16.05.2020
Тема: Сбор и оформление документации о прохождении преддипломной практики.
Цель работы: Выполнить сбор и оформление документации о прохождении преддипломной практики.
Ход работы:
Отчет о прохождении преддипломной практики имеет стандартную структуру. Руководствуясь содержанием, студент поочередно заполняет все главы результатами теоретического и практического исследования, делает общие выводы и ведет подробный ежедневный дневник, в котором прописывает всю проделанную работу. В конце прикладываются отчеты от руководителей, на которой обучается выпускник. В них указываются степень проделанной студентом работы, ее актуальность и возможность использования. Также подробно расписываются личные и профессиональные качества студента. Каждый из отчетов завершается рекомендуемой оценкой, личной подписью и печатью. После проставления всех печатей студент получает доступ к защите отчета, которая происходит перед комиссией.
Индивидуальное задание.
В целях экономии денежных средств мы будем использовать программное решение от компании VMware — VMware Workstation Pro 15.0. Оно нам позволит создать виртуальные машины и работать с ними как с полноценным физическим аналогом.
Для начала нам предстоит настроить виртуальную сеть. Для этого переходим во вкладку «Edit» и выбираем «Virtual Network Editor».
Рис.120. Настройка виртуальных сетей.
В окне настроек виртуальных сетей сеть VMnet0 определяем, как «Bridged». В качестве моста выбираем сетевое устройство которое подключает наш физический компьютер к внешней сети.
Рис.121. Настройка виртуальных сетей.
VMnet2 будет типа «Host-only», убираем галочку напротив «Use Local DHCP», потому что использовать DHCP сервис будем конфигурировать в Kerio Control.
Рис.122. Настройка виртуальных сетей.
Контролировать интернет-трафик мы будем с помощью программного межсетевого экрана — Kerio Control. Она владеет хороший функционалом для конфигурирования сетей. Данное программное обеспечение позволяет пользоваться бесплатной версией на протяжении 3 месяцев.
Теперь мы переходим к первому шагу для выполнения индивидуального задания — создадим виртуальные машины.
Первая виртуальная машина будет с образом ISO Kerio Control. В установке данной операционной системы сложностей не больше, чем в установке операционных систем Windows. Вторая виртуальная машина — Windows 7. Сетевой адаптер будет с типом подключения VMnet4(Host-only), таким образом мы подключаемся к нашей Kerio Control и находимся вместе с ней в одной сети, и будем получать доступ в сеть интернет от неё же.
Рис.123. Виртуальная машина Windows 7.
После установки Kerio Control на нашей виртуальной машине мы должны добавить ранее созданные сетевые адаптеры. VMnet0 будет мостом, через этот сетевой интерфейс наш программный межсетевой экран будет подключаться к глобальной сети интернет. VMnet4 адаптер будет соединяться с другими виртуальными машинами, к которым мы будем применять правила настройки сети.
Рис.124. Сетевые адаптеры на виртуальной машине Kerio.
После установки Kerio Control мы переходим в режим настройки сети (Network Configuration). На WAN-интерфейс мы получил IP-адрес от нашего роутера, т.к. мы с ним соединены мостом (сетью типа «Bridged»).
Рис.125. Настройка сетевых интерфейсов на Kerio Control.
На Ethernet-интерфейсе мы настраиваем статический IP-адрес.
Рис.126. Настройка сетевых интерфейсов на Kerio Control.
Теперь три раза нажимаем клавишу «Esc» и попадаем в главное меню. На нем нам покажут URL-адрес к которому мы должны подключится через браузер нашей виртуальной машины, к которой мы подключены через Ethernet порт, либо через нашу физическую машину в браузере по адресу https://192.168.1.5:4081/admin .
Рис.127. Виртуальная машина с Kerio Control.
Теперь переходим к настройки сети интернет. Входим в веб-интерфейс Kerio Control по вышеописанным URL-адресам. Переходим во вкладку «Сервер DHCP» и отмечаем галочку напротив «Включить DHCP-сервер».
Рис.128. Настройка DHCP в Kerio Control.
Переходим во вкладку «Фильтрация содержимого» добавляем новое правило фильтрации. В столбце «Обнаруженное содержимое» кликаем дважды на «Исполняемые файлы».
Рис.129. Фильтрация содержимого в Kerio Control.
В появившимся окне выбираем «Имя файла».
Рис.130. Добавление обнаруженного содержимого.
Во вновь появившемся окне указываем чекпоинт напротив «Выбрать предопределенный тип файла» и выбираем во выпадающем меню «Типа файла» — Исполняемые файлы, и нажимаем ОК.
Рис.131. Выбор типа блокируемых файлов.
Столбец «Источник» оставляем неизменным, а в «Действие» определяем действие — Отказать и ставим галочку напротив «Протоколирование трафика» и по желанию можешь написать текст отказа.
Рис.132. Выбор действия.
Рис.133. Правило фильтрации.
Чтобы расшифровать потенциальный HTTPS-трафик с исполняемыми файлами переходим во вкладку «Фильтрация HTTPS» и отмечаем галочкой «Расшифровать и фильтровать HTTPS-трафик». Теперь мы сможем блокировать исполняемые файлы и на сайтах которые используют HTTPS протокол.
Рис.134. Расшифровка HTTPS-трафика.
После создания правила фильтрации от исполняемых файлов мы можем столкнуться с проблемой сертификатов. Чтобы исключить данную проблему мы должны установить сертификат от Kerio Control и отметить данный сертификат доверенным. Для этого кликаем левой кнопкой мыши по гиперссылке «Установке сертификатов» и качаем файл-сертификат, и устанавливаем, согласно нумерации ниже (порядок установки сертификата также показан на странице после перехода по гиперссылке).
Рис.135. Скачивание сертификата.
Ниже приведен порядок установки сертификата.
Рис.136. Порядок установки сертификата.
После проделанных операций переходим на любой сайт, где можно скачать исполняемый файл и пытаемся скачать его.
Рис.137. Проверка работоспособности выше созданного правила.
Наша задача выполнена — вы запретили скачивание файлов с расширением .exe.
Рис.138. Срабатывание правила.
Теперь нам предстоит ограничить доступ к определенным сайтам. Ограничивать будем доступ к популярной социальной сети — Вконтакте. Для этого переходим во вкладку «Группы URL-адресов» и создаем новый список URL-адресов. К нему добавляем все возможные URL-адреса, посредством которых можно перейти на сайт vk.com.
Рис.139. Добавление URL-группы.
Теперь переходим во вкладку «Группы IP-адресов» и создаем новую группу IP-адресов, называем её «Запрет Вконтакте», определяем адреса компьютеров для которых мы в дальнейшем заблокируем доступ в эту социальную сеть — в нашем случае это наша виртуальная машина с операционной системой Windows 7, и IP-адрес её — 192.168.10.11.
Рис.140. Добавление IP-группы.
Переходим теперь во вкладку «Фильтрация содержимого» и добавляем новое правило фильтрации. Назовем его «Запрет доступа ВК», в столбце «Обнаруженное содержимое» выпираем список URL-адресов «Запрет Вконтакте», а в источнике выбираем список IP-адресов, созданный нами ранее, действие — Отказать.
Рис.141. Добавление нового правила на фильтрацию.
Теперь пробуем подключиться к заблокированному сайту.
Рис.142. Срабатывание блокировки «Вконтакте».
Блокируем доступ к определенным .exe файлам. Для этого нам нужно будет создать обычного пользователя, у которого не будет доступа к правам администратора.
Нажимаем комбинацию клавиш Win + R и вписываем «gpedit.msc», и переходим в редактор локальной групповой политики. Переходим Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования — Уровни безопасности. Выбираем режим «Запрещено» и нажимаем кнопку «По умолчанию». Таким образом мы создали строгий уровень безопасности по умолчанию.
Рис.143. Определение уровня безопасности по умолчанию.
Переходим на ветку выше в «Политики ограниченного использования» и открываем «Применение». В появившемся окне отмечаем все как на скриншоте ниже и нажимаем ОК.
Рис.144. Настройка применения политик.
Теперь создаем правила для запрета запуска определенных .exe файлов.
Создавать правила можно 2 видов:
- Для хэша — проверяется контрольная сумма файла внесенного в правило и запускаемый файл, если контрольные суммы одинаковы, что является обозначением одного и того же файла, то запуск исполнительного файла блокируется созданным правилом.
- Для пути — блокируется запуск приложений по указанному пути, это может быть, как один файл, так и множество файлов в определенной директории.
Из соображений безопасности нам было бы целесообразней создать правило для хэша, что мы и сделаем, т.к. даже если приложение переместить в другую папку, то контрольная сумма приложения не изменится и мы сможем все равно ограничить доступ к нему.
Создаем правило для хэша, кликаем правой кнопкой по пункту «Дополнительные правила» и выбираем «Создать правило для хэша». Нажимаем кнопку «Обзор» и выбираем файл с приложением. Изменяем состояние уровня безопасности на «Запрещено». Так же можем добавить описание правила (по желанию).
Рис.145. Создание правила для хэша.
Теперь исполняемый файл заблокирован и не запускается, даже на выдает ошибку. Следует учитывать, что некоторые файлы с расширением .exe могут запуститься в силу своих программных особенностей, но как только в процессах компьютера появится процесс, который связан с нашим правилом, то последнее отработает, что в свою очередь приведет к критическому завершению программы.
Создадим так же правило для пути. В появившемся окне определяем путь и уровень безопасности меняем на «Запрещено».
Рис.146. Создание правила для пути.
Переходим в директорию, которую мы определили выше и пытаемся запустить любой .exe файл.
Рис.147. Срабатывание правила для пути.
Произошла ошибка после запуска программы, наше правило сработало.
Используемая литература:
https://bankir.ru/dom/forum/департамент-технологий/автоматизация/23880-как-включить-доверие-центру-сертификации
http://kerio-rus.ru/forum/showthread.php?t=9202
https://www.osp.ru/winitpro/2007/07/4592049/
https://pikabu.ru/story/zakruchivaem_gayki_polzovatelyam_chast_1_politika_ogranichennogo_ispolzovaniya_programm_6503155
Документация Kerio Control http://download.kerio.com/archive/