачегоуслужбытехподдержкипостоянно возникают проблемы с вирусами и несанкционированными приложениями (торренты, игры,мессенджерыит.п.)Крометого,превращениефайл-серверавконтроллердоменаприведетктому,чтовселокальныеучетныезаписинанемпропадут,иупользователейбольшенебудетдоступакданнымнанем.Вамнеобходимозавестидлянихдоменныеучетныезаписи,азаодноиотобратьунихадминистративныеправанаПК.Ксчастью,системныйадминистраторбывшего«МикрошотБэнк»когда-тодумалотомжеиуспелподготовитьCSV-файл,содержащийновыелогиныипаролипользователей.ТакжеменябеспокоитотсутствиерезервныхкопийфайловнасервереFS.

Вамнеобходимо:

12. Сегодняжезавестивсеучетныезаписипользователей.Учтите,чтоуваснетвременивводитьданныевручную, по-отдельности для каждого пользователя, поэтому вы должны завести их с помощьюскрипта.ВсеучетныезаписидолжныбытьразмещенывконтейнереMicroOUдоменаKiska.ruибытьактивными. Каждая учетная запись должна иметь пароль, указанный в CSV-файле. Скопируйте вжурналтекстскрипта.

13. СоздатьгруппуMicroUsersипредоставитьеечленамправаназаписьвдиректорию\\fs\files.Внестивсесозданныеучетныезаписивэтугруппу.Приэтомдоступвдиректориюd:\files\admins(ноневдругиеподдиректорииd:\files)должныиметьполныйдоступтолькочленыгруппыDomainAdminsилокальнаяоперационнаясистема,всемостальнымонанедолжнабытьдоступнадаженапросмотр.

14. Создать в AD группу MicroAdmins, пользователи в которой автоматически получали быадминистративные права на все компьютеры в офисе «Микрошот Бэнк» за исключениемконтроллеровдомена.

15. Обеспечить автоматическую двустороннюю репликацию файлов между директорией d:\files насервереFSидиректориейd:\files\microshotнасервереNew-DC.

16. ОбеспечитьавтоматическоеподключениесетевогодискаK:кфайловойдиректории\\fs\flesнавсехПК в офисе «Микрошот Бэнк», причем таким способом, чтобы пользователи автоматическипереключалисьнадиректориюd:\files\microshotнасервереNew-DCпринедоступностисервераFS.ЕслисерверFSдоступен,пользователивсегдадолжныподключатьсяименнокнему.


После завершения работ в «Микрошот Бэнк» займитесь офисом компании «ПинВин Файненшл». Из-заимеющегоместоцейтнотапокачтооставьтесуществующийтамдоменpinwin.ruвнеизменномсостоянии.Однако задачи совместной работы пользователей всех офисов по-прежнему актуальны, и вы неможетепозволить себе заводить лишние учетные записи в обоих доменах. Кроме того, руководство бывшейкомпании сообщило, что у них возникали проблемы с утечкой конфиденциальной информации кконкурирующейфирме «Злоботрясов и партнеры».Однако так и не удалось установить, явилось ли онаследствием взлома учетных записей пользователей посторонними злоумышленниками или жедобровольнойпередачисведенийподкупленнымисотрудниками«ПинВин».

Поэтомувамнеобходимо:

17. СоздатьвдоменеPinwin.ru группуEnhancedSecurityидобиться,чтобыкеечленамприменялисьгранулярнаяполитикаусиленнойбезопасности,вчастностиопцияповышеннойсложностипаролей.Этаполитиканедолжнаприменятьсякпользователям,невходящимвданнуюгруппу.

18. Блокироватьдоступковсемвеб-сайтамкомпании«Злоботрясовипартнеры»вдоменеzlobny.yh,заисключением сайта www.zlobny.yh, где сотрудники бывшей «ПинВин Файненшл» самиподсматриваютинформациюоконкуренте.Ксожалению,«Злоботрясов»всевремяменяетIP-адресасайтов(кромесайтаwww,имеющегопостоянныйIP-адрес20.10.0.100),такчтоблокировкаможетбытьвыполненатолькопоимени.БлокировкадолжнабытьвыполненацентрализованнонаDNS-сервере,индивидуальныенастройкиПКвыполнятьсянедолжны.

19. НастроитьдвусторонниедоверительныеотношениямеждудоменамиKiska.ruиPinwin.ru.ПриэтомколичестворучныхмодификацийнаDNS-серверахвобоихдоменахдолжнобытьминимизировано,новые серверы DNS, если таковые появятся, должны получать соответствующие настройкиавтоматически.

20. СоздатьвдоменеPinwin.ruгруппуPinwinMicroAccessипредоставитьейправаначтениеизаписьвдиректорииd:\files\pinwinнасервереFSвофисе«МикрошотБэнк».НастроитьнавсехПКвофисе«ПинВинФайненшл»автоматическоеподключениеэтойдиректориикакдискаT:

Нуиподзанавесещеоднаплохаяновость:отдохнутьнеудастся.Руководствонашейкорпорациинастаивает,чтодлявсехсотрудников,втомчислевбывшейкомпании«ПинвинФайненшл»,обязательноиспользованиепрограммногообеспеченияWordpadдляобработкидокументов.Ксожалению,унекоторыхсотрудников«ПинВин» настолько слабыеПК, что на них толкомне работает даже эта простая программа.Посколькузатраты на санацию конкурентов и без того очень высоки, закупка новых ПК в ближайшее время непланируется, но указание начальства должно быть выполнено. Сервер GoodSRV в офисе «ПинВина»развернут,нонеиспользуется,иприэтомобладаетнеплохимиаппаратнымихарактеристиками.Однакоприегоработенаблюдаютсястранныепроблемы,подробноисследоватькоторыеуменянебыловремени.

Вамнеобходимо:

21. Выяснитьиликвидироватьпричину,покоторойсерверGoodSrvхаотичноинепредсказуемотеряетдоступкдоменуPinwin.ru.

22. Превратить сервер GoodSRV в терминальный сервер с доступом всех пользователей домена копубликованномуприложениюWordpad.Закупкатерминальныхлицензийбудетвыполненапозже,дотехпорсервердолженфункционироватьвпробномрежиме.

23. Пользователи должны получать доступ к приложениям, опубликованным на сервере, через веб-интерфейс.Правильныйадресдлядоступаквеб-интерфейсу–https://goodsrv.pinwinm.ru/RDWeb,ноубольшинствапользователейвозникаютпроблемысегозапоминанием.Выдолжныизменить


настройки IIS так, чтобы при доступе пользователей к http://goodsrv.pinwin.ru иhttps://goodsrv.pinwin.ruониавтоматическиперенаправлялисьнаправильныйадрес.

24. Также пользователи должны получать доступ к приложению Wordpad через RDP-файл,размещенный в файловой директории \\GoodSRV\Apps, связанной с локальной директориейсервераc:\apps.RDP-файлдолженбытьсгенерированавтоматически,хотяпринеобходимостивыможете вручную перемещать его между компьютерами и директориями. Пользователи, необладающиеадминистративнымиправами,недолжныиметь возможностимодифицироватьилиудалятьфайлывэтойдиректориинипосети,нилокальноприработенатерминальномсервере,нодолжныиметьвозможностьчитатьеесодержимое.

Преждечемвыначнетепереводитьпользователейна терминальныйрежимработы, хочунапомнитьободнойтипичнойпроблеме.Принебрежнойнастройкепользователямпостоянноприходитсяподтверждать,чтотерминальныйсервер,скоторымониработают,являетсядоверенным.Этосмущаетнекоторыхлюдейнастолько, что они не в состоянии нажать вполне очевидную нужную кнопку и начинают звонить втехподдержку. Проблема связана с тем, что терминальный сервер по умолчанию используетсамосгенерированныйисамоподписанныйSSL-сертификатдляподписикоммуникацийсклиентом.Покупкасертификата у стороннего центра сертификации (ЦС) нам сейчас не по карману, так что придетсяиспользовать свой собственный.При этомяпланируювобозримомбудущемполностьювывестидоменpinwin.ruизэксплуатацииинехочуразвертыватьцентрсертификациивнем.

Вамследует:

25. Развернуть доменный центр сертификации на контроллере домена New-DC в главном офисе.Названиецентрасертификациидолжнобытьследующим:Kiska-Main-CA.

26. СоздатьиопубликоватьнанемнеобходимыйшаблонSSL-сертификата,назвавегоTermServSSL.Срокдействиясертификатадолженсоставлять5лет.

27. СгенерироватьпоэтомушаблонуSSL-сертификатдлясервераgoodsrv.pinwin.ruиэкспортироватьеговзащищенныйпаролемфайл (файлвместеспаролемдолженбытьпереданмневдополнениекобычнойзаписивжурналеопераций).

28. Установитьэтотсертификатнасервереgoodsrv.pinwin.ruипривязатьегокакквеб-сайтуIIS,такиковсемнеобходимымкомпонентамтерминальнойинфраструктуры(неменеетрехкомпонентов).

29. Удостовериться, что данный сертификат воспринимается как доверенный на всех компьютерах вдомене pinwin.ru. Необходимые модификации должны быть выполнены централизованно.Модификацияиндивидуальныхнастроекрабочихстанцийпроводитьсянедолжна–уваснаэтонетвремени.

Послезавершенияработубедитесь,чтоврезультатевашихдействийвходнавеб-интерфейстерминальногосервера через веб-браузер, а также запуск RDP-файла не приводят к появлению вопросов, связанных снедовереннымSSL-сертификатом,иначеполучится,чтовызрятратиливремя.

Наэтомвсе.Вконцедняубедитесьещераз,чтовызадокументироваливсесвоидействияиоставьтенасвоемрабочемместежурналвыполненныхработивсевспомогательныефайлы.


День3.РаботасОСLinuxCentOS

Исновадоброеутро,коллега.Мнеискренневасжаль,новынужденсообщить,чтосамоеинтересноеещевпереди.Сегоднявампредстоитсделатьзавершающийшагвслияниитрехофисов.Дляэтогонеобходиморазобратьсясоставшейсяинформационнойинфраструктуройкомпании«ПинВинФайнэншл».

Вчерапослесовещанияяуспелсъездитьв«ПинВин»ивыяснил,чтоадминистратор«ПинВинФайненшл»часто использовал свободно распространяемое программное обеспечение, что, безусловно, былоследствиемполитикибанка.Настроенныевамиконтроллердоменаитерминальныйсервер–единственныеwindows-серверывинфраструктуре«ПинВин».Однакокроменихтамнашлисьещемаршрутизатор,которыйвыпаруднейназаднастраивали,идвавиртуальныхсервераподуправлениемLinux–настраиватьихтакжепредстоит вам. Ну, и IP-телефония тоже за вами (я ведь упоминал на собеседовании, что нам нужен непростойсистемныйадминистратор,амногорукийШива,нетакли?)

По обрывочной информации известно, что один из Линукс-серверов является веб-сервером, а другойиспользовался как тестовая машина с типовой пользовательской конфигурацией. Так же известно, что кконсолямсерверовобычноможнополучитьдоступсправамисуперпользователяиспользуяпароль“toor”.

Первыйшагввашейработе–чистокосметический:

1. Насхемахсети«ПинВинФайненшл»,которыеимеютсяввашемраспоряжении,исправьтеименатак,чтобыонисоответствовалиреальнымименамсерверов.

Таккакбольшоеколичествосервисовтеперьпредоставляетсяизцентральногоофисанашейкомпании,вамвпервуюочередьнеобходимоналадитьвнутреннююсвязьмеждуИТ-инфраструктурами:

2. ОрганизуйтеотдельнуюВЛВСсномером10длятрафикаIP-телефонииипоместитевнегоустройство,которое вам согласовали для использования в качестве IP-телефона. Данное устройство должнозарегистрироватьсявсистеметелефониикорпорациисномером10201.

3. Не забывайте о том, что при работе с голосовым трафиком вам необходимо соответствоватьтребованиям Политики вашей корпорации в области информационных технологий и защитыинформации.

Во времямоего краткого визитаодиниз сотрудников«ПинВинФайненшл» спросил: «Когда сновабудетдоступен удаленный доступ в офис?»Ну, по крайнеймере, теперьмы знаем, что такой сервис был тамреализован.Темболее,чтосотрудникам«ЦИСиКоФинанс»возможностьудаленноработатьсдокументаминафайловом сервере будет крайне полезной при проведении процедуры санации. В кабинете бывшегосистемногоадминистратораяобнаружилираспечаткистатьиссайтаХабрахабрспримеромконфигурациисервисаOpenVPN.Скореевсего,именноэтотпакетиспользовалсядляпредоставленияудаленногодоступа.

Сделайтеследующее:

4. На сервере, выполняющем функцию маршрутизатора, изучите существующую конфигурациюOpenVPN.Устранитенеисправностивработеданногосервиса.

5. Длявашегожеудобстваиудобствавашихсотрудниковприудаленномподключениипользователидолжныполучатьдоступклокальнымсетямвсехтрехофисов.

6. ПроверьтеработуOpenVPNсвеб-серверавофисе«Микрошот».


Тот же самый сотрудник «ПинВин» оказался весьма назойливым. Он привязался ко мне со следующимвопросом:«Яобычнохожунаработусосвоимноутбуком.Тутякупилновый,принесего,подключилсетевойкабель,аИнтернетанет.Подключаюстарый–Интернетработает».Яуделилнесколькоминут,чтобыпонятьпроблему поближе, и обнаружил, что на старом ноутбуке настроен статический IP-адрес. Я настроилстатический адрес на новом ноутбуке, и все заработало нормально. Однако попытка автоматическогополученияIP-адресанесработала.

Нужноразобратьсясэтойпроблемойнемедленно.

7. НастройтеавтоматическуювыдачуIP-адресоввлокальнойподсетиофиса.Исключитеиздиапазонараздачиадреса,присвоенныесерверамимаршрутизатору.

Далее вам следует разобраться с веб-сервером. После разговора с местными сотрудниками мне сталоизвестно,чтонанемработаетИнтернет-банкинг.Изучивповерхностноегоконфигурацию,язаметил,чтоданныйсерверимеетпрямойвыходвИнтернет,минуямаршрутизатор.Соднойстороны,этоправильно,посколькувеб-сервервосновномипосещаетсячерезИнтернет.Однакоэтообстоятельствоимоглостатьглавной причиной утечки конфиденциальной информации к конкурирующей фирме «Злоботрясов ипартнеры».

Поэтомувцеляхповышениябезопасностивамнеобходимо:

8. Оставитьнавеб-сервереврабочемсостоянииединственныйсетевойинтерфейс,подключенныйвVLAN20,носохранитьдоступкнемуизИнтернетапопрежнемуIP-адресу.

9. Убедиться, что из Интернета к данному серверу можно обращаться только с использованиемпротоколовHTTPиHTTPS.

10. Настроитьаутентификациюпользователейнавеб-сервере такимобразом,чтобыона требоваласьтолькопридоступеизИнтернета,нонепривходенасайтизлокальныхсетейостальныхофисов.

После завершения работ необходимо убедиться, что пользователи могут получить к серверу доступ сиспользованиемдоменногоимени.Кстати,язабылзаписать,какоеимяимелвеб-серверикакойDNSсерверотвечалзаегоразрешение.РазберитесьсконфигурациейDNSвданномофисеи,разужвызанялисьэтимвопросом,следуетреализоватьправильнуюсхемудоступаковсемключевымсерверампоимени.

Удостоверьтесь,чтовыполняютсяследующиеусловия:

11. Доменные имена маршрутизатора и веб-сервера должны разрешаться во внешний адрес длядоступаизИнтернета.

12. Доменныеименадлявсехсервероввданномофисе(включаямаршрутизаторивеб-сервер)должныразрешатьсявовнутреннийадресприобращенииизвнутреннейсети.

13. Сайтнавеб-сервередолженбытьдоступенпоинмениpinwin.ru.14. Используя нашшаблон плана производства работ, составьте план, отражающий, каким серверам

какиеименабудутприсвоены,накакомсерверебудетрасполагатьсяDNS-сервисикакиересурсыокажутсянедоступнымивпериодпроведенияработ.

15. Приступитьквыполнениюэтойчастиработвыможететолькопослеполученияотменяодобрениявашегоплана.

Движемсядальше.Проститеменя за трюизм, но безопасность должнабыть безопасной. Так как у нас вцентральномофисетеперьфункционируетцентрсертификации,следуетвоспользоватьсяэтим.


16. На доменном центре сертификации Kiska-Main-CA сгенерируйте сертификат для веб-сервера«ПинВинФайненшл»ииспользуйтеегодлядоступаксайтуИнтернет-банкингапопротоколуHTTPS.

17. Убедитесь в том, что при обращении к сайту Интернет-банкинга по протоколу HTTP происходитавтоматическое перенаправление веб-броузерана тотже адрес, но с использованиемпротоколаHTTPS.

18. Убедитесь,чтопарольныеполитикинавеб-серверахсоответствуютПолитикекорпорации,и,кстати,проверьтевеб-серверв«МикрошотБэнк»–авдругитамнадоужесточитьполитику?

Нувотивсе…Спасибозаработу,теперьможетеотдохнуть!Хотя…навернякаведьзавтрабудеткучазвонковотпользователей,укоторыхчего-тонеработает.Готовьтесь–ктокакневыбудетимпомогать!


Приложение 1. Политика корпорации «ЦИС и Ко Финанс» в областиинформационныхтехнологийизащитыинформации

1. Вся информация, хранимая, передаваемая и обрабатываемая с использованием вычислительныхсредств корпорации «ЦИС и Ко Финанс», является собственностью корпорации. Руководствокомпанииимеетнеограниченныйдоступкинформации.Доступпрочихсотрудниковкинформацииопределяетсядействующимирегламентамиираспоряжениямируководства.

2. Вкорпоративнойсетииспользуетсядиапазонадресов10.0.0.0/16.Всеустройствавсети,еслиэтонеуказаноявно,должныиметьадресаизуказанногодиапазона.Каждоеподразделениедолжноиметьсобственный диапазон адресов с маской 255.255.255.0. Транзитные сети (предназначенные дляобеспечениясвязимеждумаршрутизаторами)должныиметьадресаиздиапазона10.0.255.128/25и максимальную длину маски, достаточную для обеспечения связи. Использование маски /31категорически запрещено,использованиемаски /32допускается толькодляадресации Loopback-интерфейсов.

3. Всемаршрутизаторы должны иметь интерфейс Loopback 0 с адресом в формате 10.0.255.z/32 издиапазона10.0.255.0/25.Выделениеадресовпроизводитсяповозрастанию.

4. Все сетевые устройства должны синхронизировать свои часы с часами контроллера домена.Журнальнаяинформацияссетевыхустройствдолжнапередаватьсянаспециализированныйsyslog-сервер. Перед проведением работ, связанных с изменением конфигураций, критическаяинформациядолжнабытьсохраненанаTFTP-сервер.Поокончанииработфинальныеконфигурациитакжедолжнысохраняться.

5. Для подключения к сети Интернет используется диапазон адресов 20.15.0.0/24, выделенныйкорпорацииевропейскимрегистромRIPEизакрепленныйзаномеромавтономнойсистемыAS2015.

6. ГраничныемаршрутизаторыAS2015должныприниматьизсетиИнтернеттолькоиисключительномаршрутпоумолчанию(префикс0.0.0.0/0),прочиепрефиксыдолжныфильтроваться.

7. Для организации связи между подразделениями корпорации используются выделенные каналысвязиисервисыL2/L3VPN.ИспользованиеИнтернетаииныхпубличныхсетейдляорганизациисвязимеждуподразделениямикатегорическизапрещено.

8. ТелефоннаясвязьвнутрикорпорацииосуществляетсяпотехнологиямIP-телефонии.Звонкимеждуфилиаламиицентральнымофисомвобязательномпорядкедолжнышифроваться.

9. Шифрованиетелефонныхзвонковмеждуфилиалами,атакжешифрованиевсегопрочеготрафиканеобязательно,нодопускается.

10. При использовании шифрования трафика применяются IPSec-туннели со следующимихарактеристиками:

• Аутентификация–пообщемуключу• Шифрование–3DESилиболеестойкое• Контрольцелостности–SHA1илиболеестойкий

11. Функции криптошлюза в головном офисе корпорации должны быть вынесены на отдельныймаршрутизатор. Совмещениефункций граничногомаршрутизатора сетиИнтернети криптошлюзакатегорическизапрещено.

12. ДопускаетсясовмещениефункцийIP-телефонногошлюзаикриптошлюзанаодномустройстве.13. ВнутрисетикорпорациииспользуетсяпротоколдинамическоймаршрутизацииOSPF.Сетьголовного

офисавключаетсявBackboneArea(Area0).14. Удаленный доступ к интерфейсам управления разрешается только в случае использования

защищенных протоколов передачи данных, поддерживающих как аутентификацию, так ишифрованиеданных.

15. Доступ к корпоративным ресурсам разрешен только с использованием рабочих станций, гдепредварительновыполненаавторизациясиспользованиемцентрализованнойслужбыкаталогов.


16. Для всех используемых веб-серверов на платформе ОС Linux должна соблюдаться следующаяпарольнаяполитика:

• пароль должен состоять из символов принадлежащих как минимум трем множествам(например,верхнийинижнийрегистр,цифры);

• длинапаролянедолжнабытьменьше8символов;• рядовой пользователь не может создать пароль, противоречащий заданным правилам;

администраторможет,нодолженполучатьпредупреждение;• пользователи не должны входить в системную консоль как администраторы, но должны

иметьвозможностьпереключатьсявконтекстсуперпользователя,используякомандуsu;

Технический департаментWSR21

Приложение2.Типовыеформызаявокижурналов

Утверждаю:

Зам.директорапоИТ

______________ЦискинС.С.

«____»_________2015г.

Заявканамодернизациюсетевойинфраструктуры

№п.п.

Наименованиеработы Длительностьработ Недоступныесервисы

1.

2.

3.

4.

5.

6.

7.

8.

*Количествопунктовможетбытьувеличенопринеобходимости


Журналпроведенияработвсервернойинфраструктуре

№задания Описаниеработиизмененийнастроек

1.

2.

3.

4.

5.

6.

7.

8.

*Количествопунктовможетбытьувеличенопринеобходимости


Приложение3.Схемасоединенийиподключений(физическийуровень)


Приложение4.Таблицасоединенийиподключений

ТаблицасоединенийиподключенийУтверждаю

Зам.директорапоИТ__________ЦискинС.С.

SW1 Устройство Порт SW2 Устройство Порт R1 Устройство Порт R2 Устройство Порт Устройство Порт Устройство ПортF0/1 R1 F0/0 F0/1 F0/0 SW1 F0/1 F0/0 SW1 F0/1F0/2 R1 F0/1 F0/2 F0/1 SW1 F0/2 F0/1 SW1 F0/2F0/3 R2 F0/0 F0/3 S0/1/0 BOSS S0/1/0 S0/1/0 R1 S0/1/1F0/4 R2 F0/1 F0/4 S0/1/1 R2 S0/1/0 S2/1F0/5 F0/5F0/6 F0/6F0/7 F0/7F0/8 F0/8F0/9 F0/9F0/10 CIS&KoServerNIC0 F0/10F0/11 F0/11F0/12 F0/12F0/13 F0/13F0/14 F0/14F0/15 F0/15F0/16 F0/16F0/17 F0/17F0/18 F0/18F0/19 F0/19F0/20 VIPPC* NIC0 F0/20 AdminPC NIC0F0/21 F0/21F0/22 SW2 F0/22 F0/22 SW1 F0/22F0/23 SW2 F0/23 F0/23 SW1 F0/23F0/24 SW2 F0/24 F0/24 SW1 F0/24

Корпорация"ЦИСиКоФинанс"


Приложение5.Схемасоединенийиподключений(канальныйуровень)


Приложение6.Схемасоединенийиподключений(сетевойуровень)


Приложение7.Проектсхемысоединенийиподключений(сетевойуровень)


Приложение8.Техническиеусловиянаподключение

УТВЕРЖДАЮ

ГенеральныйдиректорОАО«Босс-телеком»

__________________С.Г.Босс

ТЕХНИЧЕСКИЕУСЛОВИЯ

Техническиеусловиядействительнывтечениетрехкалендарныхдней,начинаяс_________.

Условия ПараметрыПрисоединениек сети L3VPNоператора«Босс-телеком»

Адреса:1.Корпорация«ЦИСиКоФинанс»2.Банк«МикрошотБэнк»3.Банк«ПинВинФайненшл»

Физическоеподключение 1.Корпорация«ЦИСиКоФинанс»ИспользоватьсуществующеепоследовательноесоединениекмаршрутизаторуBOSS,портSerial0/1/02.Банк«МикрошотБэнк»Использовать существующее витопарное соединение кмаршрутизаторуBOSS,портFastEthernet0/03.Банк«ПинВинФайненшл»Использовать существующее витопарное соединение кмаршрутизаторуBOSS,портFastEthernet0/1

Канальноеподключение 1.Корпорация«ЦИСиКоФинанс»На интерфейсе Serial 2/0 маршрутизатора BOSS выделитьдополнительныйDLCI с номером123, терминировать его наподинтерфейсетипаточка-точкаSerial0/1/0.1232.Банк«МикрошотБэнк»ВыделитьдополнительныйVLANсномером123,использоватьподинтерфейсFa0/0.1233.Банк«ПинВинФайненшл»ВыделитьдополнительныйVLANсномером123.использоватьподинтерфейсFa0/1.123ОбъединитьперечисленныеподинтерфейсывVRFсименемVPN.ИспользоватьRD65000:123

IP-адресация 1.Корпорация«ЦИСиКоФинанс»Использоватьдиапазон172.16.0.0/302.Банк«МикрошотБэнк»Использоватьдиапазон172.16.1.0/303.Банк«ПинВинФайненшл»Использоватьдиапазон172.16.2.0/30Адрес .2изкаждогодиапазонаназначитьсоответствующемуинтерфейсуроутераBOSS.

Маршрутизация ИспользоватьпротоколOSPF,Area123,типNormal


Приложение 9. Конфигурация граничного маршрутизатора банка«МикрошотБэнк»

servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsec!hostnameMicroshot!ipcefnoipdomainlookupipdomainnamemicroshot.ru!usernameadminprivilege15secret*****!interfaceLoopback1ipaddress10.1.0.1255.255.255.0ipospfnetworkpoint-to-pointipospf1area123!interfaceFastEthernet0/0descriptionMicroshotBanknoipaddress!interfaceFastEthernet0/0.10descriptionWWWencapsulationdot1q10ipaddress10.0.110.1255.255.255.0!interfaceFastEthernet0/0.20descriptionServersencapsulationdot1q20ipaddress10.1.20.1255.255.255.0ipospf1area123!interfaceFastEthernet0/0.30descriptionUsersencapsulationdot1q30ipaddress10.1.30.1255.255.255.0iphelper-address10.1.20.100ipospf1area123!interfaceFastEthernet0/0.100descriptionReservedforMSBackBoneencapsulationdot1q100ipaddress10.1.100.1255.255.255.0ipospf1area123!routerospf1

КОНФИДЕНЦИАЛЬНОДЛЯСЛУЖЕБНОГОПОЛЬЗОВАНИЯ

УТВЕРЖДАЮГенеральныйдиректорОАО«Босс-телеком»__________________С.Г.Босс


passive-interfacedefaultnopassive-interfaceFastEthernet0/0.100!

Documents

Конкурсное задание - sutkt.ru › documents › WSR › it_setevoe_i... · 2017-02-03 · проводить работы в любое время, но все равно