Конфигурация хостов

  • Настройте имена хостов в соответствии с Таблицей 1.
  • Установите следующее ПО на ВСЕ хосты:
    1. Пакет tcpdump
    2. Клиент ftp
    3. Клиент lftp
    4. Пакет net-tools
    5. Редактор vim
  • На хостах RTR, CLI-P, SRV, CLI-N, CLI-C сформируйте файл /etc/hosts в соответствии с Таблицей 1 (кроме адреса хоста CLI-P). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет. В случае корректной работы DNS-сервисов изменения в файлах /etc/hosts не требуются.

 

Конфигурация сетевой инфраструктуры

  • Настройте IP-адресацию на ВСЕХ хостах в соответствии с Таблицей 1.
  • Настройте сервер протокола динамической конфигурации хостов для машин CLI-C и CLI-P
    1. В качестве DHCP-сервера используйте машину SRV
    2. Используйте пул адресов 172.16.100.60 — 172.16.100.75
    3. Используете адрес машины SRV в качестве адреса DNS-сервера
    4. Настройте DHCP-сервер таким образом, чтобы машина CLI-C всегда получала фиксированный IP-адрес в соответствии с Таблицей 1
    5. В качестве шлюза по умолчанию используйте адрес интерфейса RTR в локальной сети
    6. Используйте DNS-суффикс mad
    7. DNS-записи типа A соответствующего хоста должны обновляться при получении им адреса от DHCP-сервера.
  • На машине SRV настройте службу разрешения доменных имен
    1. Сервер должен обслуживать зону mad
    2. Сопоставление имен организовать в соответствии с Таблицей 2
    3. Запросы, которые выходят за рамки зоны mad должны пересылаться DNS-серверу ISPSRV
    4. Реализуйте поддержку разрешения обратной зоны.
    5. Файлы зон располагать в /opt/dns/
  • На RTR настройте интернет-шлюз для организации коллективного доступа в интернет. Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса.

 

 

Службы централизованного управления и журналирования

  • На SRV разверните RADIUS-сервер с использованием пакета freeradius для организации централизованного управления учетными записями
    1. Создайте учетные записи user01 … user50
    2. Учетные записи должны храниться в локальном файле /etc/passwd
    3. Настройте RTR, CLI-C и CLI-P в качестве клиентов RADIUS-сервера.
  • На SRV организуйте централизованный сбор журналов с хостов CLI-C, CLI-P и RTR.
    1. Журналы должны храниться в директории /opt/logs/
    2. Журналирование должно производится в соответствии с Таблицей 3.

 

Конфигурация служб удаленного доступа

  • На RTR настройте сервер удаленного доступа на основе технологии OpenVPN:
    1. В качестве сервера выступает RTR
    2. Параметры туннеля
      1. Устройство TUN
      2. Протокол UDP
  • Применяется сжатие
  1. Порт сервера 1122
  1. Ключевая информация должна быть сгенерирована на RTR
  2. Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn
  • На CLI-N настройте клиент удаленного доступа на основе технологии OpenVPN:
    1. Запуск удаленного подключения должен выполняться скриптом start_vpn
      1. Автоматизация отключения VPN-туннеля не требуется
      2. Скрипт должен располагаться в /opt/vpn.
  • Скрипт должен вызываться из любого каталога без указания пути
  1. Используйте следующий путь для расположения файла скрипта /opt/vpn/start_vpn.sh
  • На RTR настройте удаленный доступ по протоколу SSH:
    1. Доступ ограничен пользователями ssh_p и ssh_c
    2. SSH-сервер должен работать на порту 1022
  • На CLI-N настройте клиент удаленного доступа SSH:
    1. Доступ к серверу RTR должен происходить автоматически по правильному порту, без его явного указания номера порта в команде подключения
    2. Для других серверов по умолчанию должен использоваться порт 22
    3. Доступ к RTR под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.

 

Конфигурация служб хранения данных

  • На SRV настройте сервер файлового хранилища на основе технологии NFS:
    1. В качестве хранилища используется каталог /opt/nfs
    2. Доступ организуется для чтения и записи
  • Настройте автоматическое монтирование NFS-хранилища для клиентов CLI-C, CLI-P и CLI-N:
    1. Используйте DNS-имя NFS-сервера
    2. Используйте /opt/nfs в качестве пути для монтирования
    3. Клиенты CLI-C и CLI-P монтируют NFS-каталог при запуске ОС
    4. Клиент CLI-N монтирует NFS-каталог после установления VPN-туннеля с RTR
  • На SRV настройте FTP-сервер для доступа к файловому хранилищу
    1. Обеспечьте доступ для клиента CLI-N с использованием стандартных портов протокола FTP через внешний интерфейс маршрутизатора RTR
    2. Корень FTP-сервера должен располагаться в /opt/nfs
    3. Доступ должен быть ограничен пользователем ftpuser:ftppass с правами на чтение и запись

 

Конфигурация параметров безопасности и служб аутентификации

  • Настройте межсетевой экран на RTR
    1. Запретите прямое попадание трафика из сети First Mile в Internal
    2. Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора RTR
    3. Разрешите SSH подключения на соответствующий порт
    4. Разрешите подключения по FTP в соответствии с заданием
    5. Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal

 

Таблица 1. Адресация

Сеть

Хосты

Адреса (/24)

Internal

CLI-P

CLI-C

RTR

SRV

DHCP

172.16.100.50 (DHCP)

172.16.100.1

172.16.100.100

Last Mile

ISP

RTR

10.10.10.1

10.10.10.10

First Mile

ISP

CLI-N

20.20.20.1

20.20.20.10

 

Таблица 2. DNS-имена

Хост

DNS-имя

CLI-P

A:cli-p.house.mad

CNAME: mom.house.mad

CNAME: dad.house.mad

CLI-C

A:cli-c.house.mad

CNAME: son.house.mad

SRV

A:srv.house.mad

CNAME: server.house.mad

CNAME: center.house.mad

RTR

A:rtr.house.mad

CNAME: fw.house.mad

 

Таблица 3. Правила журналирования

Источник

Уровень журнала

Файл

Все хосты

critical и выше

/opt/logs/<HOSTNAME>/crit.log

SRV

auth.*

/opt/logs/<HOSTNAME>/auth.log

RTR

*.err

/opt/logs/<HOSTNAME>/error.log

Все кроме RTR

*.err

/opt/logs/err.log

*<HOSTNAME> – название директории для журналируемого хоста

**В директории /opt/logs/ не должно быть файлов, кроме тех, которые указаны в таблице