Базовая конфигурация

  • Задайте имена всех машин в соответствии с сетевой диаграммой
  • Настройте IP-адресацию согласно таблице 1
  • На клиентской машине OUT-CLI создайте скрипты для подключения с помощью удаленного доступа:
    1. Подключение к сетям организаций Left и Right выполняется путем выполнения скриптов connect_left и connect_right
    2. Отключение удаленного доступа (к любой организации) должен выполнять скрипт disconnect_any
    3. Все скрипты должны быть расположены в /opt/vpn
    4. Скрипты должны вызываться из любого каталога простым введением имени скрипта
  • На клиентских машинах обеих организаций создайте скрипты для подключения соответствующих файловых хранилищ:
    1. Монтирование должно осуществляться через вызов скрипта mount_share
    2. Скрипт должен располагается в /opt/scripts клиентской машины
    3. Скрипт должен вызываться без указания пути
    4. Вызываться должен экземпляр скрипта, находящийся в /opt/scripts

 

Конфигурация маршрутизации и виртуальных частных сетей

  • Настройте защищенный канал передачи данных между машинами L-FW и R-FW с помощью технологии IPSEC:
    1. Параметры политики первой фазы IPSec:
      1. Проверка целостности SHA-1
      2. Шифрование 3DES
  • Группа Диффи-Хелмана — 7
  1. Аутентификация по общему ключу WSR-2017
  1. Параметры преобразования трафика для второй фазы IPSec:
    1. Протокол ESP
    2. Шифрование DES
  • Проверка целостности SHA-1
  1. В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между машинами машинами L-FW и R-FW
  • Настройте GRE-туннель между машинами L-FW и R-FW:
    1. Используйте следующую адресацию внутри GRE-туннеля:
      1. L-FW: 10.5.5.1/30
      2. R-FW: 10.5.5.2/30
  • Настройте динамическую маршрутизацию по протоколу OSPF с использованием пакета Quagga:
    1. Анонсируйте все сети, необходимые для достижения полной связности
    2. Используйте зону с номером 0
    3. Применение статических маршрутов не допускается
    4. В обмене маршрутной информацией участвуют машины L-RTR-X, L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW
    5. Соседство и обмен маршрутной информацией между машинами L-FW и R-FW должно осуществляться исключительно через настроенный GRE-туннель
  • Настройте удаленный доступ к организациям Left и Right.
    1. Используйте пакет OpenVPN
    2. Используйте общие настройки для обеих организаций:
      1. Сгенерируйте необходимую ключевую информацию на каждом сервере
      2. Используйте TLS шифрование
  • Серверную часть ключевой информации хранить в /opt/vpn/keys/
  1. Используйте сжатие
  1. Для организации Left:
    1. В качестве сервера выступает машина L-SRV
    2. Используйте протокол TCP
  • Тип устройства TAP
  1. Порт 1159
  2. Используйте пул IP-адресов для подключаемых клиентов 10.2.2.0/24
  3. Необходимо обеспечить достижимость службы OpenVPN для внешних клиентов
  1. Для организации Right:
    1. В качестве сервера выступает машина R-FW
    2. Используйте протокол UDP
  • Тип устройства TUN
  1. Порт 1029
  2. Используйте пул IP-адресов для подключаемых клиентов 10.9.8.0/24
  1. Обеспечьте возможность удаленного доступа с машины OUT-CLI до сетей организаций Right и Left:
    1. Ключевая информация должна быть расположена в /opt/vpn/keys
    2. Вызываться должна копия скрипта, находящаяся в /opt/vpn
  • Машины одной организации не должны быть доступны при подключении к другой организации
  1. Машина OUT-CLI должна быть достижима со всех машин каждой организации при подключении к одной из них через удаленный доступ

Конфигурация сетевых сервисов

  • Настройте службу DHCP на машинах L-RTR-A, R-RTR в соответствии с требованиями:
    1. Клиентам сетей L-CLI-A, L-CLI-B, R-CLI, R-SRV динамически назначаются сетевые адреса
      1. Диапазон от 50 до 150 соответствующей сети
      2. Домен соответствующей организации
  • Шлюз по умолчанию через интерфейс роутера в данной сети
  1. Адрес DNS-сервера соответствующей организации
  2. Автоматическое обновление записей DNS-сервера организации при выдаче адреса
  1. Для узла R-SRV средствами службы DHCP должен быть зарезервирован статический адрес в соответствии с таблицей 1.
  • Настройте службу DNS для организации Left на сервере L-SRV:
    1. Задайте имя зоны left
    2. Разместите файлы зон в /var/wsr/
    3. Обеспечьте прямое и обратное разрешение имен
    4. На всех машинах организации Left реализуйте автоматическое разрешение имен в соответствии с таблицей 2
    5. При запросе на разрешение имен зоны wsr.right должно происходить автоматическое обращение к соответствующей службе организации Right
  • Настройте службу DNS для организации Right на сервере R-DMZ1
    1. Задайте имя зоны right
    2. Разместите файлы зон в /var/wsr/
    3. Обеспечьте прямое и обратное разрешение имен
    4. На всех машинах организации Right реализуйте автоматическое разрешение имен в соответствии с таблицей 3
    5. Реализуйте разрешение имен машин организации Right при разрешении их из сети организации Left в соответствии с таблицей 4.
    6. Реализуйте разрешение имен машин организации Right при разрешении их из сети OUT в соответствии с таблицей 5. Для обратного разрешения доступны только внешние адреса
    7. При запросе на разрешение имен зоны wsr.left должно происходить автоматическое обращение к соответствующей службе организации Left
    8. Автоматически добавляемые имена доступны для разрешения только из организации Right
  • Настройте трансляцию сетевых адресов в соответствии с таблицей 8.
    1. Настройте трансляцию портов для всех машин каждой организации во внешний адрес соответствующего межсетевого экрана
    2. Обеспечьте достижимость VPN-шлюза организации Left из сети OUT путем трансляции соответствующего порта на L-FW

 

Конфигурация веб- и почтовых служб

  • На машине R-DMZ2 установите и настройте веб-сервер apache:
    1. Организуйте структуру файлов и соответствующих URL в соответствии с таблицей 6.
    2. Настройте права доступа и содержание веб страниц в соответствии с таблицей 7.
    3. При доступности SSL-соединения настройте автоматический переход по протоколу HTTPS при попытке доступа по протоколу HTTP.
    4. Используйте сертификат, подписанный удостоверяющим центром. При доступе по протоколу HTTPS с клиентских машин каждой организации сертификат должен рассматриваться как доверенный.
    5. Настройте веб-сервер таким образом, чтобы из ответов сервера нельзя было узнать версию веб-сервера и версию ОС.

Конфигурация файловых служб

  • На сервере R-SRV создайте каталог /opt/nfs/. Организуйте доступ к данному каталогу по протоколу NFS:
    1. Настройте доступ на чтение и запись для клиентов сетей R-CLI и R-SRV
    2. Настройте доступ только для чтения для всех остальных машин организации Right
  • На сервере L-SRV создайте каталог /opt/samba/. Организуйте доступ к данному каталогу по протоколу Samba:
    1. Создать разделяемый ресурс Share
    2. Разрешить доступ учетной записи (логин smbuser, пароль smbpass) с правами на чтение и запись
    3. Файлы должны создаваться с маской 0700
    4. Разрешить гостевой доступ с правами «только на чтение».
  • Настройте клиентские машины каждой организации
    1. Все машины должны иметь доступ к файловому хранилищу своей организации
    2. Хранилище должно монтироваться в /opt/share соответствующей клиентской машины вызовом скрипта mount_share

 

Конфигурация служб мониторинга и журналирования

  • На сервере R-SRV установите и настройте сбор системных сообщений с помощью пакета rsyslog
    1. Настроить сбор syslog сообщений с межсетевого экрана R-FW в папку /opt/logs/r-fw.log.
    2. Настроить сбор syslog сообщений с маршрутизатора R-RTR в папку /opt/logs/r-rtr.log
    3. Настройте журналирование любых системных сообщений, кроме сообщений уровня отладки

Конфигурация параметров безопасности и служб аутентификации

  • Для клиентских машин организации Left:
    1. Настройте sudo следующим образом:
      1. Для пользовательских учетных записей запретите запуск команды visudo через sudo
      2. Ввод всех остальных команд через sudo должен быть разрешен с вводом пароля
    2. Запретите вход под учетной записью администратора на первой консоли с 18-00 до 07-00
    3. Запретите удаленный вход к данным машинам по протоколу ssh под учетной записью администратора
  • Для клиентских машин организации Right:
    1. Установите парольную политику:
      1. Длина не менее 8 символов
      2. Должны использоваться буквы разного регистра
  • В пароле обязательно должна быть как минимум одна цифра
  1. Установите запрет на вход с первой консоли под учетной записью администратора
  • Настройте ограничения сетевого трафика
    1. Разрешите VPN-подключения из сети OUT
    2. Разрешите необходимый трафик к серверам R-DMZ1 и R-DMZ2 по транслированным IP-адресам
    3. Разрешите необходимый трафик для создания IPSec и GRE туннелей между организациями
    4. Запретите весь остальной трафик

Таблица 1. Сети и IP-адресация

Имя Сеть Хосты Состав
OUT 10.10.10.0/24

10.10.10.5

10.10.10.100

10.10.10.200

OUT-CLI

L-FW

R-FW

R-DMZ 192.168.10.0/24

192.168.10.1

192.168.10.100

192.168.10.200

R-FW

R-DMZ-1

R-DMZ-2

R-SRV 192.168.20.0/24

192.168.20.1

192.168.20.100

R-RTR

R-SRV

R-CLI 192.168.30.0/24

192.168.30.1

DHCP

DHCP

R-RTR

R-CLI1

R-CLI2

R-CORE 192.168.100.0/30

192.168.100.1

192.168.100.2

R-FW

R-RTR

L-CORE 172.16.10.0/30

172.16.10.1

172.16.10.2

L-FW

L-RTR-X

L-CLI-A 172.16.100.0/24

172.16.100.1

DHCP

DHCP

L-RTR-A

L-CLI-A1

L-CLI-A2

L-CLI-B 172.16.200.0/24

172.16.200.1

DHCP

DHCP

L-RTR-B

L-CLI-B1

L-CLI-B2

L-SRV 172.16.20.0/24

172.16.20.1

172.16.20.100

L-RTR-X

L-SRV

L-RTR-A 172.16.50.0/30

172.16.50.1

172.16.50.2

L-RTR-X

L-RTR-A

L-RTR-B 172.16.55.0/30

172.16.55.1

172.16.55.2

L-RTR-X

L-RTR-B

Таблица 2. Сопоставление имен машин организации Left

Машина DNS-имя
L-SRV srv.wsr.left; wsr.left; access.wsr.left.(для NAT)
L-RTR-A rtr-a.wsr.left
L-RTR-B rtr-b.wsr.left
L-RTR-X rtr-x.wsr.left
L-FW fw.wsr.left; tunnel.wsr.left

Таблица 3. Сопоставление имен машин организации Right при разрешении их из сети организации Right:

Машина DNS-имя
R-SRV srv.wsr.right
R-RTR rtr.wsr.right
R-DMZ1 dmz1.wsr.right;dns.wsr.right
R-DMZ2 dmz2.wsr.right;web.wsr.right
R-FW fw.wsr.right; tunnel.wsr.right

Таблица 4. Сопоставление имен машин организации Right при разрешении их из сети организации Left:

Машина DNS-имя
R-SRV srv.wsr.right
R-RTR —-
R-DMZ1 dmz1.wsr.right;dns.wsr.right
R-DMZ2 dmz2.wsr.right;web.wsr.right
R-SRV srv.wsr.right

Таблица 5. Сопоставление имен машин организации Right при разрешении их из внешней сети:

Машина DNS-имя
R-SRV ——
R-RTR ——
R-DMZ1 dns.wsr.right
R-DMZ2 web.wsr.right
R-FW access.wsr.right;

Таблица 6. Структура файлов и URL:

URL Путь к файлу
web.wsr.right /opt/www/hello_right.html
web.wsr.right /opt/www/authorized_left.html
web.wsr.right /opt/www/hello_vpn.html
web.wsr.right /opt/www/out.html

Таблица 7. Права доступа и содержание веб-страниц:

Группа SSL Аутентификация Текст Файл
Left Нет Через RADIUS-сервер Hello, Left! authorized_left.html
Out Да Нет Hm, outsider. out.html
VPN Да По сертификату Hello, Teleworker! hello_vpn.html
Right Нет Нет Hello, Right! hello_right.html

Таблица 8. Трансляция сетевых адресов

Машина Адрес
R-DMZ1 10.10.10.210
R-DMZ2 10.10.10.220
L-SRV 10.10.10.190