Телефон: 7(495)933-00-06 / О компании
/ Наши координаты / Карта
сайта / 
 |
|
|
Описание курса Администратор Программного Комплекса
Efros Defence Operations
(EDO). Модуль Network Access Control (NAC) (Разграничение и контроль
доступа в сети) План обучения 1. Вид
занятий: лекции, практическая работа, тестирование. 2. Тема курса: изучение EDO на уровне администратора комплекса,
получение навыков работы с модулем NAC. Требования к ПК, демонстрация
установки, первичная настройка комплекса EDO, настройка сценариев доступа в сеть и на
оборудование. 3. Требования к обучающимся:
‐
понимание модели OSI; ‐
базовые знания
схемы AAA, протоколов RADIUS и TACACS, протоколов аутентификации;
Содержание
курса День 1 1 Общая часть 1.1
Презентация, описание EDO (50 минут) · Назначение Подробный
рассказ про EDO: зачем был
создан, как развивался, для чего используется, основные возможности,
преимущества, выполнение требований законодательства · Структура комплекса Описание структуры комплекса, краткий
рассказ про функциональные модули, микросервисы · Политика лицензирования Рассказ о политике лицензирования 1.2 Подготовка к установке, предварительные
требования (10 минут) ·
Минимальные технические требования Объяснение
необходимых минимальных требований к среде функционирования ПК – аппаратных,
программных, необходимые порты ·
Виды дистрибутивов Перечисление
видов дистрибутивов, портативных агентов, сертифицированной сборки и т.д. Перерыв 1.3 Установка ПК
EDO. Демонстрация (2 часа) · Установка и первоначальная настройка серверной части
ПК на ОС Astra Linux Установка ПК на подготовленные
заранее ВМ с предустановленной ОС Astra
Linux. Использование скриптов,
работа с контейнерами Docker. Практическая работа – установка ПК EDO ·
Удаление ПК
EDO Ознакомление с необходимыми
командами для удаления ПК EDO 1.4 Начало
работы (20 мин) · Знакомство с веб-интерфейсом Первоначальный вход/выход, смена
пароля учетной записи. Фильтрация, поиск, отображение колонок · Активация лицензии Варианты активации (онлайн/оффлайн),
добавление ключа лицензии в комплекс Практическая работа –
активация продукта. Обед 1.5 Раздел
«Администрирование» (15 мин) Демонстрация + опционально практическая
работа – добавление Пользователя EDO. · Подраздел «Пользователи» Управление учетными записями (УЗ)
пользователей, назначение ролей, привилегий. Создание групп пользователей. Использование
настроек безопасности УЗ и парольной политики. · Подраздел «Планировщик» Рассказ о роли планировщика в
комплексе, его использование, типы – по событию, по расписанию. Предустановленные
задачи, настройка оповещений · Подраздел «Сертификаты» Использование сертификатов при
доступе к веб-интерфейсу ПК EDO. Подробнее
о работе с сертификатами – в модуле NAC 1.6 Раздел «Объекты
сети» (30 мин) · Подраздел «Объекты защиты» Отображение, создание,
редактирование, удаление объектов защиты, добавление возможностей · Подраздел «База знаний» Назначение подраздела, структура
отображения объектов · Подраздел «Конечные точки» Общая информация о подразделе.
Подробнее – в модуле NAC · Подраздел «Сканирование» Использование автоматизированной
возможности формирования списка подключенных устройств к ПК EDO 1.7 Раздел «Настройки» (15 мин) · Блок «Общие»: · Подраздел «Хранение данных» Управление сроками и объёмом
хранения данных, событий и потокам данных · Подраздел «Почтовые серверы» Рассказ о способах интеграции с
почтовым сервером (SMTP, Microsoft Exchange), настройка параметров отправки почтовых сообщений · Подраздел «Импорт данных» Ознакомление с перечнем возможных
данных для загрузки в комплекс, алгоритм импорта данных 1.8 Раздел «Мониторинг»
(10 мин) Демонстрация + опционально практические
работы Использование виджетов для
отображения информации о метриках комплекса – работа с вкладками, создание,
настройка виджетов 1.9 Раздел «События»
(20 мин) · Подраздел «Системные события» Демонстрация раздела событий, типов
событий. · Подраздел «Аудит» Демонстрация работы с событиями,
связанными с действиями пользователя при работе с комплексом – фильтрация,
экспорт, классы и типы событий · Подраздел «Объекты защиты» Демонстрация работы со списком
событий безопасности, полученных от ОЗ – фильтрация, экспорт, типы событий,
важность · Подраздел «Доступ в сеть» Краткий рассказ о структуре событий
подраздела. Подробнее – в модуле NAC · Подраздел «Доступ на оборудование» Краткий рассказ о структуре событий
подраздела. Подробнее – в модуле NAC Вопросы (30 минут) День 2 2 Модуль NAC практические работы –
выборочно к разделам 2.1
Вводная часть (20 мин) Виды
сетевого доступа, схема ААА, протоколы доступа в сеть и на оборудование, методы
аутентификации 2.2
Источники данных (1 час) Как
и для чего используются в комплексе, для каких сценариев применимы · Внешние Рассказ
о процессе авторизации с участием внешних источников данных. Настройка
взаимодействия с серверами служб каталогов, различные типы подключения – AD, LDAP.
Работа с сертификатами: использование встроенного центра сертификации, выпуск
клиентских сертификатов; использование стороннего центра сертификации,
добавление сертификатов в комплекс EDO. Создание профиля
сертификатов, принцип работы. · Внутренние Работа
с локальными хранилищами данных о пользователях и устройствах, особенности
использования – сетевые пользователи, разрешенные MAC-адреса, конечные точки.
Работа с карточкой конечной точки – назначение меток, отправка Change of
Authorization (CoA), автоматически формируемые атрибуты, добавление в
список разрешенных MAC-адресов 2.3
Подраздел «Словари» (15 минут) Как
и для чего используются в комплексе, состав и типы словарей – системные,
пользовательские, псевдословари. · Системные Описание предустановленных в
комплексе словарей, их использование для настройки доступа по протоколам RADIUS, TACACS; наиболее
часто используемые атрибуты · Псевдословари Описание предустановленных в
комплексе словарей, их использование для настройки доступа по протоколам RADIUS, TACACS,
профилирования; наиболее часто используемые атрибуты · Пользовательские Демонстрация
процесса создания и использования словарей, созданных пользователем вручную 2.4 Подраздел «Профили оборудования» (30 минут) · Словари RADIUS Какие словари необходимо выбирать,
как используются, на что влияют · Условия сценариев доступа Использование в наборах политик в
качестве шаблонов, пример настроек условий сценариев доступа · Разрешения Определение атрибутов для
использования устройством при назначении VLAN и ACL · CoA Рассказ о механизме работы CoA, пример настройки параметров для запроса на изменение
параметров сеанса аутентификации или авторизации, требования к оборудованию · Перенаправление Описание механизма работы
перенаправления, принцип работы в ПК EDO, настройка
атрибутов для передачи ссылки для переадресации на гостевой портал клиента,
запрашивающего доступ к сети 2.5 Подраздел «Сетевое оборудование» (15 минут) Добавление информации об аутентификаторе
– особенности создания (конкретное устройство, подсети), алгоритм и пример
конфигурации оборудования для взаимодействия с ПК EDO по протоколам RADIUS, TACACS Перерыв 2.6 Подраздел «Профили авторизации» (1 час) · Профиль авторизации для доступа в сеть Использование предустановленного
профиля, влияние производителя оборудования и выбранного профиля оборудования
на доступные поля, основные настройки: Загружаемый ACL, ACL, ACL контроллера точек доступа, Веб-переадресация, VLAN.
Примеры. · Профиль авторизации для доступа на оборудование Типы настроек – Shell, WLC, Nexus, Generic. Перечень
доступных параметров для настройки, применимость к оборудованию различных
вендоров, описание настраиваемых параметров 2.7 Подраздел «Загружаемые ACL» (10 минут) Особенности и пример формирования
загружаемого списка управления доступом (DACL) для передачи на порт коммутатора
в виде атрибутов RADIUS 2.8 Подраздел «Наборы команд» (10 минут) Как и для чего используются, состав
набора, алгоритм обработки нескольких наборов команд, формирование собственного
набора 2.9 Подраздел «Разрешенные протоколы» (5 минут) Создание и применение списка
разрешенных протоколов при настройке доступа на оборудование Перерыв 2.10 Раздел «Настройки», доступ в сеть (30
минут) · Настройка EAP Основные параметры настройки · Настройки TLS Схема работы TLS, выбор сертификата, где и для чего используется · Протоколы Настройка протоколов доступа в сеть:
PEAP, TTLS, TLS, MD5 – необходимые параметры, примеры 2.11 Подраздел «Наборы политик» (30
минут) Обход
правил (порядок, правила срабатывания). Использование словарей, атрибутов и
значений для разных этапов (правило срабатывания, аутентификация, авторизация).
Применение шаблонов условий, примеры настроек типов доступа (по проводной сети,
беспроводной, доступ по сертификатам и пр) и различных типов аутентификации (PAP, EAP-MD5, TTLS-PAP, PEAP-EAP-MSCHAPv2 и т.п.).
Параметры настройки правила срабатывания, правил аутентификации, правил авторизации
– выбор источников данных, действий при отсутствии пользователя или ошибки
аутентификации, профиля авторизации ·
Доступ на
оборудование Обход
правил (порядок, правила срабатывания). Использование словарей, атрибутов и
значений для разных этапов. Параметры настройки правила срабатывания, правил аутентификации,
правил авторизации – выбор источников данных, действий при ошибке
аутентификации, профиля авторизации и наборов команд. Примеры настройки набора
политик доступа на оборудование. 2.12 Профилирование (15 минут) Поддерживаемые источники
профилирования (RADIUS, DHCP, User-agent), алгоритм работы, настройка источников, демонстрация
получаемых атрибутов – что и где отображается, использование полученных данных
в наборах политик 2.13 Гостевой портал (15 минут) Схема и пример настройки сценария
работы гостевого портала. Типы гостевого доступа, гостевые пользователи. 2.14 События (15 минут) · Доступ в сеть Отображаемые данные на вкладках: аутентификация,
аудит. Фильтрация, экспорт событий · Доступ на оборудование Отображаемые данные на вкладках:
аутентификация, авторизация, аудит. Фильтрация, экспорт событий Вопросы (30 минут) Тестирование (30 минут) День 3 3 Практические работы 3.1
Практическое задание 1 (1,5 часа) Описание Доступ на оборудование. Протокол – RADIUS Источник данных – сетевые пользователи Задание Настроить подключение к сетевому оборудованию с
использованием протокола RADIUS. Для
аутентификации на оборудовании необходимо использовать локальные учетные записи
сетевых пользователей EDO. Результат Успешное подключение к устройству с учетными данными
сетевого пользователя, созданного в EDO 3.2 Практическое задание 2 (1,5 часа) Описание Доступ на оборудование. Протокол – TACACS Источник данных – пользователь LDAP Задание Настроить подключение к сетевому оборудованию с
использованием протокола TACACS. Для
аутентификации на оборудовании необходимо использовать учетные записи доменных
пользователей. Проверку учетных данных необходимо выполнить в
источнике данных – LDAP. Добавить доменного пользователя в сетевые
пользователи, настроить действие при переходе в привилегированный режим Результат Успешное подключение к устройству с учетными данными
доменного сетевого пользователя. Выполнен переход в привилегированный режим. Перерыв 3.3
Практическое задание 3 (1,5 часа) Описание Доступ в сеть. Протокол – RADIUS Метод аутентификации – EAP-TLS Источник данных – сертификаты, выпущенные встроенным
центром сертификации Задание Настроить подключение клиентского устройства к сети по
протоколу EAP-TLS с использованием выпущенных EDO сертификатов. В профилях сертификатов выбрать в качестве источника
данных для проверки: InternalUsers
(локальные сетевые пользователи EDO). Атрибут сертификата
для проверки: Subject – Common name Результат Успешное получение доступа в сеть для подключаемого
устройства 3.4 Практическое задание 4 (0,5 часа) Описание Использование режима дебага для протоколов RADIUS, TACACS Необходимо предварительно выполнить практическое
задание №1 и №2 Задание Ознакомиться с процедурой использования режима отладки
при взаимодействии оборудования с сервером EDO по протоколам RADIUS и TACACS Результат Получен
опыт использования режима отладки при взаимодействии оборудования с сервером
EDO по протоколам RADIUS и TACACS Вопросы, подведение итогов Перечень
применяемых наглядных пособий и технических средств 1.
Презентация «EDO» 2.
Демонстрация на
экране Литература
для самостоятельной подготовки 1.
Программный
комплекс по защите системно-технической инфраструктуры «Efros Defence
Operations». Описание применения 2.
Программный
комплекс по защите системно-технической инфраструктуры «Efros Defence
Operations». Руководство администратора 3.
Программный
комплекс по защите системно-технической инфраструктуры «Efros Defence
Operations». Руководство пользователя. Часть 1. Администрирование 4.
Программный
комплекс по защите системно-технической инфраструктуры «Efros Defence
Operations». Руководство пользователя. Часть 3. Контроль доступа Требования
к инфраструктуре класса Для успешного проведения
курса необходимо обеспечить: 1.
Компьютерный
класс с АРМ по количеству обучающихся с сетевым доступом к стенду с
виртуальными машинами 2.
АРМ для
проведения демонстрации с подключением к проектору и сети (с доступом к стенду
с виртуальными машинами) 3.
Проектор и экран
для демонстрации с поддержкой максимально возможных разрешений экрана для
видимости текста 4.
Сервер
виртуализации для развертывания ВМ под задачи обучения 5.
Заранее
подготовленные ВМ для проведения сценариев практических занятий 6.
ВМ с возможностью
отката до начального состояния для удобств использования последующих обучений
(Snapshot) |
