# Лабораторная работа «Континент 4»                                 ## Вопросы ### 1. Посмотреть журналы на ЦУС. Что можно по ним понять? На ЦУС существуют 2 журнала: * Системный журнал — В системном журнале регистрируются события, связанные с работой подсистем сетевых устройств( 1. команды управления комплексом; 2. события, связанные с работой сети Контитент; 3. события, связанные с изменением ключевой информации на СУ). Для каждого зарегистрированного события сохраняются время регистрации, название события, категория и ряд дополнительных параметров. * Журнал НСД (несанкционированного доступа) — В журнале НСД хранятся записи о зарегистрированных событиях возможных угроз безопасности: 1.Неверная имитовставка от КШ 2.Администратор заблокирован согласно политике аутентификации 3.Неудачная попытка соединения с ЦУС. Возможно, неверный ключ или пароль администратора 4.Неверный номер входящего пакета ### 2.Что мы имитируем, когда используем USB-флеш-накопитель? Зачем нужны все эти манипуляции? Можно ли не использовать его? USB-флеш-накопитель выступает в качестве канала переноса данных между пользователями ЦУС и хостовой машиной администратора. Передаваемыми данными являются сертификаты и секретные пароли. Теоретически для подобной деятельности можно использовать другие каналы связи, но встает вопрос доверенности и защищенности подобных туннелей. К тому же для работы с флеш-накопителями,подразумевающей профилирование доступа, выпущено достаточно специального ПО, что обеспечивает ИБ. Например, Secret Net Studio (SNS). ### 3.Если на УБ Континент не активирован компонент "Сервер доступа", то как можно предоставить удаленному пользователю доступ к ресурсам защищаемой сети за этим узлом? Будет ли в данном случае осуществляться шифрование передаваемых данных? Выдержка из Руководства: "Для организации доступа удаленного пользователя к корпоративным ресурсам криптографический шлюз комплектуется сервером доступа, а на компьютере удаленного пользователя устанавливается абонентский пункт. Аутентификация удаленного пользователя при установлении соединения между абонентским пунктом и сервером доступа осуществляется на основе сертификатов открытых ключей." Таким образом сервер доступа выполняет аутентификационные функции. Отвечая на вторую часть вопроса -- криптографические функции на нем не задействуются,этим занимается криптографический шлюз. Отвечая на первую -- на просторах форумов натнулся на следующее замечание: "СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ". Соответственно по идее можно обойтись и без него, не имплементируя на машине пользователя клиент СД (который выпускает сертификат пользователя и тд...), на КШ -- сервер доступа. ### 4. Какие компоненты входят в состав комплекса Континент? Комплекс включает в свой состав следующие компоненты: • криптографический шлюз; • центр управления сетью; • сервер доступа; • детектор компьютерных атак; • криптокоммутатор; • программа управления комплексом; • автоматизированное рабочее место генерации ключей; • клиент аутентификации пользователя ### 5. Какие действия необходимо выполнить на АРМ администратора после успешной установки Менеджера конфигурации перед его первым запуском? Итак, после успешной установки требуется 1) перезагрузить компьютер. 2) Авторизуйтесь в ОС под учетной записью Администратор. 3) Инициализировать биологический датчик случайных чисел (для генерации энтропии (ключи, сертификаты)) 4) Подключиться к ЦУС Континент. 4.1) В МК Выбрать опцию "Установить соединение". Указать параметры: "Тип входа", "Сервер", "Учетная запись", "Пароль" 4.2) Нажать кнопку подключения. Подключиться к ЦУС. ### 6. Какие действия необходимо выполнить в Менеджере конфигурации после подключения к ЦУС узла безопасности и завершения настройки его свойств? Подготовка рабочего места главного администратора иподключение к ЦУС: 2.10) Загрузка новых лицензий 2.12) Применение политик на узел NCC 3.1) Создание корневого сертификата 3.2) Включение сервера доступа 3.7) Создание сертификата удаленного пользователя 3.8) Формирование списка пользователей 3.11) Запись на USB-флеш-накопитель профиля пользователя и профиля конфигурации для абонентского пункта ### 7. В чем заключается отличие между L2VPN и L3VPN при настройке и функционировании защищенного канала?  Порядок организации L3VPN-соединения следующий: 1. Создание сетевых объектов, соответствующих защищаемым сетям за узлами безопасности. 2. Настройка интерфейсов узлов безопасности. 3. Создание правил фильтрации, разрешающих прохождение трафика между защищаемыми подсетями (виртуальными машинами WS и WS1). 4. Описание топологии VPN-сети, которая обеспечивает безопасную передачу трафика между защищаемыми сетями, разделенными сетью общего доступа. 5. Проверка работоспособности VPN-каналов между защищаемыми сетями. Порядок организации L2VPN-соединения следующий: 1. Инициализация и настройка узла безопасности; 1. Построение в Менеджере конфигурации "виртуального коммутатора" на сетевых устройствах с указанием для каждого из них внутренних интерфейсов коммутируемых хостов; 1. Проверка работоспособности канала шифрования между сегментами подсети. ### 8. К каким классам СЗИ относится Континент? Какими сертификатами обладает? Для чего его можно использовать в коммерческой компании? версия 3.9 (Исполнение 1) Средствам криптографической защиты информации класса КС2 и возможность применения для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну версия 3.9 (Исполнение 2) Подтверждает соответствие АПКШ «Континент» 3.9 (исполнение 2) требованиям ГОСТ 28147-89, ГОСТ Р 34.11-2012 и требованиям к СКЗИ, предназначенным для информации, не содержащих сведений, составляющих государственную тайну, класса КС3.    Защита информации в финансовой сфере и сфере здравоохранения ### 9. В чем смысл данной лабораторной работы? Чему вы должны были научиться, кроме терпения и управления гневом? =)