РEшаемые задачи:
1. Если Вам необходимо (хотите) переводить серверы и рабочие станции на Astra Linux,
2. Если Вам необходимо (хотите) работать с платформой 1С в режиме 1С клиент -> 1C сервер -> СУБД -> базы данных,
3. Если Вам необходимо (хотите) создавать ротационные резервные копии баз данных по формуле 3-2-1 (3 копии, на 2 разных носителях, 1 вне серверной),
4. Если Вам необходимо (хотите) восстанавливать базы данных из архивов,
5. Если Вам необходимо (хотите) без потерь автоматически завершить и возобновить работу сервера Astra Linux после отключения электричества,
6. Если Вам необходимо (хотите) заблаговременно получить информацию о значениях критических параметрах на серверах и рабочих станциях, например, в почту,
7. Если Вам необходимо (хотите) создавать образ системного диска,
8. Если Вам необходимо (хотите) контролировать трафик между локальной сетью и Интернет,
9. Если Вам необходимо (хотите) удаленно работать с ресурсами локальной сети по защищенному каналу VPN,
10. Если Вам необходимо (хотите) – предотвращать вторжение из Интернет,
11. Если Вам необходимо (хотите) – контролировать содержимое трафика между локальной сетью и Интернет,
12. Если Вам необходимо (хотите) установить антивирусы и централизованно ими управлять,
13. Если Вам необходимо (хотите) сканировать сеть на обнаружение актуальных уязвимостей,
То вы найдете здесь исчерпывающие пошаговые инструкции
Оглавление концепция
1. Цель проектирования
2. Исходные данные
3. Принципы проектирования
3.1. Принцип централизованного управления
3.2. Разумная достаточность и адекватность
3.3. Все запрещено, если не разрешено специальным образом
3.4. Принцип разумного недоверия
3.5. Принцип модульности и многоуровневости
3.6. Принцип стандартизации и унификации
3.7. Научая обоснованность, реализуемость, импортозамещение
3.8. Гибкость, настраиваемость, масштабируемость
3.9. Принцип отказоустойчивости и заблаговременного обнаружения критических проблем
3.10. Принцип наличия сертифицированной версии подсистемы защиты
Оглавление 1 часть практическая
4. Установка и настройка сервера приложений в среде Astra Linux
4.1. Требования к аппаратному обеспечению
4.2. Подготовка загрузочного флэш накопителя
4.3. Установка операционной системы Astra Linux v.1.8.xxx
4.4. Обновление программного обеспечения
5. Установка средств удаленного управления xrdp и ssh Astra Linux
6. Установка клиента удаленного рабочего стола xfreerdp
7. Установка средств мониторинга состояния дисковых накопителей
8. Подготовка и монтирование второго дискового накопителя для хранения архивов баз данных
9. Подготовка и монтирование сетевого ресурса, для хранений копий архивов баз данных
10. Архивирование баз данных
10.1. Настройка сценария архивирования
10.2. Создание зеркала каталога с архивами основного сервера на подчиненном сервере
10.3. Создание задания в планировщике заданий cron
11. Восстановление баз данных из архива
12. Установка и настройка СУБД PostgreSql v.15
13. Удаление PostgreSQL
14. Установка и настройка сервера и клиента 1С
14.1. Установка сервера 1С и клиента 1С на сервере Astra Linux
14.2. Удаление (деинсталляция) службы сервера и клиента 1С
14.3. Установка и удаление компоненты RAS (Remote Application Server)
14.4. Первоначальная настройка клиентской части 1С
14.5. Установка клиента 1С на рабочей станции
14.6. Настройка параметров аутентификации пользователя в 1С
14.7. Установка бесплатной программной лицензии 1С для разработчиков
15. Подключение бесперебойного источника питания
16. Установка и настройка pgadmin4
17. Подготовка загрузочного флэш накопителя Clonezilla Live
18. Установка бизнес-приложений на рабочих станциях с Astra Linux
18.1. Доступ к порталу Госуслуг
18.2. Подключение к «Сбербанк Бизнес Онлайн» с Рутокеном
19. Установка пакета Wine для выполнения унаследованных windows программ
Обозначения и сокращения
Оглавление 2 часть практическая
20. Подсистемы защиты
20.1. Подсистема управления доступом (идентификация, аутентификация, авторизация) - обеспечение конфиденциальности.
20.2. Подсистема обеспечения целостности ПДн
20.3. Архивирование и восстановление ПДн
20.4. Подсистема обеспечения доступности ПДн
20.5. Подсистема межсетевого экранирования
20.6. Подсистема заблаговременного обнаружения критических проблем
20.7. Подсистема антивирусной защиты
20.8. Подсистема предотвращения утечки ПДн
20.9. Подсистема анализа уязвимостей и контроля защищенности ПДн (сетевые сканеры)
20.11. Таблица соответствия принципов проектирования выбранным подсистемам защиты
21. Операционная работа администраторов
21.1. Основные мероприятия, выполняемые администраторами
21.2. Свод команд ОС Linux
21.3. Команды просмотра журналов Astra Linux
21.4. Что делать если система «тормозит»
Приложение 1: меры обеспечения безопасности
Приложение 2: технология обработка ПДн
Приложение 3: оптимальные параметры PostgreSQL
Приложение 4: установка ИБП с демоном apcupsd
Приложение 5: установка ОС Kali на USB
Приложение 6: добавление раздела на USB Kali
Приложение 7: установка Zabbix
Приложение 8: оповещения Zabbix через SMTP
Приложение 9: уязвимости Windows
Приложение 10: базовые параметры xfreerdp
Приложение 11: команды Linux
Команды Linux
Общая информация о командах
Получение информации о командах из локальной документации
Доступ к информации
Список команд
Приложение 12: перечень приложений и сервисов, контролируемых Ideco
Обозначения и сокращения
ПРИМЕР пункта 20.9
Эта подсистема предназначена для автоматизированного поиска уязвимостей в ИТ-инфраструктуре, которые могут привести к утечке или компрометации персональных данных. Она включает сетевые сканеры безопасности, системы аудита настроек и средства контроля соответствия стандартам защиты.
Применение коммерческих систем типа MaxPatrol или Контур-СКАД также нецелесообразно по тем же причинам, что применение подсистемы предотвращения утечки данных. К примеру, цена MaxPatrol базовой версии начинается с 500000 руб.
Предпочтительный вариант - использование бесплатной OpenVAS (Open Vulnerability Assessment System) включенной в Kali Linux, современное название GVM (Greenbone Vulnerability Management). Бесплатной версии GVM (Greenbone Community Feed) доступно для использования приблизительно сорок процентов от общего числа уязвимостей, которые доступны для коммерческой версии (Greenbone Enterprise Feed). Однако, если принять во внимание ограниченное число программных продуктов, установленных на предприятии, из огромного количества «обслуживаемых» GVM (нет MS Exchange, Cisco, VMware, Citrix и т.д.), то бесплатная версия – вполне рабочий вариант.
Greenbone Community Feed – это бесплатная версия базы данных уязвимостей и обновлений для GVM, которая содержит:
Определение уязвимостей (VTs – Vulnerability Tests)
SCAP данные (информация о конфигурациях безопасности)
Данные CERT (информация о киберугрозах и уязвимостях программного обеспечения)
Информацию об исправлениях (CVEs).
-
-
- Реализация:
-
Экономичный вариант в виде установки Kali Linux на виртуальную машину, развернутую на одном из серверов ИСПДн. Для комфортной работы GVM необходимо выделить не менее 100 Gb дисковой памяти.
-
-
-
- Установить виртуальную машину с именем kali на сервере srv02-mfk или аналогичном.
- Скачать с сайта по адресу https://www.kali.org/get-kali/#kali-installer-images нужный дистрибутив – файл образа диска типа kali-linux-2025.2-installer-amd64
- Установить на виртуальную машину kali операционную систему Kali Linux
- В Kali Linux:
-
-
- В терминале выполните установку GVM с привилегиями пользователя root
sudo apt update && sudo apt upgrade -y
sudo apt install gvm
- После установки запустите настройку, настройка занимает продолжительное время, затрачиваемое на скачивание базы уязвимостей.
sudo gvm-setup
После окончания настройки будет выведено сообщение, что для учетной записи admin сгенерирован пароль ‘……..’.
- Если gvm-setup завершается с ошибкой, попробуйте обновить базы вручную:
sudo greenbone-feed-sync --type ALL
- Для проверки того, что установка завершена корректно, введите команду
sudo gvm -check-setup
Если все проверки пройдены успешно, будет выведено сообщение:
It seems like your GVM-25.x.x installation is ok (похоже на то, что установка завершилась успешно)
- После завершения настройки выполните запуск GVM, в процессе запуска сценарий выведет сгенерированный пароль к учетной записи admin, которые сохраните в надежном месте
sudo gvm-start
- Для доступа к web-интерфейсу GVM в браузере в адресную строку введите
https://127.0.0.1:9392 или https://localhost:9392
Тестирование станет возможным после скачивания gvm баз данных типа NVT, SCAP, CERT, GVMD_Data, которое может занять продолжительное время.
- После завершения работы с программой введите в терминале
sudo gvm-stop
- Для сброса пароля администратора введите в терминале
sudo runuser -u _gvm -- gvmd --user=admin --new-password=ВАШ_НОВЫЙ_ПАРОЛЬ
-
-
-
- Подготовка к сканированию уязвимостей (документация здесь – нажмите иконку с надписью «Open manual»)
-
-
Сканер уязвимостей GVM обладает мощными средствами, полное описание которых содержится в документации. В проекте приведены несколько сценариев по поиску уязвимостей, которые достаточны только для начала работы. Для более глубокого освоения возможностей сканера обращайтесь к встроенной документации.
-
-
-
-
- Сценарий 1. Запуск сканирования под управлением мастера с базовыми параметрами и с минимальным объемом вводимой информации. Пример, неглубокое сканирование шлюза безопасности, установленного на периметре сети предприятия по публичному адресу 46.148.140.212 из Интернет:
-
-
-
- Перейти Scans-> Tasks (задачи)
- Выбрать Task Wizard (мастер задачи)
- В поле IP address указать IP адрес сканируемого компьютера (хоста), т.е. 46.148.140.212
- Нажать на кнопку Start Scan (начать сканирование)
Проанализировать результаты сканирования после его завершения (в столбце Status (состояние) указано Done (сделано) можно в:
- меню Reports (отчеты),
- меню Results (результаты испытаний),
- меню Vulnerabilities (уязвимости).
-
-
-
-
- Расшифровка столбцов соответствующих меню для интерпретации результатов сканирования
-
-
-
-
Tasks (задачи)
- Severity (серьезность уязвимости) – числовая оценка опасности уязвимости в соответствии с CVSS в диапазоне от 0 до 10
- High (высокая): 7.0-10.0 – критическая уязвимость, немедленно исправить;
- Medium (средняя): 4.0-6.9 – серьезная уязвимость, но риск ниже, чем при наличии высокой уязвимости. Запланировать исправление как можно быстрее;
- Low (низкая): 0.1-3.9 – низкая уязвимость, исправить по возможности;
- Log (журналирование):0.0 – просто информация о проделанной работе сканера, ничего страшного сканер не обнаружил.
Reports (отчеты)
- Information (информация) – обобщенная информация о соответствующем сканировании
- Results (результаты испытаний) – результирующий список отчета, сколько уязвимостей обнаружено в процессе сканирования
- Hosts (хосты, интерфейсы компьютера) – имена хостов (сетевых интерфейсов) или IP адреса.
- Ports (порты) – имена просканированных открытых портов, число интерфейсов и наивысшая степень серьезности уязвимости
- Applications (программы, приложения) – найденные приложения с уникальным идентификатором приложения CPE (Common Platform Enumeration -структурированная система именования), число хостов, наивысшая степень серьезности уязвимости
- Operating systems (операционные системы) – имена обнаруженных операционных систем, имена хостов, число обнаруженных хостов, наивысшая степень серьезности уязвимости
- CVEs (Common Vulnerabilities and Exposures - уникальный идентификатор для конкретной уязвимости в программном обеспечении) – перечень найденных уязвимостей
- Closed CVEs (закрытые CVEs) – первоначально обнаруженные уязвимости, которые затем подтверждены как устраненные
- TLS Certificates (сертификаты TLS) - сертификаты, обнаруженные в процессе сканирования
- Error messages (сообщения об ошибке) – сообщения об ошибках в процессе сканирования
- User Tags (пользовательские метки) - это ручные, субъективные метки, которые вы сами присваиваете для управления и организации. Они отражают не свойства уязвимости, а ваше внутреннее отношение к активу или процессу работы с ней.
Results (результаты тестирования)
- Vulnerability (уязвимость) – имя, краткое описание найденной уязвимости
- Solution Type (метод устранения) – метод исправления уязвимости
- Vendor fix (исправлено разработчиком) – информация об устранении уязвимости доступна у разработчика приложения. Если нет дополнительной информации, то предполагается, что уязвимость полностью устраняется обновлениями разработчика
- Workaround (временное решение) – доступна информация об изменении конфигурации или специфическом развертывании, которые могут помочь избежать эксплуатации уязвимости
- Mitigation (смягчение) – доступна информация о том, как снизить риск эксплуатации уязвимости, но не устранить ее
- Will not fix (не устранено) – нет метода устранения уязвимости и не будет, например, программный продукт больше не поддерживается разработчиком
- None (нет) – пока нет метода исправления, дополнительная информация может пояснять почему
- Severity (серьезность уязвимости) - см. выше
- QoD (Quality of Detection- надежность обнаружения) – предоставляет в процентах от 0 до 100 качество обнаружения уязвимости и 100% обозначает самую высокую степень надежности
- Host (хост, интерфейс) – IP адрес и имя хоста
- Location (размещение) – номер порта и тип протокола, используемых для поиска уязвимости на хосте
- EPSS (Exploit Prediction Scoring System) – значение в диапазоне от 0 до1 указывает на вероятность попыток эксплуатации уязвимости в последующие 30 дней. Чем выше значение, тем выше вероятность эксплуатации уязвимости.
- Created (созданный) – дата и время создания отчета.
Vulnerebilities (уязвимости) - список найденных уязвимостей
- Если раскрыть CVSS (Common Vulnerability Scoring System) Base Vector, то будет раскрыта детальная информация о метриках общей системы оценки уязвимостей.
-
-
-
- Сценарий 2. Запуск сканирования под управлением мастера с настраиваемыми параметрами и наиболее глубоким сканированием. Пример, сканирование windows сервера в локальной сети предприятия по частному адресу192.168.7.3:
-
-
-
- Перейти Scans-> Tasks
- Выбрать Advanced Task Wizard
- В поле Task name (имя задачи) ввести произвольный текст, например, «Сервер приложений»
- В поле Scan config (конфигурация сканирования) выберите Full and fast
- В поле Target Host(s) введите IP адрес сервера 192.168.7.3
- Остальные поля оставьте по умолчанию
- Нажать на кнопку Create
-
-
-
- Сценарий 3. Углубленное сканирование уязвимостей компьютера с ОС Windows
- Запустить GVM, если еще не работает
- Сценарий 3. Углубленное сканирование уязвимостей компьютера с ОС Windows
-
-
-
-
-
-
-
- sudo gvm-start или через запуск служб:
- sudo systemctl start gvmd
- sudo systemctl start gsad
- sudo systemctl start ospd-openvas
- Обновить базы уязвимостей
-
-
-
- sudo greenbone-feed-sync-update
-
-
-
-
- Проверить открытые порты и версии служб
-
-
-
-
Можно предварительно определить открытые порты на целевом компьютере с помощью программы nmap и указать только их для сканирования с помощью gvm.
Ведите в командной строке linux команду nmap с отвечающими намерению параметрами:
-
-
-
-
- nmap -sS <IP-адрес-компьютера> - стандартный метод
- nmap -sS -p 1-65535 <IP-адрес-компьютера> - сканирование всех портов
- nmap -sS -sV -p 1-65535 <IP-адрес-компьютера> - сканирование всех портов с определением версий служб
- nmap -A -sS -sV -p 1-65535 <IP-адрес-компьютера> - агрессивное сканирование всех портов с определением версий служб, операционной системы
- nmap -sS -p 1-1000 -sV --script safe -oN comp_scan.txt < IP-адрес-компьютера > - проверит первые 1000 портов, определит версии служб и запустит безопасные скрипты, результат в файл comp_scan.txt.
-
-
-
-
-
-
-
-
- Создание учетной записи, под которой GVM будет сканировать компьютер
-
-
-
-
- Перейти в Configuration (конфигурация) -> Credentials (учетные записи)
- Нажмите иконку «+»
- В поле Name (имя) введите, например, «Мой пароль администратора»
- В поле Comment (комментарий) введите любой комментарий, например, сервер windows
- В поле Type (тип) выберите тип входа в Windows, например, Username+Password
- В поле Allow insecure use (разрешить небезопасное использование) выберите Yes.
- В поле Auto-generate (автоматическое создание) выберите No
- В поле Username (имя пользователя) введите имя учетной записи в Windows
- В поле Password (пароль) введите пароль учетной записи в Windows
- Нажмите на кнопку Save (сохранить).
-
-
-
-
- Создание цели сканирования
-
-
-
-
- Перейти в Configuration -> Targets (цели)
- Нажмите иконку «+»
- В поле Name введите имя целевого компьютера, например, srv01-mfk (не обязательно DNS имя или Netbios имя)
- В поле Comment введите любой комментарий
- В поле Hosts выберите Manual (вручную) и введите IP адрес целевого компьютера
- Поле Exclude Hosts (исключаемые из проверки хосты) оставьте не заполненным
- В поле Allow simultaneous scanning via multiple Ips (разрешить одновременное сканирование…) выберите Yes
- В поле Port List (список портов) выберите All IANA assigned TCP and UDP (проверка по всем стандартизованным портам протоколов TCP и UDP – потребует значительного времени)
- В поле Alive Test (текущий, используемый тест) выберите Scan Config Default
- В поле SMB (NTLM) выберите созданную учетную запись, см. выше «Мой пароль администратора»
- Нажмите на кнопку Save
- Перейти в Scans -> Tasks
- Нажмите иконку «+» и выберите New Task
- В поле Name введите имя задачи, например «Сканирование сервера srv01-mfk»
- В поле Comment введите произвольный комментарий
- В поле Scan Targets выберите ранее созданную цель сканирования
- Поле Alerts (оповещения) оставьте не заполненным
- В поле Schedule (расписание) выберите Once (один раз)
- В поле Add results to Assets (добавить результат в актив) выберите Yes
- В поле Apply Overrides (применить переопределение) выберите Yes
- В поле Min Qod (Quality of Detection) оставить по умолчанию 70
- В поле Auto Delete Reports (удалять автоматически отчеты) выбрать Do not automatically delete reports
- В поле сканер выбрать OpenVAS Default
- В поле Scan Config (конфигурация сканирования) выбрать Full and fast
- В поле Order for target hosts (порядок сканирования) выбрать Sequential (последовательно)
- В поле Maximum concurrently executed NVTs per host (максимум параллельно выполняемых тестов) оставить по умолчанию - 4
- В поле Maximum concurrently scanned hosts (максимум параллельно сканируемых хостов) оставить по умолчанию – 20 (хотя сканируется один хост)
- Нажмите на кнопку Save
- Перейти Scans -> Tasks
- Выделите нужную задачу, например «Сканирование сервера srv01-mfk»
- Нажмите на иконку «start»
- В поле Status будет выводиться состояние процесса сканирования
-
-
-
- Сценарий 4. Углубленное сканирование компьютера с установленной ОС Astra Linux
- Создание учетной записи, под которой GVM будет сканировать компьютер
- Сценарий 4. Углубленное сканирование компьютера с установленной ОС Astra Linux
-
-
-
Создается аналогично созданию учетной записи для компьютера с Windows.
- Перейти в Configuration -> Credentials
- Нажмите иконку «+»
- В поле Name введите, например, «Мой пароль администратора Linux»
- В поле Comment введите любой комментарий, например, сервер Linux
- В поле Type выберите тип входа в Linux, например, Username+Password. Если предполагается вход через протокол SSH, выберите Username + SSH Key.
- В поле Allow insecure use (разрешить небезопасное использование) выберите Yes.
- В поле Auto-generate выберите No
- В поле Username введите имя учетной записи в Linux
- В поле Password введите пароль учетной записи в Linux
- Нажмите на кнопку Save.
-
-
-
-
- Создание цели сканирования
-
-
-
-
- Перейти в Configuration -> Targets
- Нажмите иконку «+»
- В поле Name введите имя целевого компьютера, например, srv-astra18 (не обязательно DNS имя)
- В поле Comment введите любой комментарий, например «Основной сервер»
- В поле Hosts выберите Manual (вручную) и введите IP адрес целевого компьютера
- Поле Exclude Hosts (исключаемые из проверки хосты) оставьте не заполненным
- В поле Allow simultaneous scanning via multiple Ips (разрешить одновременное ска-нирование…) выберите Yes
- В поле Port List выберите All IANA assigned TCP and UDP (проверка по всем стандартизованным портам протоколов TCP и UDP – потребует значительного времени)
- В поле Alive Test выберите Scan Config Default
- Остальные поля оставьте не заполненными
- Нажмите на кнопку Save
-
-
-
-
- Создание задачи сканирования
-
-
-
-
- Перейти в Scans -> Tasks
- Нажмите иконку «+» и выберите New Task
- В поле Name введите имя задачи, например «Сканирование сервера srv-astra18»
- В поле Comment введите произвольный комментарий
- В поле Scan Targets выберите ранее созданную цель сканирования
- Поле Alerts (оповещения) оставьте не заполненным
- В поле Schedule (расписание) выберите Once (один раз)
- В поле Add results to Assets (добавить результат в актив) выберите Yes
- В поле Apply Overrides (применить переопределение) выберите Yes
- В поле Min Qod (Quality of Detection) оставить по умолчанию 70
- В поле Auto Delete Reports (удалять автоматически отчеты) выбрать Do not automati-cally delete reports
- В поле сканер выбрать OpenVAS Default
- В поле Scan Config (конфигурация сканирования) выбрать Full and fast
- В поле Order for target hosts (порядок сканирования) выбрать Sequential (последова-тельно)
- В поле Maximum concurrently executed NVTs per host (максимум параллельно вы-полняемых тестов) оставить по умолчанию - 4
- В поле Maximum concurrently scanned hosts (максимум параллельно сканируемых хостов) оставить по умолчанию – 20 (хотя сканируется один хост)
- Нажмите на кнопку Save
-
-
-
-
- Запуск сканирования
-
-
-
-
- Перейти Scans -> Tasks
- Выделите нужную задачу, например «Сканирование сервера srv-astra18»
- Нажмите на иконку «start»
- В поле Status будет выводиться состояние процесса сканирования
-
-
- Устранение или компенсация найденных уязвимостей
-
-
Все найденные уязвимости уровня серьезности от низкой до высокой подлежат устранению. Высокая должна устраняться немедленно, средняя – как можно быстрее, низкая – когда «руки дойдут». Инструкция по устранению каждой найденной уязвимости или затруднению ее эксплуатации нарушителем приводится в Solution Type (метод устранения) раздела Results (результаты тестирования).
-
-
- Мобильный вариант в виде установки на флэш накопитель с возможностью загрузки с любого компьютера ЛВС. В работе.
-
Весьма удобное средство для анализа уязвимостей загрузочный флэш накопитель c операционной системой Kali Linux в среде которой установлен GVM. Функционал и методы работы с GVM абсолютно идентичны тем, что представлены выше. Следует иметь в виду, что для реальной работы объем накопителя должен быть порядка 120 Gb.
Для проверки уязвимостей необходимо загрузить Kali Linux с флешки на любом доступном компьютере и перейти, как описано выше, к тестированию целевых компьютеров.
Для сохранения результатов работы после перезагрузки (например, установки GVM) необходимо после установки Kali Linux создать дополнительный раздел на флешке, создать файловую систему ext4 с меткой persistence и поместить в нее специальный конфигурационный файл persistence.conf.
Инструкция по созданию загрузочной флешки с Kali Linux приведена в приложении 5, а в приложении 6 приведена инструкция по переводу флешки в режим, позволяющий сохранять данные после перезагрузки Kali Linux. С учетом того, что большая часть компьютеров используют BIOS UEFI, следует выбрать при создании флешки именно UEFI.
Вступайте в нашу телеграмм-группу Инфостарт