Модуль А
Конфигурация хостов
- Настройте имена хостов в соответствии с Таблицей 1.
- Установите следующее ПО на ВСЕ хосты:
- Пакет tcpdump
- Клиент ftp
- Клиент lftp
- Пакет net-tools
- Редактор vim
- На хостах RTR, CLI-P, SRV, CLI-N, CLI-C сформируйте файл /etc/hosts в соответствии с Таблицей 1 (кроме адреса хоста CLI-P). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет. В случае корректной работы DNS-сервисов изменения в файлах /etc/hosts не требуются.
Конфигурация сетевой инфраструктуры
- Настройте IP-адресацию на ВСЕХ хостах в соответствии с Таблицей 1.
- Настройте сервер протокола динамической конфигурации хостов для машин CLI-C и CLI-P
- В качестве DHCP-сервера используйте машину SRV
- Используйте пул адресов 172.16.100.60 — 172.16.100.75
- Используете адрес машины SRV в качестве адреса DNS-сервера
- Настройте DHCP-сервер таким образом, чтобы машина CLI-C всегда получала фиксированный IP-адрес в соответствии с Таблицей 1
- В качестве шлюза по умолчанию используйте адрес интерфейса RTR в локальной сети
- Используйте DNS-суффикс mad
- DNS-записи типа A соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера.
- На машине SRV настройте службу разрешения доменных имен
- Сервер должен обслуживать зону mad
- Сопоставление имен организовать в соответствии с Таблицей 2
- Запросы, которые выходят за рамки зоны mad должны пересылаться DNS-серверу ISPSRV
- Реализуйте поддержку разрешения обратной зоны.
- Файлы зон располагать в /opt/dns/
- На RTR настройте интернет-шлюз для организации коллективного доступа в интернет. Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса.
Службы централизованного управления и журналирования
- На SRV разверните RADIUS-сервер с использованием пакета freeradius для организации централизованного управления учетными записями
- Создайте учетные записи user01 … user50
- Учетные записи должны храниться в локальном файле /etc/passwd
- Настройте RTR, CLI-C и CLI-P в качестве клиентов RADIUS-сервера.
- На SRV организуйте централизованный сбор журналов с хостов CLI-C, CLI-P и RTR.
- Журналы должны храниться в директории /opt/logs/
- Журналирование должно производится в соответствии с Таблицей 3.
Конфигурация служб удаленного доступа
- На RTR настройте сервер удаленного доступа на основе технологии OpenVPN:
- В качестве сервера выступает RTR
- Параметры туннеля
- Устройство TUN
- Протокол UDP
- Применяется сжатие
- Порт сервера 1122
- Ключевая информация должна быть сгенерирована на RTR
- Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn
- На CLI-N настройте клиент удаленного доступа на основе технологии OpenVPN:
- Запуск удаленного подключения должен выполняться скриптом start_vpn
- Автоматизация отключения VPN-туннеля не требуется
- Скрипт должен располагаться в /opt/vpn.
- Запуск удаленного подключения должен выполняться скриптом start_vpn
- Скрипт должен вызываться из любого каталога без указания пути
- Используйте следующий путь для расположения файла скрипта /opt/vpn/start_vpn.sh
- На RTR настройте удаленный доступ по протоколу SSH:
- Доступ ограничен пользователями ssh_p и ssh_c
- SSH-сервер должен работать на порту 1022
- На CLI-N настройте клиент удаленного доступа SSH:
- Доступ к серверу RTR должен происходить автоматически по правильному порту, без его явного указания номера порта в команде подключения
- Для других серверов по умолчанию должен использоваться порт 22
- Доступ к RTR под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.
Конфигурация служб хранения данных
- На SRV настройте сервер файлового хранилища на основе технологии NFS:
- В качестве хранилища используется каталог /opt/nfs
- Доступ организуется для чтения и записи
- Настройте автоматическое монтирование NFS-хранилища для клиентов CLI-C, CLI-P и CLI-N:
- Используйте DNS-имя NFS-сервера
- Используйте /opt/nfs в качестве пути для монтирования
- Клиенты CLI-C и CLI-P монтируют NFS-каталог при запуске ОС
- Клиент CLI-N монтирует NFS-каталог после установления VPN-туннеля с RTR
- На SRV настройте FTP-сервер для доступа к файловому хранилищу
- Обеспечьте доступ для клиента CLI-N с использованием стандартных портов протокола FTP через внешний интерфейс маршрутизатора RTR
- Корень FTP-сервера должен располагаться в /opt/nfs
- Доступ должен быть ограничен пользователем ftpuser:ftppass с правами на чтение и запись
Конфигурация параметров безопасности и служб аутентификации
- Настройте межсетевой экран на RTR
- Запретите прямое попадание трафика из сети First Mile в Internal
- Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора RTR
- Разрешите SSH подключения на соответствующий порт
- Разрешите подключения по FTP в соответствии с заданием
- Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal
Таблица 1. Адресация
Сеть |
Хосты |
Адреса (/24) |
Internal |
CLI-P CLI-C RTR SRV |
DHCP 172.16.100.50 (DHCP) 172.16.100.1 172.16.100.100 |
Last Mile |
ISP RTR |
10.10.10.1 10.10.10.10 |
First Mile |
ISP CLI-N |
20.20.20.1 20.20.20.10 |
Таблица 2. DNS-имена
Хост |
DNS-имя |
CLI-P |
A:cli-p.house.mad CNAME: mom.house.mad CNAME: dad.house.mad |
CLI-C |
A:cli-c.house.mad CNAME: son.house.mad |
SRV |
A:srv.house.mad CNAME: server.house.mad CNAME: center.house.mad |
RTR |
A:rtr.house.mad CNAME: fw.house.mad |
Таблица 3. Правила журналирования
Источник |
Уровень журнала |
Файл |
Все хосты |
critical и выше |
/opt/logs/<HOSTNAME>/crit.log |
SRV |
auth.* |
/opt/logs/<HOSTNAME>/auth.log |
RTR |
*.err |
/opt/logs/<HOSTNAME>/error.log |
Все кроме RTR |
*.err |
/opt/logs/err.log |
*<HOSTNAME> — название директории для журналируемого хоста
**В директории /opt/logs/ не должно быть файлов, кроме тех, которые указаны в таблице