В. Р. Ильдиряков защита информации при разработке и эксплуатации корпоративных информационных систем и систем обработки персональных данных практические занятия учебнометодическое пособие
 Скачать 1.33 Mb.
|
Упражнение 6. Анализ шаблона политики безопасностиПерейдите в консоль Анализ и настройка безопасности, щелкните правой кнопкой и выберите Открыть базу данных. В появившемся окне установите путь хранения C:\ и произвольное имя базы данных. В окне выбора шаблона безопасности установите шаблон TestTemplate. Щелкните правой кнопкой на узле Анализ и настройка безопасности и выберите пункт Анализ компьютера. Просмотрите сочетание существующих и предлагаемых настроек компьютера. Щелкните правой кнопкой на узле Анализ и настройка безопасности и выберите пункт Настроить компьютер. Дождитесь окончания выполнения процесса настройки компьютера, затем завершите сеанс. Проверьте результат выполнения политики безопасности: отсутствие имени пользователя при входе в систему; сообщение, отображаемое при входе в систему; содержимое группы Администраторы; состояние запрещённой в предыдущем упражнении службы. Закройте все окна и завершите сеанс. Упражнение 7. Работа с групповыми политикамиВключите рабочую станцию в предустановленный домен. Для этого: целкните правой кнопкой на иконке Мой компьютер, выберите Свойства; перейдите во вкладку Имя компьютера и нажмите кнопку Изменить; установите переключатель Является членом домена и в поле укажите имя домена. В поле ввода имени пользователя и пароля укажите: имя пользователя: Администратор; пароль password. Дождитесь приглашения для перезагрузки рабочей станции и перезагрузите ее. Создайте 2 новых вложенных подразделения Защищенные ресурсы и Защищенные рабочие станции. На контроллере домена откройте оснастку Active Directory → пользователи и компьютеры. Щелкните правой кнопкой на имени домена, выберите Создать → Подразделение. Укажите наименование подразделения Защищенные ресурсы. Аналогично создайте вложенное подразделение Защищенные рабочие станции. Переместите включенную рабочую станцию class-win откройте узел Computers; целкните на изображении рабочей станции class-win в появившемся окне выберите подразделение Защищенные рабочие станции. Создайте групповую политику для подразделения Защищенные рабочие станции: целкните правой кнопкой на подразделении Защищенные рабочие станции и выберите Свойства; перейдите на вкладку Групповая политика и нажмите Создать, затем Изменить; выберите узел Конфигурация компьютера, затем Конфигурация Windows, затем Параметры безопасности; целкните правой кнопкой и выберите Импорт политики…, в появившемся окне выберите securews.inf. Просмотрите параметры безопасности в созданной групповой политике. Практическое занятие №4 Построение системы межсетевого экранированияУпражнение 1. Сетевое сканирование nmapnmap — свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем [5]. nmap использует различные методы сканирования, таких как UDP, TCP (connect), TCP SYN (полуоткрытое), FTP-proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- и NULL-сканирование. Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации, а также произвольное указание IP-адресов и номеров портов сканируемых сетей. Создайте виртуальную машину, используя инструкции из упражнения 1 практического занятия №1. Используйте установочный образ RedHat Enterprise Linux 6. Ping-сканирование - наиболее распространенным и простым способом сканирования является простое ping-сканирование, которое заключается в отправке ICMP пакетов на исседуемый узел сети. Просканируйте заданный преподателем узел командой ping 192.168.58.103 TCP Connect - метод сканирования, при котором сканирующая машина пытается установить соединение со сканируемой. Успешный результат говорит о том, что порт открыт, неудачный — о том, что он закрыт или фильтруется. Просканируйте заданный преподателем узел командой nmap –sT 192.168.58.103 Увеличьте информативность вывода результатов сканирования, используя ключ -v. TCP-SYN - режим полуоткрытого сканирования. При вызове nmap посылает SYN-пакет. Если в ответе присутствуют флаги SYN или ACK, считается, что порт открыт. Флаг RST говорит об обратном. Сканирование осуществляется только при наличии прав суперпользователя (root). Просканируйте заданный преподателем узел командой nmap –sS 192.168.58.103 Межсетевой экран или другие защитные средства могут ожидать приходящие SYN-пакеты. Существует еще целая группа возможных способов сканирования, альтернативных TCP SYN. Это FIN, Xmas Tree и NULL-сканирования. Просканируйте заданый преподателем узел командами nmap –sF 192.168.58.103 nmap –sX 192.168.58.103 nmap –sN 192.168.58.103 Сканирование протоколов IP - сканируемому узлу передаются IP пакеты без заголовков для каждого протокола сканируемого хоста. Если получено сообщение, говорящее о недоступности протокола, то этот протокол не поддерживается хостом. В противном случае — поддерживается. Просканируйте заданный преподателем узел командой nmap –sO 192.168.58.103 ACK сканирование заключается в передаче ACK пакетов на сканируемый порт. Если в ответ приходит RST-пакет, порт классифицируется как нефильтруемый. Просканируйте заданный преподателем узел командой nmap –sA 192.168.58.103 |