ДЕМОНСТРАЦИОННЫЙ ЭКЗАМЕН 2026

Обеспечение информационной безопасности АС · ViPNet

Специальность 10.02.05 · Базовый уровень · Вариант №3. Подробное пошаговое руководство по всем пяти модулям. Стенд из 6 виртуальных машин разворачивается полностью в VirtualBox: 1× Windows Server 2019, 3× Windows 10, 2× Debian. Защищённая сеть строится на технологии ViPNet (ЦУС, УКЦ, координаторы, клиенты), удостоверяющий центр — на компонентах ViPNet PKI.

5МОДУЛЕЙ

6ВИРТУАЛЬНЫХ МАШИН

3 чНА ЭКЗАМЕН

3СЕТИ VIRTUALBOX

💡 Как пользоваться руководством Карточки разворачиваются по клику на заголовок. Команды копируются кнопкой «Копировать». Модули выполняются строго по порядку — каждый следующий опирается на результат предыдущего. Делайте снимок (Snapshot) ВМ перед каждым рискованным шагом — это самый быстрый откат на экзамене. Точные названия пунктов меню ViPNet могут немного отличаться в зависимости от версии и сборки дистрибутива — ориентируйтесь на смысл шага, а не на дословный текст кнопки.

Координаторы и клиенты

~45 мин

МОДУЛЬ 03

Структура защищённой сети

Аккредитация и компрометация

~55 мин

INFO Состав стенда, топология и адресация ▾

🌐 Логика стенда Центральный офис (Сеть 1 — ЦО) и филиал (Сеть 1 — Филиал) соединены через транзитный сегмент «Интернет». На границе каждой площадки стоит VPN-координатор: Net1-CoordCA (Windows) — со стороны ЦО, Net2-Coord (Debian) — со стороны филиала. Защищённый канал ViPNet строится поверх «Интернета»: весь трафик между площадками шифруется на координаторах. Клиенты площадок «не знают» про шифрование — они просто отправляют пакеты, а координаторы их инкапсулируют.

Три сегмента

Сеть 1 — ЦО (intnet-co)

192.168.110.0/28

.1 – .14 · маска 255.255.255.240

Сеть 1 — Филиал (intnet-branch)

10.10.10.0/26

.1 – .62 · маска 255.255.255.192

«Интернет» / транзит (intnet-net)

198.18.10.0/20

соединяет внешние интерфейсы координаторов

Виртуальные машины и роли

ВМ	ОС	Роль	Учётка	Сеть VirtualBox
Net1-AdminCA	Win Server 2019	АРМ администратора · ЦУС · УКЦ	AdminCA	intnet-co
Net1-CoordCA	Windows 10	Координатор ЦО (VPN)	Coord_CO	intnet-co + intnet-net
Net1-OperatorCA	Windows 10	АРМ оператора УЦ	OperCA	intnet-co
Net1-Open	Windows 10	Незащищённый узел · SQL Server	—	intnet-co
Net2-Coord	Debian	Координатор филиала (VPN)	Coord_S	intnet-branch + intnet-net
Net2-Client	Debian	Клиент пользователя	User_Br	intnet-branch

План IP-адресов

ВМ	Адаптер 1 (внутр.)	Адаптер 2 («Интернет»)	Шлюз
Net1-CoordCA	192.168.110.1/28	198.18.10.1/20	198.18.10.254*
Net1-AdminCA	192.168.110.2/28	—	192.168.110.1
Net1-OperatorCA	192.168.110.3/28	—	192.168.110.1
Net1-Open	192.168.110.4/28	—	192.168.110.1
Net2-Coord	10.10.10.1/26	198.18.10.2/20	198.18.10.254*
Net2-Client	10.10.10.2/26	—	10.10.10.1

⚠ Про шлюз «Интернета» В изолированном стенде реального шлюза в сегменте 198.18.10.0/20 нет — координаторы видят друг друга напрямую в одной L2-сети intnet-net. Поле «шлюз» для внешних интерфейсов можно оставить пустым или указать встречный координатор. Главное — чтобы ping между 198.18.10.1 и 198.18.10.2 проходил.

Учётные данные

Пароль пользователей

xxXX3344

Пароль администраторов

4433XXxx

💡 Запомните соответствие Пользовательские пароли (учётки User_Br, дистрибутивы клиентов) — xxXX3344. Административные (sa в SQL, дистрибутивы координаторов, учётка администратора сети) — 4433XXxx. Не перепутайте: установка дистрибутива с неверным паролем — самая частая причина «зависания» на экзамене.

Подготовка стенда в VirtualBox

~15 мин до стартаХост-машина

0 Создание ВМ, сети, снимки, порядок запуска ▾

🎯 Цель Получить 6 готовых к работе ВМ, объединённых в три изолированных сегмента, и зафиксировать «чистое» состояние снимками.

Шаг 1 — Ресурсы ВМ (если машины ещё не созданы)

Если по заданию ВМ уже импортированы (.ova) — пропустите этот шаг. Если создаёте сами, ориентируйтесь на минимальные ресурсы (стенд учебный, не нагруженный):

ВМ	ОЗУ	CPU	Диск
Net1-AdminCA (Server)	2048–4096 МБ	2	50 ГБ
Net1-CoordCA / OperatorCA / Open	2048 МБ	1–2	40 ГБ
Net2-Coord / Net2-Client (Debian)	1024–2048 МБ	1	20 ГБ

💡 Тип ОС в мастере Для сервера выбирайте «Windows 2019 (64-bit)», для клиентов — «Windows 10 (64-bit)», для Debian — «Debian (64-bit)». Включите EFI только если того требует образ; по умолчанию оставьте BIOS.

Шаг 2 — Три виртуальные сети (Internal Network)

Все сегменты стенда — типа «Внутренняя сеть» (Internal Network), чтобы изолировать трафик от хоста и реального интернета. Сами сети «создавать» отдельно не нужно — имя задаётся прямо в свойствах адаптера ВМ.

Используем три имени: intnet-co (Сеть 1 ЦО), intnet-branch (Филиал), intnet-net (транзитный «Интернет» между координаторами).

💡 Совет Имя сети у двух ВМ должно совпадать дословно, до символа — тогда они попадут в один виртуальный коммутатор. Опечатка в имени = машины не видят друг друга, а ошибку трудно заметить.

Шаг 3 — Назначение адаптеров (GUI VirtualBox)

Для каждой ВМ: выключите её (адаптеры меняются только на выключенной машине), откройте Настройки → Сеть.

Адаптер 1: «Включить сетевой адаптер» → Тип подключения «Внутренняя сеть» → Имя по таблице ниже.

В «Дополнительно» можно оставить тип адаптера Intel PRO/1000 MT Desktop и режим Promiscuous = «Запретить».

У координаторов (Net1-CoordCA, Net2-Coord) дополнительно включите Адаптер 2 → «Внутренняя сеть» → intnet-net.

ВМ	Адаптер 1	Адаптер 2
Net1-AdminCA	intnet-co	—
Net1-CoordCA	intnet-co	intnet-net
Net1-OperatorCA	intnet-co	—
Net1-Open	intnet-co	—
Net2-Coord	intnet-branch	intnet-net
Net2-Client	intnet-branch	—

🌐 Те же действия через VBoxManage (быстрее GUI) Выполняется на хосте, при выключенных ВМ.

Хост · CMD / Bash

# Net1-AdminCA — один адаптер в сети ЦО
VBoxManage modifyvm "Net1-AdminCA" --nic1 intnet --intnet1 "intnet-co"

# Net1-CoordCA — два адаптера (ЦО + Интернет)
VBoxManage modifyvm "Net1-CoordCA" --nic1 intnet --intnet1 "intnet-co" --nic2 intnet --intnet2 "intnet-net"

# OperatorCA и Open — один адаптер в ЦО
VBoxManage modifyvm "Net1-OperatorCA" --nic1 intnet --intnet1 "intnet-co"
VBoxManage modifyvm "Net1-Open" --nic1 intnet --intnet1 "intnet-co"

# Net2-Coord — два адаптера (Филиал + Интернет)
VBoxManage modifyvm "Net2-Coord" --nic1 intnet --intnet1 "intnet-branch" --nic2 intnet --intnet2 "intnet-net"

# Net2-Client — один адаптер в филиале
VBoxManage modifyvm "Net2-Client" --nic1 intnet --intnet1 "intnet-branch"

Шаг 4 — Guest Additions, буфер обмена, общая папка

Для переноса дистрибутивов ViPNet и ключей удобно настроить общую папку: Настройки → Общие папки → добавить папку хоста, отметить «Авто-подключение». Альтернатива — передача файлов через защищённую «Деловую почту» (модуль 3).

После старта ВМ установите Guest Additions, затем включите двунаправленный буфер обмена (Устройства → Общий буфер обмена → Двунаправленный).

⚠ Guest Additions на Debian Сначала поставьте заголовки ядра и утилиты, иначе сборка модуля не пройдёт.

Net2-Coord / Net2-Client · Bash (root)

apt update
apt install -y build-essential dkms linux-headers-$(uname -r) virtualbox-guest-utils virtualbox-guest-x11

Шаг 5 — Снимки (Snapshots)

Сразу после первичной настройки сделайте снимок каждой ВМ: Машина → Сделать снимок состояния (имя base). Это страховка №1 на экзамене.

Делайте промежуточные снимки перед инициализацией УКЦ и перед сценарием компрометации (модуль 5) — именно там легче всего «сломать» ключи без отката.

Шаг 6 — Порядок запуска

Запускайте в порядке: координаторы (Net1-CoordCA, Net2-Coord) → Net1-AdminCA (ЦУС/УКЦ) → Net1-OperatorCA → клиенты (Net2-Client) → Net1-Open. Зависимые сервисы поднимаются после своих координаторов.

✅ Результат 6 ВМ настроены, разнесены по трём внутренним сетям, у координаторов по два адаптера, у остальных — один. Сделаны снимки base.

М1

Сетевое окружение, адресация и SQL-сервер

~30 минWin Server · Win 10 · DebianVirtualBox

1.1Виртуальные сети и проверка связности▾

🎯 Цель Получить три изолированных сегмента и убедиться, что машины внутри каждого сегмента видят друг друга, а внешние интерфейсы координаторов — друг друга.

Шаг 1 — Применить схему адаптеров

Выполните назначение адаптеров из раздела «Стенд в VirtualBox», Шаг 3 (по таблице).

Проверьте, что у координаторов ровно два адаптера, у остальных — один.

Шаг 2 — Разрешить ICMP (иначе ping не пройдёт)

Брандмауэр Windows по умолчанию блокирует входящие эхо-запросы. На каждой Windows-ВМ разрешите ICMPv4.

Любая Windows · PowerShell (admin)

New-NetFirewallRule -DisplayName "ICMPv4-In" -Protocol ICMPv4 `
  -IcmpType 8 -Direction Inbound -Action Allow

💡 Быстрый вариант на время отладки Можно временно отключить брандмауэр командой netsh advfirewall set allprofiles state off, но на финальных скриншотах лучше показать точечное правило, а не полностью выключенный фаервол.

Шаг 3 — Проверка связности (после настройки IP, см. 1.2)

Внутри ЦО: с AdminCA пингуйте координатора и соседей.

Net1-AdminCA · CMD

ping 192.168.110.1   # координатор ЦО
ping 192.168.110.3   # OperatorCA
ping 192.168.110.4   # Net1-Open

Транзитный сегмент: с Net2-Coord пингуйте внешний адрес координатора ЦО. Это ключевая проверка — без неё VPN между площадками не поднимется.

Net2-Coord · Bash

ping -c 4 198.18.10.1   # внешний интерфейс Net1-CoordCA

✅ Результат Внутри каждого сегмента ping проходит; внешние интерфейсы координаторов пингуют друг друга.

📸 Скриншоты для отчёта

Окно «Настройки → Сеть» каждой ВМ с типом «Внутренняя сеть» и именем сегмента.
Успешные ping внутри ЦО (с AdminCA) и внутри филиала (с Net2-Client до 10.10.10.1).
Успешный ping между внешними интерфейсами 198.18.10.1 ↔ 198.18.10.2.

⚠ Частая ошибка Не проходит ping — проверьте: 1) ICMP разрешён в брандмауэре; 2) имена внутренних сетей совпадают дословно; 3) адреса в одной подсети (одинаковая маска).

1.2Статическая IP-адресация на всех узлах▾

🎯 Цель Назначить адреса строго по плану (раздел INFO). Адреса статические, без DHCP.

Windows — через GUI

Откройте ncpa.cpl → правый клик по адаптеру → «Свойства» → «IP версии 4 (TCP/IPv4)» → «Свойства».

«Использовать следующий IP-адрес» → впишите адрес, маску и шлюз по плану. DNS — адрес AdminCA 192.168.110.2 (после поднятия DNS-роли) или оставьте пустым на этом этапе.

Windows — через PowerShell (быстрее и без ошибок)

Net1-AdminCA · PowerShell (admin)

# 1) узнать имя адаптера
Get-NetAdapter

# 2) если на адаптере уже есть автоадрес — убрать старый IP/шлюз (по желанию)
#    Remove-NetIPAddress -InterfaceAlias "Ethernet" -Confirm:$false

# 3) назначить статический IP (имя адаптера обычно "Ethernet")
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.110.2 `
  -PrefixLength 28 -DefaultGateway 192.168.110.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.110.2

# 4) проверить
Get-NetIPAddress -InterfaceAlias "Ethernet" | ft IPAddress,PrefixLength

💡 Для остальных Windows-узлов меняйте только -IPAddress: CoordCA = .1, OperatorCA = .3, Open = .4 — и DNS на 192.168.110.2. У Net1-CoordCA второй адаптер настраивается отдельно (ниже).

Net1-CoordCA · PowerShell — второй адаптер «Интернет»

# внутренний интерфейс (ЦО)
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.110.1 -PrefixLength 28
# внешний интерфейс (транзит); шлюз в изолированном стенде не нужен
New-NetIPAddress -InterfaceAlias "Ethernet 2" -IPAddress 198.18.10.1 -PrefixLength 20

Debian — /etc/network/interfaces

Net2-Coord · Bash (root)

# посмотреть имена интерфейсов
ip link show

nano /etc/network/interfaces

Net2-Coord · /etc/network/interfaces

# --- координатор филиала: внутр. сеть + транзит ---
auto enp0s3
iface enp0s3 inet static
    address 10.10.10.1
    netmask 255.255.255.192

auto enp0s8
iface enp0s8 inet static
    address 198.18.10.2
    netmask 255.255.240.0

Net2-Coord · применить и проверить

systemctl restart networking
ip addr show
ip route

Net2-Client · /etc/network/interfaces

auto enp0s3
iface enp0s3 inet static
    address 10.10.10.2
    netmask 255.255.255.192
    gateway 10.10.10.1

Net2-Client · применить

systemctl restart networking
ping -c 4 10.10.10.1   # до координатора филиала

⚠ Имена интерфейсов В VirtualBox под Debian адаптеры обычно enp0s3 (Адаптер 1) и enp0s8 (Адаптер 2). Проверяйте через ip link — у вас имена могут отличаться. Если стоит NetworkManager, отключите управление этими интерфейсами или используйте nmcli.

✅ Результат На каждом узле ipconfig / ip addr показывает плановые адреса; ping внутри сегментов проходит.

📸 Скриншоты для отчёта

Вывод адресов на каждой машине (ipconfig /all или ip addr).
У CoordCA и Net2-Coord — оба интерфейса с разными подсетями.

1.3Установка SQL Server на Net1-Open▾

🎯 Цель Поднять экземпляр СУБД, к которому позже подключится ЦУС для хранения структуры защищённой сети.

Шаг 1 — Установка SQL Server Express

Запустите установщик SQL Server Express с предоставленного дистрибутива от имени администратора.

Тип установки — «Новая установка изолированного экземпляра». Имя экземпляра по умолчанию SQLEXPRESS.

Режим проверки подлинности — «Смешанный режим». Задайте пароль sa = 4433XXxx и добавьте текущего пользователя как администратора SQL.

💡 SSMS Если в дистрибутиве есть SQL Server Management Studio — установите её: пригодится для проверки подключения и создания/просмотра БД ЦУС.

Шаг 2 — Сетевой доступ к экземпляру

В SQL Server Configuration Manager → «Сетевая конфигурация SQL Server» → протоколы для SQLEXPRESS → включите TCP/IP.

В свойствах TCP/IP → вкладка «IP-адреса» → раздел IPAll → задайте TCP-порт 1433 (поле «Динамические TCP-порты» очистите).

Перезапустите службу SQL Server и откройте порт в брандмауэре.

Net1-Open · PowerShell (admin)

New-NetFirewallRule -DisplayName "SQL 1433" -Direction Inbound `
  -Protocol TCP -LocalPort 1433 -Action Allow

# SQL Browser (если подключаетесь по имени экземпляра, UDP 1434)
New-NetFirewallRule -DisplayName "SQL Browser 1434" -Direction Inbound `
  -Protocol UDP -LocalPort 1434 -Action Allow

# перезапуск службы экземпляра
Restart-Service 'MSSQL$SQLEXPRESS'

Шаг 3 — Проверка подключения с AdminCA

Net1-AdminCA · PowerShell

# доступен ли порт 1433 на Net1-Open
Test-NetConnection 192.168.110.4 -Port 1433

Поле TcpTestSucceeded : True подтверждает доступность. Если есть sqlcmd — можно проверить и саму аутентификацию:

Net1-AdminCA · CMD (если установлен sqlcmd)

sqlcmd -S 192.168.110.4\SQLEXPRESS -U sa -P 4433XXxx -Q "SELECT @@VERSION"

✅ Результат Служба SQL запущена, TCP/IP включён, порт 1433 слушается и доступен с AdminCA, аутентификация sa работает.

📸 Скриншоты для отчёта

Финальное окно установки SQL Server.
Configuration Manager с включённым TCP/IP и портом 1433.
Test-NetConnection с TcpTestSucceeded : True.

М2

Установка компонентов защищённой сети

~45 минWin Server · Win 10 · DebianЦУС · Координаторы · Клиенты

2.1Net1-AdminCA: ЦУС и УКЦ, подключение к SQL▾

🎯 Цель Развернуть на сервере центр управления сетью (ЦУС) и удостоверяющий ключевой центр (УКЦ) — «мозг» защищённой сети ViPNet.

💡 Что есть что ЦУС хранит и редактирует структуру сети (узлы, пользователи, связи), формирует справочники. УКЦ на их основе генерирует ключи и сертификаты, выпускает дистрибутивы (.dst). Ставятся на один сервер AdminCA.

Шаг 1 — Установка ЦУС

На AdminCA запустите дистрибутив ЦУС от имени администратора, пройдите мастер установки.

При установке выберите подключение к внешней СУБД и укажите параметры SQL на Net1-Open:

Сервер: 192.168.110.4\SQLEXPRESS

Порт: 1433

Аутентификация SQL: логин sa / пароль 4433XXxx

Создайте новую базу данных ЦУС (мастер предложит создать БД на указанном сервере). Дождитесь успешного теста подключения.

Шаг 2 — Установка УКЦ

Установите дистрибутив УКЦ на тот же сервер. УКЦ отвечает за ключи и сертификаты узлов.

Свяжите УКЦ с ЦУС: укажите адрес ЦУС 192.168.110.2 и порт по умолчанию. На этом этапе УКЦ ещё не инициализирован — это будет в задаче 3.2.

Шаг 3 — Открыть служебные порты на сервере

Net1-AdminCA · PowerShell (admin)

# порт ЦУС (по умолчанию 2100) — узлы подключаются к серверу
New-NetFirewallRule -DisplayName "CUS 2100" -Direction Inbound `
  -Protocol TCP -LocalPort 2100 -Action Allow

⚠ Номера портов 2100 — типовой порт ЦУС, но в вашей сборке он может отличаться. Уточняйте по документации/заданию и открывайте именно тот порт, который указан в настройках ЦУС.

✅ Результат ЦУС хранит данные в БД на Net1-Open; УКЦ установлен и связан с ЦУС; служебные порты открыты.

📸 Скриншоты для отчёта

Окно установки ЦУС с параметрами подключения к SQL.
Сообщение об успешном создании БД ЦУС.
Окно установки/первый запуск УКЦ.

2.2Координатор ЦО (Net1-CoordCA) и клиенты ЦО▾

🎯 Цель Поднять VPN-координатор центрального офиса и подготовить защищённые клиенты ЦО (AdminCA, OperatorCA) к приёму ключей.

💡 Почему Windows В этом варианте координатор ЦО — программный, на Windows 10. Это полноценный VPN-шлюз: он маршрутизирует и шифрует трафик между сегментом ЦО (192.168.110.0/28) и «Интернетом» (198.18.10.0/20).

Шаг 1 — Установка ПО координатора

На Net1-CoordCA установите дистрибутив координатора (версия для Windows) от имени администратора.

Убедитесь, что включены оба адаптера и назначены адреса 192.168.110.1 (внутр.) и 198.18.10.1 (внешн.) — см. 1.2.

Параметры узла при инициализации: имя Coord_CO, адрес ЦУС 192.168.110.2:2100. Дистрибутив ключей загрузите на шаге 3.2 (после создания структуры в ЦУС).

Шаг 2 — Маршрутизация и брандмауэр

Net1-CoordCA · PowerShell (admin)

# включить IP-форвардинг между интерфейсами на обоих адаптерах
Set-NetIPInterface -InterfaceAlias "Ethernet" -Forwarding Enabled
Set-NetIPInterface -InterfaceAlias "Ethernet 2" -Forwarding Enabled

# служба маршрутизации (RRAS-механизм) — включить службу IP-маршрутизатора
Set-Service RemoteAccess -StartupType Automatic
Start-Service RemoteAccess

# разрешить служебный UDP-порт VPN ViPNet (по умолчанию 55777)
New-NetFirewallRule -DisplayName "VPN UDP 55777" -Direction Inbound `
  -Protocol UDP -LocalPort 55777 -Action Allow

⚠ Порт VPN 55777/UDP — типовой служебный порт ViPNet. После установки координатора проверьте фактический порт в его настройках и откройте именно его.

Шаг 3 — Клиенты в ЦО (AdminCA и OperatorCA)

На Net1-AdminCA установите VPN Client (компоненты: «Клиент VPN» + «Рабочее место администратора»).

На Net1-OperatorCA установите VPN Client (АРМ оператора УЦ).

Дистрибутивы ключей формируются в УКЦ (модуль 3) — сейчас только ставим ПО и фиксируем готовность к приёму ключей.

✅ Результат Координатор Coord_CO установлен, форвардинг включён, ждёт ключей; на AdminCA и OperatorCA стоят VPN-клиенты.

📸 Скриншоты для отчёта

Завершение установки ПО координатора, первый запуск приложения.
Включённый форвардинг / запущенная служба маршрутизации.
Установленные клиенты на AdminCA и OperatorCA.

2.3Координатор филиала (Net2-Coord) и клиент (Net2-Client)▾

🎯 Цель Поднять VPN-координатор филиала на Debian и подготовить клиент пользователя User_Br.

Шаг 1 — Установка координатора на Debian

Убедитесь, что назначены адреса 10.10.10.1 (внутр.) и 198.18.10.2 (внешн.).

Установите пакет координатора (Linux-дистрибутив) и дотяните зависимости.

Net2-Coord · Bash (root)

# установка из локального .deb-пакета
dpkg -i /opt/dist/coordinator*.deb
apt -f install -y   # дотянуть зависимости

# включить IP-форвардинг (маршрутизация между сегментами)
sysctl -w net.ipv4.ip_forward=1
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

# статус службы координатора и последние записи журнала
systemctl status vpncoord
journalctl -u vpncoord -n 30 --no-pager

Параметры узла: имя Coord_S, адрес ЦУС 192.168.110.2:2100 (через защищённый канал между координаторами). Дистрибутив ключей — на шаге 3.2.

⚠ Имя пакета и службы coordinator*.deb и служба vpncoord — обобщённые названия. У конкретного дистрибутива ViPNet Coordinator Linux имя файла и юнита могут быть другими (например, своя утилита управления). Сверяйтесь с README/документацией пакета.

Шаг 2 — Правила firewall на координаторе

Net2-Coord · Bash (root)

# разрешить служебный UDP-порт VPN на внешнем интерфейсе
iptables -A INPUT -i enp0s8 -p udp --dport 55777 -j ACCEPT
# разрешить ESP (если используется инкапсуляция ESP)
iptables -A INPUT -p esp -j ACCEPT
# разрешить ICMP для диагностики
iptables -A INPUT -p icmp -j ACCEPT

# сохранить правила
mkdir -p /etc/iptables
iptables-save > /etc/iptables/rules.v4

Шаг 3 — Клиент на Net2-Client (Debian)

Net2-Client · Bash (root)

# установка VPN-клиента (Linux)
dpkg -i /opt/dist/client*.deb
apt -f install -y

systemctl status vpnclient   # проверка службы клиента

Имя узла клиента: User_Br. Ключи узел примет на шаге 3.2.

✅ Результат Координатор Coord_S работает, форвардинг включён, firewall настроен, клиент User_Br установлен.

📸 Скриншоты для отчёта

systemctl status координатора (active/running).
Вывод ip addr с двумя интерфейсами.
Успешный ping с Net2-Coord до 198.18.10.1.
systemctl status клиента на Net2-Client.

М3

Создание структуры защищённой сети

~35 минАРМ администратораЦУС · УКЦ · Деловая почта

🧭 Общая логика модуля 3

ЦУС: узлы + пользователи + связи→ «Передать в УКЦ»→ УКЦ: инициализация + ключи→ Дистрибутивы (.dst)→ Установка на узлах→ Защищённый канал

3.1Структура в ЦУС: узлы, пользователи, полномочия, связи▾

🎯 Цель Описать в ЦУС все узлы и пользователей, выдать полномочия и задать связи — кто с кем может обмениваться защищённым трафиком.

Шаг 1 — Координаторы и их сети

В консоли ЦУС создайте два координатора: Coord_CO (ЦО) и Coord_S (филиал), указав их адреса во «внешней» сети (198.18.10.1 и 198.18.10.2).

Задайте каждому координатору его внутреннюю (туннелируемую) сеть: 192.168.110.0/28 для Coord_CO, 10.10.10.0/26 для Coord_S. Так координатор узнает, какие открытые узлы он защищает.

Шаг 2 — Узлы-клиенты и пользователи

Создайте клиентов и привяжите их к координаторам: AdminCA и OperCA → Coord_CO; User_Br → Coord_S.

Создайте пользователей и задайте пароли: пользовательские — xxXX3344, административные — 4433XXxx.

Шаг 3 — Полномочия и связи

Выдайте полномочия: AdminCA — администратор сети; OperCA — оператор УЦ.

Установите связи (матрицу): AdminCA ↔ User_Br, OperCA ↔ User_Br, и каждый координатор ↔ все свои клиенты. Без связи узлы не увидят друг друга по VPN.

Сформируйте справочники и выполните «Передать в УКЦ» / экспорт справочников.

⚠ Связи — самое важное Если защищённый канал не поднимется в 3.2, в 90% случаев проблема здесь: не задана связь между нужными узлами или связь не задана с координатором противоположной площадки.

✅ Результат В ЦУС описана полная структура сети со связями, справочники переданы в УКЦ.

📸 Скриншоты для отчёта

Список узлов (2 координатора + 3 клиента).
Список пользователей с полномочиями.
Матрица связей.
Сообщение об успешной передаче справочников в УКЦ.

3.2Инициализация УКЦ, дистрибутивы ключей, ввод в строй▾

🎯 Цель Сформировать ключи и дистрибутивы для всех узлов, развернуть их и поднять защищённые каналы между ЦО и филиалом.

Шаг 1 — Первичная инициализация УКЦ

В УКЦ выполните первичную инициализацию: сгенерируйте мастер-ключ и ключи защиты ЦУС, импортируйте справочники из ЦУС (результат шага 3.1).

💡 Снимок перед инициализацией Сделайте Snapshot AdminCA непосредственно перед инициализацией УКЦ — это шаг, который сложнее всего «переделать» без отката.

Шаг 2 — Формирование дистрибутивов ключей

Сформируйте дистрибутивы ключей (DST, файлы *.dst) для всех узлов: Coord_CO, Coord_S, AdminCA, OperCA, User_Br.

Задайте пароли дистрибутивов по соответствию ролей: координаторы/админ — 4433XXxx, пользователь — xxXX3344.

Передайте дистрибутивы на узлы: на координаторы — через общую папку/носитель, на клиентов — при первом запуске VPN Client.

Шаг 3 — Развёртывание ключей на узлах

На Net1-CoordCA загрузите дистрибутив Coord_CO.dst; на Net2-Coord — Coord_S.dst.

Net2-Coord · Bash (root) — пример загрузки дистрибутива

# применить дистрибутив ключей координатора (команда зависит от сборки)
vpncoord install-dst /opt/dist/Coord_S.dst --password '4433XXxx'
systemctl restart vpncoord

На AdminCA, OperatorCA, Net2-Client запустите VPN Client → укажите дистрибутив → введите пароль (пользовательский xxXX3344).

Шаг 4 — Проверка защищённых каналов

Net1-AdminCA · CMD — связь через VPN

ping 10.10.10.2   # User_Br в филиале, через защищённый канал

Net2-Client · Bash — обратная проверка

ping -c 4 192.168.110.2   # AdminCA в ЦО

✅ Результат Все узлы инициализированы, между ЦО и филиалом поднят защищённый канал, ping проходит сквозь координаторы.

⚠ Если ping не идёт — чек-лист

Связи в ЦУС заданы для нужной пары узлов (см. 3.1).
Ключи установлены на обоих концах канала.
Внешние интерфейсы координаторов пингуются: 198.18.10.1 ↔ 198.18.10.2.
Форвардинг включён на обоих координаторах.
Служебный UDP-порт VPN открыт в брандмауэре/iptables.
Дистрибутив установлен с верным паролем (роль не перепутана).

📸 Скриншоты для отчёта

УКЦ после инициализации (мастер-ключ создан).
Список сформированных дистрибутивов.
Статусы узлов «активен» в мониторе.
Успешные ping между площадками в обе стороны.

3.3Деловая почта: письмо и текстовое сообщение▾

🎯 Цель Проверить прикладной защищённый обмен между узлами разных площадок.

Шаг 1 — Письмо с вложением

На Net2-Client (User_Br) откройте «Деловую почту», создайте письмо адресату AdminCA, приложите файл и отправьте.

На Net1-AdminCA примите письмо, откройте вложение, убедитесь в целостности.

Шаг 2 — Текстовое сообщение (чат)

В разделе «Сообщения»/«Чат» VPN Client обменяйтесь короткими сообщениями User_Br ↔ AdminCA в обе стороны.

✅ Результат Письмо доставлено и прочитано, вложение открывается, чат-сообщения проходят в обе стороны.

📸 Скриншоты для отчёта

Отправка письма с вложением (User_Br).
Приём письма и открытое вложение (AdminCA).
Переписка в чате в обе стороны.

М4

Установка компонентов удостоверяющего центра

~15 минAdminCA / OperatorCAЦР · Публикация · Информирование

4.1Центр регистрации, сервис публикации и информирования▾

🎯 Цель Добавить прикладные компоненты УЦ для приёма заявок, публикации сертификатов и информирования пользователей.

💡 Что за компоненты ЦР (Центр регистрации) — принимает и обрабатывает заявки на сертификаты (рабочее место оператора). Сервис публикации — выкладывает выпущенные сертификаты и списки отозванных (CRL) в доступную узлам точку. Сервис информирования — рассылает уведомления о статусе заявок и сертификатов.

Шаг 1 — Центр регистрации (ЦР)

Установите ЦР на Net1-OperatorCA (АРМ оператора). Свяжите его с УКЦ на AdminCA (адрес 192.168.110.2).

Шаг 2 — Сервис публикации

Установите сервис публикации сертификатов и списков отзыва (CRL). Укажите точку публикации, доступную узлам сети (например, по HTTP или сетевой путь).

Шаг 3 — Сервис информирования

Установите сервис информирования и проверьте, что все службы запущены.

Net1-OperatorCA · PowerShell — проверка служб

Get-Service | Where-Object { $_.DisplayName -match "регистр|публик|информир" } |
  ft Status,Name,DisplayName -Auto

✅ Результат ЦР, сервисы публикации и информирования установлены и работают (статус Running).

📸 Скриншоты для отчёта

Окна установки каждого компонента.
Список запущенных служб УЦ.
Связь ЦР с УКЦ (адрес 192.168.110.2).

М5

Настройка УЦ. Компрометация и восстановление

~55 минУКЦ · ЦР · Клиент User_BrСертификаты · Отзыв · Смена ключей

5.1Аккредитованный УЦ и выпуск сертификата▾

🎯 Цель Настроить параметры аккредитованного УЦ и выпустить квалифицированный сертификат пользователю User_Br.

Шаг 1 — Параметры аккредитованного УЦ

В УКЦ задайте реквизиты УЦ (наименование, ОГРН/ИНН — по заданию), профиль сертификата и срок действия.

Сформируйте корневой сертификат УЦ и опубликуйте его через сервис публикации (модуль 4).

Шаг 2 — Заявка и выпуск сертификата User_Br

На Net2-Client сформируйте запрос на сертификат (заявку) с данными пользователя User_Br.

В ЦР на OperatorCA примите заявку и одобрите её; УКЦ выпустит сертификат.

Опубликуйте сертификат и установите его на узле User_Br. Проверьте цепочку доверия до корневого сертификата УЦ.

✅ Результат Аккредитованный УЦ настроен, выпущен и установлен сертификат User_Br, цепочка доверия валидна.

📸 Скриншоты для отчёта

Реквизиты аккредитованного УЦ.
Сформированная заявка на сертификат.
Одобрение заявки в ЦР.
Установленный сертификат с валидной цепочкой доверия.

5.2Компрометация ключей User_Br и восстановление▾

🎯 Цель Отработать сценарий компрометации: отозвать ключи/сертификат, выпустить новые, восстановить связь и доверие.

💡 Снимок перед началом Сделайте Snapshot Net2-Client и AdminCA — этот сценарий «ломает» ключи намеренно, и при ошибке откат сэкономит много времени.

Шаг 1 — Фиксация и отзыв

На Net2-Client зафиксируйте факт компрометации (в интерфейсе клиента отметьте ключ как скомпрометированный).

В ЦР/УКЦ отзовите сертификат User_Br, обновите список отозванных сертификатов (CRL) и опубликуйте его.

Шаг 2 — Смена ключей в УКЦ

В УКЦ выполните смену ключей для User_Br и сформируйте новый дистрибутив ключей.

Передайте новый дистрибутив на узел User_Br.

Шаг 3 — Восстановление на Net2-Client

Net2-Client · Bash — установка нового дистрибутива

# применить новый дистрибутив ключей
vpnclient install-dst /opt/dist/User_Br_new.dst --password 'xxXX3344'
systemctl restart vpnclient

# проверить связь со всеми узлами после смены
ping -c 3 192.168.110.2   # AdminCA
ping -c 3 192.168.110.3   # OperatorCA
ping -c 3 10.10.10.1      # координатор филиала

Шаг 4 — Проверка прикладного обмена

Отправьте чат-сообщение User_Br → AdminCA — оно должно проходить уже на новых ключах.

📸 Обязательные скриншоты (Задача 5.2)

Факт компрометации в интерфейсе клиента.
Отзыв сертификата и обновлённый CRL.
Смена ключей в УКЦ.
Новый дистрибутив и его установка на Net2-Client.
Ping всех узлов после смены ключей.
Чат-сообщение User_Br → AdminCA на новых ключах.

✅ Результат Скомпрометированные ключи отозваны, узел переинициализирован, связь и защищённый обмен восстановлены.

Приложения: глоссарий, диагностика, чек-лист

Справка

A.1Глоссарий терминов ViPNet▾

ЦУС

Центр управления сетью. Описывает структуру: узлы, пользователи, связи. Хранит данные в БД (здесь — SQL на Net1-Open) и передаёт справочники в УКЦ.

УКЦ

Удостоверяющий и ключевой центр. Генерирует мастер-ключ, ключи узлов, сертификаты и дистрибутивы (.dst). Управляет сменой и отзывом ключей.

Координатор

VPN-сервер на границе площадки. Шифрует и маршрутизирует трафик, туннелирует открытые узлы своей сети. Здесь: Coord_CO (Win) и Coord_S (Debian).

Клиент

Защищённый узел-абонент: AdminCA, OperCA, User_Br. Получает дистрибутив ключей и работает через свой координатор.

Дистрибутив (.dst)

Файл с ключами и справочниками конкретного узла, защищённый паролем. Устанавливается на узел для ввода в защищённую сеть.

Связь

Запись в ЦУС, разрешающая двум узлам обмениваться защищённым трафиком. Нет связи — нет канала.

ЦР

Центр регистрации — рабочее место оператора УЦ: приём и одобрение заявок на сертификаты.

CRL

Список отозванных сертификатов. Публикуется сервисом публикации; обновляется при отзыве/компрометации.

Деловая почта

Прикладной защищённый почтовый клиент ViPNet для писем с вложениями между узлами.

A.2Диагностика типовых проблем▾

Симптом	Вероятная причина	Что проверить
Нет ping внутри сегмента	ICMP/имя сети	Правило ICMP в брандмауэре; дословное совпадение имени Internal Network
Нет ping 198.18.10.1↔.2	2-й адаптер / адрес	Включён ли Адаптер 2; адрес и маска /20; интерфейс enp0s8
ЦУС не подключается к SQL	TCP/IP или порт	TCP/IP в Configuration Manager; порт 1433; пароль sa; firewall
Узлы не активны после ключей	Связи/пароль	Связи в ЦУС; пароль дистрибутива по роли; ключи на обоих концах
VPN между площадками не идёт	Форвардинг/порт	ip_forward=1 и форвардинг на CoordCA; UDP-порт VPN открыт
Сертификат не доверенный	Корневой не установлен	Корневой сертификат УЦ в «Доверенных корневых ЦС»; цепочка

A.3Команды диагностики (шпаргалка)▾

Windows · PowerShell

Get-NetAdapter                          # адаптеры и их имена
Get-NetIPAddress -AddressFamily IPv4    # назначенные IP
Get-NetRoute -AddressFamily IPv4        # таблица маршрутов
Test-NetConnection 192.168.110.4 -Port 1433  # доступность порта
Get-NetFirewallRule -Enabled True | ft DisplayName,Direction,Action
Resolve-DnsName uzel.domain.ru          # проверка DNS

Debian · Bash

ip -br addr            # кратко: интерфейсы и адреса
ip route               # маршруты
ss -tulpn              # открытые порты и службы
iptables -L -n -v      # правила фаервола
journalctl -u vpncoord -n 50 --no-pager   # журнал координатора
sysctl net.ipv4.ip_forward                # статус форвардинга

A.4Финальный чек-лист сдачи▾

М1: адреса по плану на всех 6 ВМ; ping внутри сегментов и между внешними интерфейсами координаторов.
М1: SQL на Net1-Open доступен с AdminCA (порт 1433, sa).
М2: ЦУС связан с БД; УКЦ установлен; оба координатора и три клиента развёрнуты.
М3: структура и связи в ЦУС; УКЦ инициализирован; дистрибутивы установлены; VPN между площадками работает; Деловая почта и чат проходят.
М4: ЦР, публикация, информирование запущены и связаны с УКЦ.
М5: аккредитованный УЦ настроен; сертификат User_Br выпущен и валиден; компрометация → отзыв → CRL → смена ключей → восстановление связи.
Все обязательные скриншоты собраны по каждому модулю.