Подробная программа курса

Для кого этот курс:  

Курс будет интересен  администраторам  безопасности, системным администраторам, которым требуется обеспечить комплексную безопасность сетевой инфраструктуры посредством ОС Astra Linux Special Edition и тем, кто планирует освоить смежную компетенцию специалиста по информационной безопасности.

В курсе рассматривается Astra Linux Common Edition и Astra Linux Special Edition.

Предварительная подготовка: 

Успешное окончание курса "Astra Linux Special Edition. Расширенное  администрирование ALSE-1603" или эквивалентная подготовка

Формат курса: очно или вебинар

Продолжительность курса:  5 дней / 40 ак.ч.

Результат обучения: по завершению курса слушатель будет:

• знать нормативные документы ФСТЭК;
• понимать принципы мандатного контроля целостности и мандатного управления доступом;
• настраивать локальные и доменные политики безопасности;
• настраивать учетные записи пользователей и группы в соответствии с МРД;      
• конфигурировать мандатное управление доступом;
• настраивать аудит безопасности ОС;
• конфигурировать ALD.    

Описание: 

Курс, получивший максимальные изменения как по срокам, так и по содержанию. В нем   более  подробно рассматриваются расширенные возможности Astra Linux SE по созданию надежной инфраструктуры предприятия любой сложности  с самыми  высокими требованиями секретности. Все темы, ранее рассматривавшиеся только обзорно, теперь изучаются системно, с практическими работами и примерами из существующих проектов.

Что изменилось в новой версии курса и какие новые материалы появились:

• Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.

• Рассмотрим, как мандатные атрибуты файлов передаются по сети, как эту информацию реализуют приложения. Дабы добраться до истины, пришлось делать дампы TCP- пакетов, их и рассмотрим. 

Особенно интересно рассмотреть, как контент сессии перехватывается веб-сервером и передается базе данных или сервер печати, например. Увидим, что все работает исходя из мандатного уровня пользователя, обмануть систему пока не удалось, спасибо вендору.

• Настройка СУБД PostgreSQL  работы с МРД с аутентификацией PAM, протестируем ее работу БД с сессиями различного мандатного контекста и различными параметрами их интерпретации базой данных

• Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе. Если вы думаете, что знаете о мандатной целостности все – вы ошибаетесь. Масса тонкостей и нюансов, кажущихся парадоксальными, о которых вы не прочитаете в литературе! Знать почти все о целостности или, как ее еще называют, об уровне доверенности,  вы будете уже после курса.

• Физическая реализация (сетевой и транспортный уровень) передачи информации о конфиденциальности (мандатных атрибутов) и взаимодействие с приложениями из комплекса программ ОС СН. Рассмотрим структуру заголовковTCP-пакетов, узнаем, где расположена мандатная метка и как она интерпретируется разными сервисами, как Астровскими, так и сторонними, которые не поддерживают МРД. Научимся «мандатизировать» сторонние программы, то есть, корректно работать с сессиями разного мандатного уровня.

• Реализация замкнутой программной среды. Проверка целостности подсистемы защиты в свете нового функционала версии ОС СН  1.6.

• Тестирование системы и  отдельное тестирование БД Postgres. Одно из официальных требований, к тому же, регламентированное. Тестируется подсистема безопасности PARSEC, все ее аспекты. Вдруг потенциальный противник каким-то образом внедрил вредоносный код и изменил алгоритм работы подсистемы безопасности? 

• Работа и тонкая настройка БД Postgres для работы в режиме мандатного доступа как с аутентификацией PAM, так  и в среде ALD. База данных таит в себе масса слабо документированных сюрпризов по части настройки МРД  для объектов и контейнеров, реализации  ссылочной целостности, а также для параметров самой БД, определяющих алгоритм ее работы с сессиями различного контекста. Разберем подробно сложные ситуации.

• Применение СКЗИ для работы с ГИС (государственными информационными системами).

• Конфигурирование  комплекса программ ЕПП в составе Astra Linux Directory.

• Интеграция с MS Active Directory Free IPA и Samba DC.

• Рассмотрим встроенные в ОС СН 1.6 средства виртуализации – qemu, kvm, libvirt, научимся на лету создавать из командной строки виртуальные машины и настроим безопасность для работы с ними, а также рассмотрим новую систему виртуализации «Брест».
• 
  

Подробная программа курса

1.  Понятия, используемые в теории компьютерной безопасности. Формальные модели и моделирование безопасности современных ОС.

2.  Нормативные документы ФСТЭК России, регламентирующие требования безопасности информации к ОС общего назначения.

3.  Параметры настройки локальной политики безопасности ОССН. Работа с учётными записями пользователей и группами.

Рассматриваемые темы:

• Дискреционное разграничение доступа. Модель
  

• Разграничение файлового доступа на основе списков управления доступом (ACL).
  

• Ролевая модель управления доступом
  

• Мандатная модель управления доступом
  

4.  Мандатное управление доступом в ОССН. Реализация мандатного управления доступом в файловой системе.

Рассматриваемые темы:

• МРОСЛ – модель. Механизм контроля мандатного разграничения доступа, архитектура PARSEC

• Мандатный уровень, уровень целостности и категория

• PARSEC –привилегии. Средства управления привилегиями пользователей и процессов

• Вложенные объекты - дополнительные флаги мандатной метки (ccnr,ccnri, CCNRA, ehole, whole), правила наследования

• Средства управления мандатными ПРД – графика и в режиме командной строки

• Средства управления мандатными ПРД  устаревшие

• Рекурсивная смена мандатной метки на файлах и директориях

• Сетевое взаимодействие в среде МРД

1. Запуск сервисов с ненулевым мандатным уровнем
2. Запуск служб systemd под уровнем конфиденциальности и целостности
3. Запуск процесса с заданными мандатными уровнем и категорией из командной строки и в отдельной графической сессии
4. Механизм privsock
5. Средства управления привилегиями  PARSEC для процессов

• Возможные проблемы и их решения

Лабораторная работа: 

• Настройка мандатных атрибутов для пользователя.

• Настройка мандатных атрибутов для файлов,  директорий и процессов

5.  Мандатный контроль целостности в ОССН. Реализация мандатного контроля целостности в файловой системе.

Рассматриваемые темы:

• Что такое целостность. Уровни целостности

• Включение мандатного контроля целостности на ОС

• Включение и  выключение мандатного контроля целостности на файловой системе

• Администрирование ОС при включенном режиме МКЦ

• Значения МКЦ по умолчанию

• Правила наследования, значения МКЦ по умолчанию

• Правила наследования, целостность для процессов 

Лабораторная работа: 

• Настройка мандатных атрибутов  целостности для пользователя.

• Настройка мандатных атрибутов целостности для файловой системы и процессов

6.  Настройка подсистемы аудита в ОССН.

Рассматриваемые темы:

• Сбор архива журналов системных служб (astra-create-debug-logs)

• Средства управления протоколированием, события файловых объектов и пользовательских процессов

• Средства настройки и просмотра событий аудита безопасности.

• Настройка серверов и клиентов, исключение из регистрации событий, включая системные.

• Управление демоном parlogd, настройка системы централизованного сбора логов

• Интеграция с rsyslogd

• Средства централизованного аудита и протоколирования. Графическая система мониторинга Zabbix.

Лабораторная работа: 

• Настройка аудита событий  успеха и неудачи отслеживаемых действий

• Анализ  отчета из графического приложения и с помощью утилит командной строки.

• Установка, настройка системы централизованного протоколирования Zabbix на сбор событий аудита Astra Linux .

7.  Реализация замкнутой программной среды. Проверка целостности подсистемы защиты.

Рассматриваемые темы:

• Замкнутая программная среда.

• Прописывание программных продуктов ключами, полученными от вендора.

• Средство подсчета контрольных сумм.

• Средство контроля соответствия дистрибутиву, дистрибутива, deb-пакетов.

• Средства регламентного контроля целостности afick.

• Средства тестирования ОС

Лабораторная работа: 

• Применение режима замкнутой программной среды.

• Настройка  контроля  целостности и соответствия дистрибутиву

• Настройка и проведение регламентного контроля целостности

• Тестирование ОС.

8.  Применение СКЗИ для работы с ГИС (государственными информационными системами).

Рассматриваемые темы:

• ЭЦП в государственных информационных системах и электронно-торговых площадках

• Государственные информационные системы (ГИС)

• Электронные торговые площадки (ЭТП)

9.  Мандатное управление доступом в СУБД PostgreSQL.

Рассматриваемые темы:

• Дискреционное управление доступом в СУБД PostgreSQL, средства управления дискреционными ПРД к объектам БД

• Средство управления БД PostgreSQL - PgAdmin III

• Мандатное управление доступом в СУБД PostgreSQL

1. Особенности реализации, архитектура решения, интеграция с ОС в контексте МРД
2. Параметры postgresql.conf БД для работы с мандатным контекстом

• Средства управления мандатными ПРД к объектам БД

• Целостность мандатных атрибутов кластера баз данных

• Ссылочная целостность мандатных атрибутов

• Особенности создания правил и триггеров

• Функции сравнения для типа maclabel

• Регистрация событий в СУБД PostgreSQL

• Тестирование системы защиты и корректности СУБД PostgreSQL в Astra Linux

Лабораторная работа:

• Настройка СУБД PostgreSQL  работы с МРД с аутентификацией PAM

• Тестирование работы БД с сессиями различного мандатного контекста и различными параметрами их интерпретации базой данных

10.  Конфигурирование службы Astra Linux Directory.

Рассматриваемые темы:

• Службы каталогов и ALD. Архитектура, ЕПП

• Установка и настройка Astra Linux Directory, инструменты  и утилиты управления

• Подключение клиентов к Astra Linux Directory

• Доменные и локальные пользователи, разрешение конфликтов

• Настройка шаблонов конфигурационных файлов

• Резервное копирование , миграция  и восстановление КД

• Возможность использования ldif-бекапов для кроссплатформенной миграции

• Доверительные отношения с другими КД ALD

• Выделенный файловый сервер домашних директорий

• Настройка сервисов для работы с ALD, аутентификация Kerberos

 Лабораторная работа:

• Настройка и подключение к Astra Linux Directory, создание доменных пользователей

• Создание выделенного сервера домашних директорий

• Создание  общего файлового хранилища на ФС CIFS (Samba) и организация доступа к нему учетом мандатных атрибутов пользователей домена (pam_mount)

• Настройка веб-сервера Apache2 для аутентификации Kerberos

• Резервное копирование и восстановление КД (полное и ldif)

11.  Интеграция с MS Active Directory Free IPA и Samba DC.

Рассматриваемые темы:

1. Контроллер домена Free IPA
2. Контроллер домена на Astra- Samba DC
3. Установка ASTRA сервер
4. DNS запись SRV типа для LDAP и Kerberos
5. Windows клиент в домене
6. ASTRA клиент в домене

• Пути миграции, взаимные доверительные отношения

• Пути интеграции с инфраструктурой, построенной на Microsoft AD

12.  Средства виртуализации.

Рассматриваемые темы:

• Встроенные средства виртуализации – qemu, kvm, libvirt

• Создание и управление виртуальными машинами

• Дискреционное управление доступом к виртуальной машине

• Дискреционное управление доступом к виртуальной машине

• Обзор преимуществ системы виртуализации «Брест»

Лабораторная работа:  

• Создание и управление ВМ с помощью утилит командной строки (qemu,  libvish)