RC1920_TP39_КЗ. Методические рекомендации по выполнению. Конкурсное задание имеет несколько модулей, выполняемых последовательно
Скачать 1.55 Mb.
|
Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 1 Конкурсное задание КОМПЕТЕНЦИЯ «СЕТЕВОЕ И СИСТЕМНОЕ АДМИНИСТРИРОВАНИЕ» Конкурсное задание включает в себя следующие разделы: 1. Формы участия в конкурсе 2. Задание для конкурса 3. Модули задания и необходимое время 4. Критерии оценки 5. Необходимые приложения Количество часов на выполнение задания: 15 ч. 1) ФОРМЫ УЧАСТИЯ В КОНКУРСЕ Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 2 Индивидуальный конкурс. 2) ЗАДАНИЕ ДЛЯ КОНКУРСА Содержанием конкурсного задания являются работы по пусконаладке сетевой инфраструктуры на базе современного сетевого оборудования и операционных систем семейства Windows и Linux. Участники соревнований получают инструкцию, сетевые диаграммы и методические рекомендации по выполнению. Конкурсное задание имеет несколько модулей, выполняемых последовательно. Задание национального финала является утвержденным. В нем присутствуют 3 из 5 модулей, т.е. возможно набрать максимально 45 из 100 баллов Конкурс включает в себя “Пусконаладку инфраструктуры на основе OC семейства Linux”; “Пусконаладку инфраструктуры на основе OC семейства Windows”; “Пусконаладку телекоммуникационного оборудования”. Окончательная методика проверки уточняются членами жюри. Оценка производится в отношении работы модулей. Если участник конкурса не выполняет требования техники безопасности, подвергает опасности себя или других конкурсантов, такой участник может быть отстранен от конкурса. Время и детали конкурсного задания в зависимости от конкурсных условий могут быть изменены членами жюри, по согласованию с менеджером компетенции. Конкурсное задание должно выполняться в формате “один модуль в день”, циклически по модулям А-B-C. Оценка каждого модуля происходит ежедневно. Задания разработаны и протестированы группой сертифицированных экспертов: Таблица 1 – Группа сертифицированных экспертов Модуль конкурсного задания Роль ФИО Эксперта Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux» Ведущий разработчик М.М. Фучко Группа разработки А.Г. Уймин Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows» Ведущий разработчик Д.В. Дюгуров Модуль С: «Пусконаладка телекоммуникационного оборудования» Ведущий разработчик С.И. Добрынин Группа разработки А.А. Щербинин Группа разработки А.Г. Уймин. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 3 3. МОДУЛИ ЗАДАНИЯ И НЕОБХОДИМОЕ ВРЕМЯ Модули и время приведены в таблице 2. Таблица 2 – Время выполнение модуля № п/п Наименование модуля Рабочее время Время на задание 1 Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux» В соответствии с жеребьевкой по циклу A- B-C 5 ч. 2 Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows» 5 ч. 3 Модуль С: «Пусконаладка телекоммуникационного оборудования» 5 ч. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 4 Модуль А: «Пусконаладка инфраструктуры на основе OC семейства Linux» Версия 5 от 31.07.19. ВВЕДЕНИЕ Умение работать с системами на основе открытого исходного кода становится все более важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное конкурсное задание содержит множество задач, основанных на опыте реальной эксплуатации информационных систем, в основном, интеграции и аутсорсинге. Если вы можете выполнить задание с высоким результатом, то вы точно сможете обслуживать информационную инфраструктуру большого предприятия. ОПИСАНИЕ КОНКУРСНОГО ЗАДАНИЯ Данное конкурсное задание разработано с использованием различных открытых технологий, с которыми вы должны быть знакомы по сертификационным курсам LPIC и Red Hat. Задания поделены на следующие секции: ー Базовая конфигурация ー Конфигурация сетевой инфраструктуры ー Службы централизованного управления и журналирования ー Конфигурация служб удаленного доступа ー Конфигурация веб-служб ー Конфигурация служб хранения данных ー Конфигурация параметров безопасности и служб аутентификации Секции независимы друг от друга, но вместе они образуют достаточно сложную инфраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть неочевидными. Можно заметить, что некоторые технологии должны работать в связке или поверх других технологий. Например, динамическая маршрутизация должна выполняться поверх настроенного между организациями туннеля. Важно понимать, что если вам не удалось настроить полностью технологический стек, то это не означает, что работа не будет оценена. Например, для удаленного доступа необходимо настроить IPsec-туннель, внутри которого организовать GRE-туннель. Если, например, вам не удалось настроить IPsec, но вы смогли настроить GRE, то вы все еще получите баллы за организацию удаленного доступа. ИНСТРУКЦИИ ДЛЯ УЧАСТНИКА В первую очередь необходимо прочитать задание полностью. Следует обратить внимание, что задание составлено не в хронологическом порядке. Некоторые секции могут потребовать действий из других секций, которые изложены ниже. На вас возлагается ответственность за распределение своего рабочего времени. Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас есть зависимости в технологическом стеке) и продолжить выполнение других задач. Рекомендуется тщательно проверять результаты своей работы. Доступ ко всем виртуальным машинам настроен по аккаунту root:toor. Если Вам требуется установить пароль, (и он не указан в задании) используйте: “P@ssw0rd”. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 5 Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса возникнут проблемы. Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-RTR-A, L-RTR-B, L-CLI-A, L-CLI-B. Организация RIGHT включает виртуальные машины: R-SRV, R-FW, R-RTR, R-CLI. НЕОБХОДИМОЕ ОБОРУДОВАНИЕ, ПРИБОРЫ, ПО И МАТЕРИАЛЫ Ожидается, что конкурсное задание выполнимо Участником с привлечением оборудования и материалов, указанных в Инфраструктурном Листе. В качестве системной ОС в организации LEFT используется Debian В качестве системной ОС в организации RIGHT используется CentOS Вам доступен диск CentOS-7-x86_64-Everything-1810.iso Вам доступен диск debian-10.0.0-amd64-BD-1.iso Вам доступен диск debian-10.0.0-amd64-BD-2.iso Вам доступен диск debian-10.0.0-amd64-BD-3.iso Вам доступен диск debian-10.0.0-amd64-BD-4.iso Вам доступен диск Additional.iso, на котором располагаются недостающие RPM пакеты Внимание! Все указанные компоненты предоставляются участникам в виде ISO- файлов на локальном или удаленном хранилище. Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами. Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы. В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 6 СХЕМА ОЦЕНКИ Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в субкритерии. Схема оценка построена таким образом, чтобы каждый пункт оценивался только один раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех устройств, однако этот пункт будет проверен только на одном устройстве и оценен только 1 раз. Одинаковые пункты могут быть проверены и оценены больше чем 1 раз, если для их выполнения применяются разные настройки или они выполняются на разных классах устройств. Подробное описание методики проверки должно быть разработано экспертами, принимавшими участие в оценке конкурсного задания чемпионата, и вынесено в отдельный документ. Данный документ, как и схема оценки, является объектом внесения 30% изменений. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 7 Конфигурация хостов 1) Настройте имена хостов в соответствии с Диаграммой. 2) Установите следующее ПО на ВСЕ виртуальные машины: a) tcpdump b) net-tools c) curl d) vim e) lynx f) dhclient g) bind-utils h) nfs-utils i) cifs-utils j) sshpass 3) На хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет. 4) В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет. 5) Все хосты должны быть доступны аккаунту root по SSH на стандартном(22) порту Конфигурация сетевой инфраструктуры 1) Настройте IP-адресацию на ВСЕХ хостах в соответствии с Диаграммой. 2) Настройте сервер протокола динамической конфигурации хостов для L-CLI-A и L- CLI-B a) В качестве DHCP-сервера организации LEFT используйте L-RTR-A. i) Используйте пул адресов 172.16.100.65 — 172.16.100.75 для сети L-RTR- A ii) Используйте пул адресов 172.16.200.65 — 172.16.200.75 для сети L-RTR- B iii) Используете адрес L-SRV в качестве адреса DNS-сервера. b) Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксированный IP-адрес в соответствии с Диаграммой. c) В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего маршрутизатора в локальной сети. d) Используйте DNS-суффикс skill39.wsr. e) DNS-записи типа A и PTR соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера. 3) На L-SRV настройте службу разрешения доменных имен a) Сервер должен обслуживать зону skill39.wsr. b) Сопоставление имен организовать в соответствии с Таблицей 1. c) Настройте на R-SRV роль вторичного DNS сервера для зоны skill39.wsr. i) Используете адрес R-SRV в качестве адреса DNS-сервера для R-CLI. d) Запросы, которые выходят за рамки зоны skill39.wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя ya.ru. e) Реализуйте поддержку разрешения обратной зоны. f) Файлы зон располагать в /opt/dns/ 4) На L-FW и R-FW настройте интернет-шлюзы для организации коллективного доступа в Интернет. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 8 a) Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса. b) Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW. c) Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L- SRV. www.skill39.wsr должен преобразовываться во внешний адрес R-FW. Службы централизованного управления и журналирования 1) Разверните LDAP-сервер для организации централизованного управления учетными записями a) В качестве сервера выступает L-SRV. b) Учетные записи создать в соответствии с Таблицей 2. c) Группы(LDAP) и пользователей создать в соответствии с Таблицей 2. d) Пользователи должны быть расположены в OU Users. e) Группы должны быть расположены в OU Groups. f) L-CLI-A, L-SRV и L-CLI-B должны аутентифицироваться через LDAP. 2) На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV. a) Журналы должны храниться в директории /opt/logs/. b) Журналирование должно производится в соответствии с Таблицей 3. Конфигурация служб удаленного доступа 1) На L-FW настройте сервер удаленного доступа на основе технологии OpenVPN: a) В качестве сервера выступает L-FW b) Параметры туннеля. i) Устройство TUN. ii) Протокол UDP. iii) Применяется сжатие. iv) Порт сервера 1122. c) Ключевая информация должна быть сгенерирована на R-FW. d) В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27. e) Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn. f) Подключившийся клиент должен быть автоматически сконфигурирован на использование DNS-инфраструктуры предприятия. 2) На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN: a) Запуск удаленного подключения должен выполняться скриптом start_vpn.sh i) Отключение VPN-туннеля должно выполняться скриптом stop_vpn.sh. ii) Скрипты должны располагаться в /opt/vpn. iii) Скрипты должны вызываться из любого каталога без указания пути. iv) Используйте следующий каталог для расположения файлов скриптов /opt/vpn/. 3) Настройте защищенный канал передачи данных между L-FW и R-FW с помощью технологии IPSEC: a) Параметры политики первой фазы IPSec: i) Проверка целостности SHA-1 ii) Шифрование 3DES iii) Группа Диффи-Хеллмана — 14 (2048) iv) Аутентификация по общему ключу WSR-2019 b) Параметры преобразования трафика для второй фазы IPSec: i) Протокол ESP Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 9 ii) Шифрование AES iii) Проверка целостности SHA-2 c) В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между L-FW и R-FW 4) Настройте GRE-туннель между L-FW и R-FW: a) Используйте следующую адресацию внутри GRE-туннеля: i) L-FW: 10.5.5.1/30 ii) R-FW: 10.5.5.2/30 5) Настройте динамическую маршрутизацию по протоколу OSPF с использованием пакета FRR: a) Анонсируйте все сети, необходимые для достижения полной связности. b) Применение статических маршрутов не допускается. c) В обмене маршрутной информацией участвуют L-RTR-A, L-RTR-B, R-RTR, L- FW и R-FW. d) Соседство и обмен маршрутной информацией между L-FW и R-FW должно осуществляться исключительно через настроенный GRE-туннель. e) Анонсируйте сети локальных интерфейсов L-RTR-A и L-RTR-B. f) Запретите рассылку служебной информации OSPF в сторону клиентских машин и глобальной сети. 6) На L-FW настройте удаленный доступ по протоколу SSH: a) Доступ ограничен пользователями ssh_p, root и ssh_c i) В качестве пароля пользователь (кроме root) использовать ssh_pass. ii) root использует стандартный пароль b) SSH-сервер должен работать на порту 22 7) На OUT-CLI настройте клиент удаленного доступа SSH: a) Доступ к L-FW из под локальной учетной записи root под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей. Конфигурация веб-служб 1) На R-SRV установите и настройте веб-сервер apache: a) Настройте веб-сайт для внешнего пользования www.skill39.wsr. i) Используйте директорию /var/www/html/out. ii) Используйте порт 8088. iii) Сайт предоставляет доступ к двум файлам. 1) index.html, содержимое “Hello, www.skill39.wsr is here!” 2) date.php(исполняемый PHP-скрипт), содержимое: a) Вызов функции date('Y-m-d H:i:s'); 2) На R-FW настройте реверс-прокси на основе NGINX: a) Сайт www.skill39.wsr должен быть доступен из внешней сети по внешнему адресу R-FW b) Все настройки, связанные с заданием, должны содержаться в отдельном конфигурационном файле в каталоге /etc/nginx/conf.d/task.conf i) Конфигурация основного файла должна быть минимальной и не влиять на работу NGINX в рамках выполнения задания. c) Настройте SSL и автоматическое перенаправление незащищенных запросов на HTTPS-порт того же самого сервера. d) Реализуйте пассивную проверку работоспособности бекенда. i) Считать веб-сервер неработающим после 4 ошибок. ii) Считать веб-сервер неработающим в течение 43 секунд. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 10 e) Реализуйте кэширование: i) Запросы к любым PHP-скриптам не должны кэшироваться. ii) Кэширование успешных запросов к остальным типам данных должно выполняться в течение 40 секунд. Конфигурация служб хранения данных 1) Реализуйте синхронизацию каталогов на основе демона rsyncd. a) В качестве сервера синхронизации используется L-SRV. i. Для работы синхронизации создайте специального пользователя mrsync 1. В качестве пароля используйте toor. ii. Домашний каталог данного пользователя должен быть расположен в /opt/sync/. Данный каталог используйте как каталог синхронизации iii. Домашний каталог не должен содержать никакой посторонней информации. iv. Для выполнения синхронизации создайте rsync-пользователя sync c паролем parol666. v. Подключение к rsyncd должны быть разрешены исключительно от клиентов L-CLI-A и L-CLI-B b) В качестве клиентов используются L-CLI-A и L-CLI-B i. Синхронизируемый каталог располагается по адресу /root/sync/ ii. Каталоги должны быть зеркально идентичны по содержимому. 1. Приоритетным каталогом считается каталог на L-CLI-A iii. Реализуйте синхронизацию в виде скрипта: 1. Скрипт находится по адресу /root/sync.sh 2. Автоматизация скрипта реализована средствами cron пользователя root. 3. Выполнение производится каждую минуту. Конфигурация параметров безопасности и служб аутентификации 1) Настройте CA на R-FW, используя OpenSSL. a) Используйте /etc/ca в качестве корневой директории CA b) Атрибуты CA должны быть следующими: i) Страна RU ii) Организация WorldSkills Russia iii) CN должен быть установлен как WSR CA c) Создайте корневой сертификат CA d) Все клиентские операционные системы должны доверять CA 3) Настройте межсетевой экран iptables на L-FW и firewalld на R-FW a) Запретите прямое попадание трафика из сетей в Internal b) Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW c) Разрешите необходимый трафик для создания IPSec и GRE туннелей между организациями d) Разрешите SSH подключения на соответствующий порт e) Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal f) Разрешите необходимый трафик к серверам L-SRV и R-SRV для работы настроенных сервисов. g) Остальные сервисы следует запретить. Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 11 i) В отношении входящих (из внешней сети) ICMP запросов поступать по своему усмотрению Таблица 1 – DNS-имена Хост DNS-имя L-CLI-A A,PTR: l-cli-a.skill39.wsr L-CLI-B A,PTR: l-cli-b.skill39.wsr L-SRV A,PTR: l-srv.skill39.wsr CNAME: server.skill39.wsr L-FW A: l-fw.skill39.wsr R-FW A: r-fw.skill39.wsr CNAME: www.skill39.wsr R-SRV A,PTR: r-srv.skill39.wsr Таблица 2 – Учетные записи LDAP Группа CN Пароль Доступ Admin tux toor L-SRV, L-CLI-A L-CLI-B Guest user1 – user99 P@ssw0rd L-CLI-A L-CLI-B Copyright © Союз «Ворлдскиллс Россия «39 Сетевое и системное администрирование» RC1920_TP39 12 Таблица 3 – Правила журналирования Источник Уровень журнала (строгое соответствие) Файл L-SRV auth.* /opt/logs/ |