+7 (383) 263-31-70

+7 (861) 944-79-98

+7 (391) 272-07-31

0

ASTRA LINUX. СПЕЦИАЛЬНЫЙ КУРС "ALSE-1605"

фцвцв1.png

Подробная программа курса

Для кого этот курс:  

Курс будет интересен  администраторам  безопасности, системным администраторам, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры посредством ОС Astra Linux Special Edition и тем, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

В курсе рассматривается Astra Linux Common Edition и Astra Linux Special Edition.

Предварительная подготовка: 

Успешное окончание курса "Astra Linux Special Edition. Расширенное  администрирование ALSE-1603" или эквивалентная подготовка

Формат курса: очно или вебинар

Продолжительность курса:  5 дней / 40 ак.ч.

Результат обучения: по завершению курса слушатель будет:

  • знать нормативные документы ФСТЭК;
  • понимать принципы мандатного контроля целостности и мандатного управления доступом;
  • настраивать локальные и доменные политики безопасности;
  • настраивать учетные записи пользователей и группы в соответствии с МРД;      
  • конфигурировать мандатное управление доступом;
  • настраивать аудит безопасности ОС;
  • конфигурировать ALD.    

Описание: 

Курс, получивший максимальные изменения как по срокам, так и по содержанию. В нем   более  подробно рассматриваются расширенные возможности Astra Linux SE по созданию надежной инфраструктуры предприятия любой сложности  с самыми  высокими требованиями секретности. Все темы, ранее рассматривавшиеся только обзорно, теперь изучаются системно, с практическими работами и примерами из существующих проектов.

Что изменилось в новой версии курса и какие новые материалы появились:

  • Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.
  • Рассмотрим, как мандатные атрибуты файлов передаются по сети, как эту информацию реализуют приложения. Дабы добраться до истины, пришлось делать дампы TCP- пакетов, их и рассмотрим. 

Особенно интересно рассмотреть, как контент сессии перехватывается веб-сервером и передается базе данных или сервер печати, например. Увидим, что все работает исходя из мандатного уровня пользователя, обмануть систему пока не удалось, спасибо вендору.

  • Настройка СУБД PostgreSQL  работы с МРД с аутентификацией PAM, протестируем ее работу БД с сессиями различного мандатного контекста и различными параметрами их интерпретации базой данных
  • Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе. Если вы думаете, что знаете о мандатной целостности все – вы ошибаетесь. Масса тонкостей и нюансов, кажущихся парадоксальными, о которых вы не прочитаете в литературе! Знать почти все о целостности или, как ее еще называют, об уровне доверенности,  вы будете уже после курса.
  • Физическая реализация (сетевой и транспортный уровень) передачи информации о конфиденциальности (мандатных атрибутов) и взаимодействие с приложениями из комплекса программ ОС СН. Рассмотрим структуру заголовковTCP-пакетов, узнаем, где расположена мандатная метка и как она интерпретируется разными сервисами, как Астровскими, так и сторонними, которые не поддерживают МРД. Научимся «мандатизировать» сторонние программы, то есть, корректно работать с сессиями разного мандатного уровня.
  • Реализация замкнутой программной среды. Проверка целостности подсистемы защиты в свете нового функционала версии ОС СН  1.6.
  • Тестирование системы и  отдельное тестирование БД Postgres. Одно из официальных требований, к тому же, регламентированное. Тестируется подсистема безопасности PARSEC, все ее аспекты. Вдруг потенциальный противник каким-то образом внедрил вредоносный код и изменил алгоритм работы подсистемы безопасности? 

  • Работа и тонкая настройка БД Postgres для работы в режиме мандатного доступа как с аутентификацией PAM, так  и в среде ALD. База данных таит в себе масса слабо документированных сюрпризов по части настройки МРД  для объектов и контейнеров, реализации  ссылочной целостности, а также для параметров самой БД, определяющих алгоритм ее работы с сессиями различного контекста. Разберем подробно сложные ситуации.
  • Применение СКЗИ для работы с ГИС (государственными информационными системами).
  • Конфигурирование  комплекса программ ЕПП в составе Astra Linux Directory.
  • Интеграция с MS Active Directory Free IPA и Samba DC.
  • Рассмотрим встроенные в ОС СН 1.6 средства виртуализации – qemu, kvm, libvirt, научимся на лету создавать из командной строки виртуальные машины и настроим безопасность для работы с ними, а также рассмотрим новую систему виртуализации «Брест».

Подробная программа курса

1.  Понятия, используемые в теории компьютерной безопасности. Формальные модели и моделирование безопасности современных ОС.

2.  Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.

3.  Параметры настройки локальной политики безопасности ОССН. Работа с учётными записями пользователей и группами.

Рассматриваемые темы:

  • Дискреционное разграничение доступа. Модель
  • Разграничение файлового доступа на основе списков управления доступом (ACL).
  • Ролевая модель управления доступом
  • Мандатная модель управления доступом

4.  Мандатное управление доступом в ОССН. Реализация мандатного управления доступом в файловой системе.

Рассматриваемые темы:

  • МРОСЛ – модель. Механизм контроля мандатного разграничения доступа, архитектура PARSEC
  • Мандатный уровень, уровень целостности и категория
  • PARSEC –привилегии. Средства управления привилегиями пользователей и процессов
  • Вложенные объекты - дополнительные флаги мандатной метки (ccnr,ccnri, CCNRA, ehole, whole), правила наследования
  • Средства управления мандатными ПРД – графика и в режиме командной строки
  • Средства управления мандатными ПРД  устаревшие
  • Рекурсивная смена мандатной метки на файлах и директориях
  • Сетевое взаимодействие в среде МРД

    1. Запуск сервисов с ненулевым мандатным уровнем
    2. Запуск служб systemd под уровнем конфиденциальности и целостности
    3. Запуск процесса с заданными мандатными уровнем и категорией из командной строки и в отдельной графической сессии
    4. Механизм privsock
    5. Средства управления привилегиями  PARSEC для процессов

  • Возможные проблемы и их решения

Лабораторная работа: 

  • Настройка мандатных атрибутов для пользователя.
  • Настройка мандатных атрибутов для файлов,  директорий и процессов

5.  Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе.

Рассматриваемые темы:

  • Что такое целостность. Уровни целостности
  • Включение мандатного контроля целостности на ОС
  • Включение и  выключение мандатного контроля целостности на файловой системе
  • Администрирование ОС при включенном режиме МКЦ
  • Значения МКЦ по умолчанию
  • Правила наследования, значения МКЦ по умолчанию
  • Правила наследования, целостность для процессов 

Лабораторная работа: 

  • Настройка мандатных атрибутов  целостности для пользователя.
  • Настройка мандатных атрибутов целостности для файловой системы и процессов

6.  Настройка подсистемы аудита в ОССН.

Рассматриваемые темы:

  • Сбор архива журналов системных служб (astra-create-debug-logs)
  • Средства управления протоколированием, события файловых объектов и пользовательских процессов
  • Средства настройки и просмотра событий аудита безопасности.
  • Настройка серверов и клиентов, исключение из регистрации событий, включая системные.
  • Управление демоном parlogd, настройка системы централизованного сбора логов
  • Интеграция с rsyslogd
  • Средства централизованного аудита и протоколирования. Графическая система мониторинга Zabbix.

Лабораторная работа: 

  • Настройка аудита событий  успеха и неудачи отслеживаемых действий
  • Анализ  отчета из графического приложения и с помощью утилит командной строки.
  • Установка, настройка системы централизованного протоколирования Zabbix на сбор событий аудита Astra Linux .

7.  Реализация замкнутой программной среды. Проверка целостности подсистемы защиты.

Рассматриваемые темы:

  • Замкнутая программная среда.
  • Прописывание программных продуктов ключами, полученными от вендора.
  • Средство подсчета контрольных сумм.
  • Средство контроля соответствия дистрибутиву, дистрибутива, deb-пакетов.
  • Средства регламентного контроля целостности afick.
  • Средства тестирования ОС

Лабораторная работа: 

  • Применение режима замкнутой программной среды.
  • Настройка  контроля  целостности и соответствия дистрибутиву
  • Настройка и проведение регламентного контроля целостности
  • Тестирование ОС.

8.  Применение СКЗИ для работы с ГИС (государственными информационными системами).

Рассматриваемые темы:

  • ЭЦП в государственных информационных системах и электронно-торговых площадках
  • Государственные информационные системы (ГИС)
  • Электронные торговые площадки (ЭТП)

9.  Мандатное управление доступом в СУБД PostgreSQL.

Рассматриваемые темы:

  • Дискреционное управление доступом в СУБД PostgreSQL, средства управления дискреционными ПРД к объектам БД
  • Средство управления БД PostgreSQL - PgAdmin III
  • Мандатное управление доступом в СУБД PostgreSQL

  1. Особенности реализации, архитектура решения, интеграция с ОС в контексте МРД
  2. Параметры postgresql.conf БД для работы с мандатным контекстом

  • Средства управления мандатными ПРД к объектам БД
  • Целостность мандатных атрибутов кластера баз данных
  • Ссылочная целостность мандатных атрибутов
  • Особенности создания правил и триггеров
  • Функции сравнения для типа maclabel
  • Регистрация событий в СУБД PostgreSQL
  • Тестирование системы защиты и корректности СУБД PostgreSQL в Astra Linux

Лабораторная работа:

  • Настройка СУБД PostgreSQL  работы с МРД с аутентификацией PAM
  • Тестирование работы БД с сессиями различного мандатного контекста и различными параметрами их интерпретации базой данных

10.  Конфигурирование службы Astra Linux Directory.

Рассматриваемые темы:

  • Службы каталогов и ALD. Архитектура, ЕПП
  • Установка и настройка Astra Linux Directory, инструменты  и утилиты управления
  • Подключение клиентов к Astra Linux Directory
  • Доменные и локальные пользователи, разрешение конфликтов
  • Настройка шаблонов конфигурационных файлов
  • Резервное копирование , миграция  и восстановление КД
  • Возможность использования ldif-бекапов для кроссплатформенной миграции
  • Доверительные отношения с другими КД ALD
  • Выделенный файловый сервер домашних директорий
  • Настройка сервисов для работы с ALD, аутентификация Kerberos

 Лабораторная работа:

  • Настройка и подключение к Astra Linux Directory, создание доменных пользователей
  • Создание выделенного сервера домашних директорий
  • Создание  общего файлового хранилища на ФС CIFS (Samba) и организация доступа к нему учетом мандатных атрибутов пользователей домена (pam_mount)
  • Настройка веб-сервера Apache2 для аутентификации Kerberos
  • Резервное копирование и восстановление КД (полное и ldif)

11.  Интеграция с MS Active Directory Free IPA и Samba DC.

Рассматриваемые темы:

  1. Контроллер домена Free IPA
  2. Контроллер домена на Astra- Samba DC
  3. Установка ASTRA сервер
  4. DNS запись SRV типа для LDAP и Kerberos
  5. Windows клиент в домене
  6. ASTRA клиент в домене

  • Пути миграции, взаимные доверительные отношения
  • Пути интеграции с инфраструктурой, построенной на Microsoft AD

12.  Средства виртуализации.

Рассматриваемые темы:

  • Встроенные средства виртуализации – qemu, kvm, libvirt
  • Создание и управление виртуальными машинами
  • Дискреционное управление доступом к виртуальной машине
  • Дискреционное управление доступом к виртуальной машине
  • Обзор преимуществ системы виртуализации «Брест»

Лабораторная работа:  

  • Создание и управление ВМ с помощью утилит командной строки (qemu,  libvish)

ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ  УКЦ ФОРС:

13.  Реализация МРД  на примере приложения, основанного на связке: веб-сервер Apache2 + PHP + Postgresql + Принтер.

Рассматриваемые темы:

  • Установка  и настройка веб-сервера Apache2, работа с файлами с разными уровнями и категориями
  • Установка  и настройка сервера БД  PostgeSQL, загрузка данных с разными мандатными уровнями и категориями

Лабораторная работа

  • Тестирование функционирования безопасного доступа к данным  в зависимости от уровня мандатного доступа к файлам,  объектам БД и мандатного контекста сессии пользователя

14.  Система печати.

Рассматриваемые темы:

  • Система печати на автономной машине.
  • Система печати в вычислительной сети (PAM-аутентификация).
  • Система печати в вычислительной сети (Kerberos + ALD).
  • Настройка утилит управления.
  • Редактор маркеров.

Лабораторная работа:    

  • Печать документов с проставлением меток.
  • Отключение обязательной маркировки (не рекомендуется на практике)

15.  Механизмы очистки памяти.

Рассматриваемые темы:

  • Очистка блоков файловых систем.
  • Очистка блоков разделов подкачки.
  • Особенности работы с SSD

Лабораторная работа:    

  • Затирание информации на машинных носителях.

16.  Разграничение доступа к внешним носителям

Рассматриваемые темы:

  • Внешние сменные носители.
  • Настройка правил /etc/parsec/PDAC/rules.cfg
  • Регистрация устройств – локальная и в среде ЕПП.

Лабораторная работа:    

  • Регистрация носителей, создание правил
  • Разграничение доступа к внешним носителям с разными МРД.

17.  Практика: Настройка механизмов защиты от НСД

  • Уровни конфиденциальности
  • Режим Мандатного Контроля Целостности
  • Режим Мандатного Контроля Целостности ФС
  • Режим ЗПС (замкнутой программной среды) в исполняемых файлах
  • Блокировка консоли для пользователей
  • Блокировка интерпретаторов
  • Блокировка установки бита исполнения
  • Блокировка макросов
  • Блокировка трассировки ptrace
  • Гарантированное удаление файлов и папок
  • Межсетевой экран ufw
  • Системные ограничения ulimits
  • Блокировка клавиш SysRq
  • Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
  • Графический киоск
  • Системный киоск

18.  Средства виртуализации.

Рассматриваемые темы:

  • Встроенные средства виртуализации – qemu, kvm, libvirt
  • Создание и управление виртуальными машинами
  • Дискреционное управление доступом к виртуальной машине
  • Дискреционное управление доступом к виртуальной машине
  • Обзор преимуществ системы виртуализации «Брест»

Лабораторная работа:

Создание и управление ВМ с помощью утилит командной строки (qemu, libvish)

фцвцв1.png


Поделиться
Отправьте другу или начальнику ссылку на почту
Заявка на обучение

Заявка на обучение

Записаться на курс:

Город:

Дата: