Yleinen ohjeistus Linux-tehtävään Sinulle on toimitettu valmiiksi asennettu HYPER-V ympäristö, sekä kolme virtuaalikonetta. Tehtäväsi on importata nämä virtuaalikoneet ja konfiguroida ne, sekä verkkolaitteet, tehtävän mukaisesti. Importattavat virtuaalikoneet löydät sijainnista C:\mediat Muista myös nimetä palvelimet oikein! Yleiset ohjeet: - Jollei muuten ohjeisteta, käytä aina salasanaa Qwerty7 - Korvaa tehtävässä löytyvät X -kirjaimet kilpailija numerollasi. Esim. http://taitajax.local => http://taitaja9.local HUOM! Lue tehtävä läpi kokonaisuudessaan ennen kuin aloitat sen tekemisen. Muistiinpanojen tekeminen tehtäväpapereihin on sallittua. 1/18
Palvelin SRV01 Sähköpostipalvelu: - Määritä palvelin lähettämään lähtevät postit tuomariverkon palvelimen kautta. MySQL: - Asenna MySQL. - root käyttäjän salasana tulee olla Qwerty7. - Lisää tietokanta sekä käyttäjä taitaja ja anna kyseisellä käyttäjälle täydet oikeudet kyseiseen tietokantaan. Intranet- ja internet-sivustot: Toteuta nämä parhaimmaksi ajattelemallasi tavalla. HTTP/HTTPS-sivusto taitajax.local - Sivustolle tulee päästä käyttäen http- ja https-protokollia kaikista verkoista, myös tuomariverkosta. - Sivuston osoite tulee olla taitajax.local - Sivusto tulee sijaita sijainnissa /var/www/taitaja - Sivustolle mentäessä tulee näkyä sivu jonka otsikko tulee olla Tervetuloa! - Sivustolla pitää myös näkyä teksti Tervetuloa sivustolle! - Asenna myös phpmyadmin ja määritä se avautumaan osoitteesta taitajax.local/admin. - phpmyadminiin tulee päästä vain Hallintaverkosta ja tietysti myös itse palvelimelta(srv01). Käyttäjien sivustot - Jokaiselle palvelimen käyttäjällä tulee olla mahdollisuus omiin verkkosivuihinsa. - Sivustoihin tulee päästä käsiksi osoitteesta http://taitajax.local/~[käyttäjänimi] - Käyttäjien nettisivustot tulee sijaita kansiossa ~/verkkosivut. - ~/verkkosivut tulee olla valmiina jokaiselle uudella käyttäjälle ja siellä tulee olla oletuksena sivusto joka kertoo suomen ajan sivun lataushetkellä. 2/18
DNS: - Konfiguroi DNS toimimaan tämän tehtävän mukaisesti. - Konfiguroi DNS lähettämään tuntemattomat pyynnöt tuomariverkon palvelimelle. SSH: - Kirjautuminen käyttäjänä root tulee olla kielletty. - Vain ryhmään ssh-users kuuluvat voivat kirjautua sisään. - Timeout tulee olla 10s Käyttäjät: - Luo käyttäjä jaakko/qwerty7 ja anna hänelle oikeudet käyttää sudo-komentoa. - Luo käyttäjä pentti/qwerty7 ja muokkaa hänen verkkosivulleensa teksti: Tämä on pentin sivusto. DHCP: -Konfiguroi DHCP palvelu jakamaan verkko-osoitteita hallinta, työasema, ja WLAN verkkoihin. Hallinta, ja työasemaverkoista jaetaan kaikki osoitteet, WLAN verkosta vain viimeiset 40 käytettävissä olevaa osoitetta. 3/18
Palvelin SRV02 Toinen kiintolevy: - Lisää palvelimeen toinen 32GB kiintolevy, sekä osioi ja liitä(tulee toimia myös uudelleenkäynnistyksen jälkeen!) se seuraavasti: - 16 GB (ext4) /media - 16 GB (ext3) /tftp Samba: - Tee verkkojako jako kansiosta /media (tee kyseinen kansio jollei se ole jo olemassa). - Luo ja anna käyttäjälle taitaja/qwerty7 luku sekä kirjoitusoikeudet kyseiseen jakoon. - Liitä tämä jako SRV01:lle sijaintiin /SRV02 ja varmista että jako löytyy sieltä myös uudelleenkäynnistyksen/sähkökatkon/tms. jälkeen. Tee tämä käyttäen taitaja-käyttäjää. CUPS: - Asenna ja konfiguroi tälle palvelimelle CUPS-palvelu ja asenna siihen tuomariverkon HPverkkotulostin. - Tulosta testisivu tuomariverkon HP-verkkotulostimelle. (ILMOITA TULOSTAMISESTA ENNEN TULOSTAMISTA TUOMARILLE) SSH: - Kirjautuminen käyttäjänä root tulee olla kielletty. - Vain ryhmään ssh-users kuuluvat voivat kirjautua sisään. - Timeout tulee olla 10s. Käyttäjät: - Luo käyttäjä manni/qwerty7 ja anna sille oikeudet käyttää sudo-komentoa. 4/18
LAPTOP01 Testikoneena toimii toimitusjohtajan debian kannettava virtuaalikone LAPTOP01. Toimitusjohtaja on unohtanut salasanansa, eikä myöskään rootin salasanaa löydy mistään. Kannettavalla on toimitusjohtajan mukaan firman strategialle tärkeä kuvatiedosto important.png jonka toimitusjohtaja haluaisi saada talteen. Kuvatiedosto löytyy polusta /home/toimitusjohtaja/pictures. Kopioi kuvatiedosto turvaan palvelimelle SRV01 niin että siihen pääsee käsiksi www-selaimella osoitteista http://taitajax.local/kuva.png ja https://taitajax.local/kuva.png. Aseta tämä kuvatiedosto myös käyttäjän toimitusjohtaja taustakuvaksi koneella LAPTOP01. Vaihda myös rootin sekä toimitusjohtajan salasanoiksi Qwerty7. Jos et millään saa tiedostoa talteen ja salasanoja vaihdettua voit myös asentaa koneen uudelleen. Tämä ei tietysti ole se toivottu lopputulos, mutta tarvitseehan toimitusjohtaja kannettavansa ja sinä testikoneesi. Jos päädyt asentamaan testikoneen uudestaan, pitää siitä löytyä: - Graafinen ympäristö joka käynnistyy automaattisesti - Verkko: Työasemaverkko (IP-osoite DHCP:ltä) - Käyttäjä: root / Qwerty7 - Käyttäjä: toimitusjohtaja / Qwerty7 5/18
Verkko Aliverkot: Käytössäsi on 10.0.X.0/24 verkkoalue. Sinun tulee jakaa neljäksi seuraavien sääntöjen mukaan: - Jokaisen verkon tulee olla mahdollisimman pieni, mutta kuitenkin niin että väliin ei jää käyttämättömiä osoitteita. - Jokaisen verkon ensimmäinen käytettävä IP-osoite varataan oletusyhdyskäytävälle. - Verkkojen tulee olla seuraavassa järjestyksessä: Palvelinverkko, Hallintaverkko, WLAN-verkko, Työasemaverkko. - Palvelinverkkoon tarvitaan osoitteet 8 laitteelle - Hallintaverkkoon tarvitaan osoitteet 19 laitteelle - WLAN-verkkoon tarvitaan osoitteet 51 laitteelle - Loput osoitteet annetaan Työasemaverkolle. VLAN NIMI OSOITE 10 Palvelin 20 Hallinta 30 Työasema 40 WLAN SRV01: - Verkko: Palvelinverkko. - Palvelinverkon ensimmäinen ja toinen käytettävissä oleva IP-osoite. SRV02: - Verkko: Palvelinverkko. - Palvelinverkon kolmas laitteille käytettävissä oleva IP-osoite LAPTOP01: - Verkko: Työasemaverkko - IP-osoite DHCP:ltä. 6/18
RTR1: - Konfiguroi peruskonfiguraatio: Määritä reittitimen nimeksi RTR1 Luo uusi local tunnus "netadmin" salasanalla "netadmin", tämä tunnus tulee salata tason 7 salauksella Määritä konsoliyhteys käyttämään local -tunnuksia Enable -salasanaksi "Lahti2014", tämä salasana tulee salata tason 5 salauksella Message of the Day viestiksi "AUTHORIZED ACCESS ONLY" - Käytä porttia fa0/0 ulkoverkkoa varten ja porttia fa0/1 sisäverkkoa - Luo tarvittavat interfacet sisäverkon verkkoja varten - Konfiguroi DHCP Relay tarvittaville VLAN:eille - NAT/PAT Konfiguroi PAT sisäverkolle Konfiguroi SRV01:llä sijaitsevaa www sivustoa varten staattinen NAT SRV01:lle osoitteesta 172.20.X.60 käyttäen vain tarvittavia portteja. - Poista Cisco Discovery Protocol käytöstä fa0/0 interfacessa. - Konfiguroi reititin lähettämään kopion running-config tiedostosta polkuun //SRV02/JAKO/CONFIGS/ viiden minuutin välein. - Konfiguroi tarvittavat staattiset reitit - Reitittimen etähallinta tulee toteuttaa käyttäen SSH protokollaa. Estä telnet yhteydet reitittimeen. Käytä kirjautumisessa aiemmin tehtyä local -tunnusta 7/18
SW1: - Konfiguroi peruskonfiguraatio: Määritä kytkimen nimeksi SW1 Luo uusi local tunnus "netadmin" salasanalla "netadmin", tämä tunnus tulee salata tason 7 salauksella Määritä konsoliyhteys käyttämään local -tunnuksia Enable -salasanaksi "Lahti2014", tämä salasana tulee salata tason 5 salauksella Message of the Day viestiksi "AUTHORIZED ACCESS ONLY" Porttien VLAN jako: Portit 1-5 - Hallintaverkko Portit 6-21 - Työasemaverkko Portti 22 - WLAN-verkko Portti 23 - TRUNK - HYPER-V -ympäristöön Portti 24 - TRUNK - Reitittimelle (RTR1) 8/18
Verkkokuva 9/18
Tehtävä 2 Windows Yleistä tietoa Windows tehtävästä Tehtävänäsi on asentaa ja konfiguroida yrityksen Windows ratkaisuihin perustuva IT-ympäristö. Käytä salasanana Qwerty123, jos ei ole muuta pyydetty. Käytössäsi on Hyper-V virtualisointiympäristö, kannettava Windows 8.1 työasema ja ciscon 2950 sarjan kytkimiä. X = Kilpailijanumerosi Toimialueen nimi: taitavafirma.local Tuomariverkko SW-02 Etherchannel VTP VLAN WRKLAP01 Tulostin 10.0.0.3 SW-01 Kilpailija-PC (Fyysinen) WSRV01 (Virtuaali) Server 2012 R2 AD DS, DHCP, DNS, AD CS, FSS WSRV02 (Virtuaali) Server 2012 R2 Core (Tulostuspalvelut) 10/18
WSRV01 Virtuaalikoneen asetukset - Aseta palvelimelle 1024Mt 2048Mt dynaamista keskusmuistia, ja kaksi 100GB kokoista kiintolevyä - Virtuaalikoneen nimi WSRV01 - Konfiguroi tarvittavat verkkoasetukset - Asenna Windows Server 2012 R2 yhdelle 100GB levylle. Kiintolevyjen osointi - Tee osioimattomasta 100GB kokoisesta kiintolevystä kaksi 50GB kokoista osiota, ja vaihda asemien tunnuksiksi E: ja D: Active Directory - Asenna ja konfiguroi palvelimelle aktiivihakemisto - AD:n tiedostojen tulee sijaita E:\AD hakemistossa. - SYSVOL:n tulee sijaita E:\AD\SYSVOL - Toimialueen nimenä tulee olla taitavafirma.local DHCP - Asenna ja konfiguroi palvelimelle DHCP - DHCP:n tulee jakaa työasemaverkkoa DHCP pyyntöjen reititys tehdään tuomariverkosta. - Ota jaosta pois verkon ensimmäinen, ja kaksi viimeistä IP-osoitetta. - Jaa työasemille oletusyhdyskäytäväksi verkon ensimmäinen osoite 11/18
DNS - Asenna ja konfiguroi palvelimelle nimipalvelin - Nimipalvelimen tulee vastata sekä käänteisiin, että suoriin kyselyihin AD CS - Asenna palvelimelle AD CS - Tee uusi juurivarmenne, jonka ikä on 20 vuotta. Avaimen pituuden tulee olla 2048, ja salauksen SHA512 Verkkojaot - Konfiguroi kaikille käyttäjille kotikansiot hakemistoon D:\koti\tunnus, jaon tulee olla piilotettu. Käyttäjien ei tule voida listata D:\koti hakemistoa, eikä siirtyä toisten kotihakemistoon. Liitä tämä käyttäjille näkymään H: asemaksi. - Ohjaa kaikkien käyttäjien documents ja desktop kansiot D:\jako\ohjaukset\tunnus hakemistoon, jaon nimenä tulee olla Folders. Käyttäjien ei tule voida listata D:\jako\ohjaukset hakemistoa - Tee yksi yhteinen verkkojako johon kaikilla todennetuilla käyttäjillä on kirjoitus ja lukuoikeudet. Liitä tämä kaikille käyttäjille Y: asemaksi. - Estä.mp3 päätteisten tiedostojen tallentaminen yhteinen verkkojakoon Tarkoitus Polku Jakonimi Yhteinen verkkojako D:\jako\yhteinen Yhteinen Documents & Desktop D:\jako\ohjaukset\ tunnus Folders Kotihakemistot D:\koti\ tunnus 12/18
WSRV01 Yleiset asetukset - Luo ServerManageriin uusi palvelinryhmä nimeltä LAHTI-SERVERS, johon tulee WSRV01 ja WSRV02 palvelimet - Asenna tulostinpalvelun hallintaa varten tarvittavat ominaisuudet älä asenna itse palvelun binäärejä - Luo toimialueen Administrator -käyttäjän työpöydälle hallintakonsoli nimellä WSRV01- Console, josta löytyvät seuraavat näkymät - Certification Authority - Active Directory Users and Computers (ADUC) Group Policy - Määritä http://google.fi työasemien kotisivuksi - Edellisen kirjautuneen käyttäjän ei tule näkyä kirjautumisruudussa - Julkaise virtualisointialustan C:\images kansiosta löytyvä 7zip.msi paketti työasemille käyttäen ryhmäkäytänteitä. Käyttäjien tulee voida asentaa 7zip itse ohjauspaneelin lisää ja poista sovelluksia valikosta. Sovellus ei saa asentua automaattisesti vaan ainoastaan, kun se valitaan asennettavaksi - Jaa luomasi juurivarmenne työasemille käyttäen ryhmäkäytänteitä - Salli työasemien palomuurista portti 3389(TCP + UDP) käyttäen ryhmäkäytänteitä - Salli työasemien etähallinta - Ohjaa kaikkien käyttäjien Documents ja työpöytä kansiot Folders -verkkojakoon Users and Computers - Lisää erillisessä paperissa olevat käyttäjät ja ryhmät - Anna käyttäjälle Fabio Korhonen kirjautumisoikeudet etätyöpöydällä kaikkiin toimialueen työasemiin WSRV02!! Ota palomuuri pois päältä POWERSHELL komennolla: Set- NetFirewallProfile Profile Domain,Public,Private enabled False!! Virtuaalikoneen asetukset - Aseta palvelimelle 1024Mt 2048Mt dynaamista keskusmuistia, ja yksi 60GB kiintolevy - Virtuaalikoneen nimi WSRV02 13/18
- Konfiguroi tarvittavat verkkoasetukset (oletusyhdyskäytävä on ensimmäinen osoite) - Asenna Windows Server 2012 R2 Core 60GB kiintolevylle WSRV02 Yleiset asetukset - Aseta palvelimelle nimeksi WSRV02 - Aseta automaattiset päivitykset päälle - Salli palvelimen etäkäyttö - Salli palvelimen etätyöpöytä - Konfiguroi palvelimen verkkoasetukset - Liitä palvelin toimialueeseen Print Services - Asenna ja konfiguroi Print Services käyttäen apunasi WSRV01 työkaluja - Lisää uusi jono tulostimelle 10.0.0.3 - Jaa jono työasemille käyttäen ryhmäkäytänteitä - Tulosta sivu, jossa lukee oma nimesi, ja kisanumerosi. Säilytä tuloste työpöydälläsi. 14/18
Työasemat ja Verkko - Liitä työasemat toimialueeseen - Liittämisen jälkeen työasemien tulee automaattisesti ilmestyä COMP_RDY OU:hun, käytä tähän redircmp.exe Verkot - Palvelinverkko: 10.10.X.0/26 (VLAN X5) - Työasemaverkko: 10.10.X.64/26 (VLAN X1) SW-01 SW02 - Konfiguroi kytkimen pääkäyttäjän salasanaksi Qwerty123 - Jaa vlanit SW-02 kytkimelle VTP:llä - VTP toimialue on taitavakisaajax, ja salasana Qwerty123 - Konfiguroi etherchannel kytkinten välille - Konfiguroi kytkinportit taulukon mukaisesti - Konfiguroi kytkimille IP-osoitteet, niin että ne vastaavat palvelinverkosta - Konfiguroi kytkimiin päälle telnet etähallinta Nimi VLAN Kytkin Kytkinportti IP/MASK Testiportti X1 SW-01 Fa0/4 DHCP WRKLAP1 X1 SW-02 Fa0/4 DHCP WSRV01 X5 SW-01 Fa0/5 10.10.X.10/26 WSRV02 X5 SW-01 Fa0/6 10.10.X.11/26 SW-01 ETHERCHANNEL SW-02 Fa0/1-2 SW-02 ETHERCHANNEL SW-01 Fa0/1-2 SW-02 TRUNK Fa0/24 SW-02 X5 10.10.X.5/26 SW-01 X5 10.10.X.6/26 15/18
Tehtävä 3 Tietoturva 16/18
Toiminnan varmistus (2p) Functionality checklist (2p) 1. Mene työasemalla verkko-osoitteeseen eicar.org ja lataa sieltä eicar.comtestaustiedosto. In workstation just browse to eicar.org and run eicar.com 2. Jätä portaali auki profiilieditorin tartunnat-välilehdellä. (1) Please leave the portals Infections-tab opened (1) Lopuksi tarkista, että työasemassa ja palvelimessa on ajantasaiset tunnisteet, jätä käyttöliittymän lisäasetukset välilehti näkyviin (1) The last one, please check that the virus definitions are up-to-date leaving the user interface advanced settings open both in workstation and server. (1) Muista, että työaseman pollaus hallintaan on oletuksena 60 minuuttia. Pollauksen voi myös tehdä käsin. Please remember that the default polling interval between the client and portal is 60 minutes. Polling can be done also manually. 17/18
F-Secure Mobile Security asennus ja tabletin käyttöönotto (3p) F-Secure Mobile Security installation and tablet s configuration 1. Asennetaan Mobile Security ohjelmisto tablettiin (f-secure.mobi) (1) Install Mobile Security software in your tablet (f-secure.mobi) (1) 2. Tarkistetaan selainsuojauksen toimivuus osoitteessa http://unsafe.fstestdomain.com (0,5) Check that the Browsing Protection works at address http://unsafe.fstestdomain.com (0,5) 3. Synkronoi tabletti käytetyn yrityspostilaatikko-tilin kanssa ja estä automaattinen uusien sähköpostiviestien lataaminen. (1) Synchronize the tablet with the yrityspostilaatikko-account you created earlier. Prevent new e-mail messages being downloaded automatically. 4. Aseta tablettiin salasana, jota laite kysyy kun se on ollut 5 minuuttia käyttämättömänä. Aseta salasanaksi 12345 (0,5) Configure a password for the tablet. The tablet must ask for password 12345 every 5 minutes of inactivity. (0,5) 18/18