Модуль А

Модуль А

 

 

ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ

 

Конфигурация хостов

  • Настройте имена хостов в соответствии с диаграммой.
  • Установите следующее ПО на ВСЕ виртуальные машины:
    • Пакет tcpdump
    • Пакет net-tools
    • Редактор vim
    • Браузер lynx
    • Пакет bind-utils
    • Клиент ftp
    • Клиент lftp
  • На всех хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI и R-CLI). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
    • В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет.

 

Конфигурация сетевой инфраструктуры

 

  • Настройте IP-адресацию на всех хостах в соответствии с диаграммой.
  • Настройте сервер протокола динамической конфигурации хостов для L-CLI.
    • В качестве DHCP-сервера используйте L-FW.
      • Используйте пул адресов 172.16.100.60 — 172.16.100.75.
      • Используете адрес L-SRV в качестве адреса DNS-сервера.
    • В качестве шлюза по умолчанию используйте соответствующий адрес L-FW.
    • Используйте DNS-суффикс wsr
    • DNS-записи типа A и PTR должны обновляться при получении адреса от DHCP-сервера.
  • На L-SRV настройте службу разрешения доменных имен.
    • Сервер должен обслуживать зону wsr
    • Сопоставление имен необходимо организовать в соответствии с Таблицей 1.
    • Запросы, которые выходят за рамки зоны wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя worldskills.ru.
    • Реализуйте поддержку разрешения обратной зоны в соответствии с Таблицей 1.
    • Файлы зон необходимо располагать в /opt/dns/
  • На DNS сервере ISP приобретена услуга Secondary DNS для зоны wsr
    • Настройте возможность трансфера зоны wsr в сторону ISP.
    • Используйте адрес ISP в качестве адреса DNS сервера для R-FW и R-CLI.
    • Трансфер зоны на другие хосты, кроме ISP, должен быть запрещен.
  • На L-FW и R-FW настройте интернет-шлюз для организации коллективного доступа в Интернет.
    • Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса соответствующего межсетевого экрана.

 

Службы централизованного управления и журналирования

 

  • Разверните LDAP-сервер для организации централизованного управления учетными записями.
    • В качестве сервера выступает L-SRV.
    • Учетные записи создать в соответствии с Таблицей 2.
    • Группы и пользователей создать в соответствии с Таблицей 2.
    • Пользователи должны быть расположены в OU Users.
    • Группы должны быть расположены в OU Groups.
    • Хосты должны аутентифицироваться через LDAP в соответствии с Таблицей 2.
  • На L-SRV организуйте централизованный сбор журналов с хостов.
    • Журналы должны храниться в директории /opt/logs/
    • Журналирование должно производиться в соответствии с Таблицей 3.
    • Сообщения в файлах журналов в директории /opt/logs не должны дублироваться.

 

Конфигурация служб удаленного доступа

 

  • Настройте сервер удаленного доступа на основе технологии OpenVPN:
    • В качестве сервера выступает L-FW.
    • Параметры туннеля
      • Устройство TUN
      • Протокол UDP
      • Применяется сжатие
      • Порт сервера 1122
    • Ключевая информация должна быть сгенерирована на R-FW.
    • В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27.
    • Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn
  • На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
    • Запуск удаленного подключения должен выполняться скриптом sh
    • Отключение VPN-туннеля должно выполняться скриптом sh
    • Скрипты должны располагаться в /opt/vpn
    • Скрипты должны вызываться из любого каталога без указания пути.
  • Настройте GRE-туннель между L-FW и R-FW:
    • Используйте следующую адресацию внутри GRE-туннеля:
      • L-FW: 10.5.5.1/30
      • R-FW: 10.5.5.2/30
    • На L-FW настройте удаленный доступ по протоколу SSH:
      • Доступ ограничен пользователями ssh_p и ssh_c
        • В качестве пароля использовать ssh_pass
      • SSH-сервер должен работать на порту 1022.
    • На OUT-CLI настройте клиент удаленного доступа SSH:
      • Доступ к серверу L-FW должен происходить автоматически по правильному порту, без его явного указания номера порта в команде подключения.
      • Для других серверов по умолчанию должен использоваться порт 22.
      • Доступ к L-FW под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.

 

Конфигурация веб служб

 

  • На R-FW установите и настройте веб-сервер:
    • Настройте веб-сайт для внешнего использования skill39.wsr
      • Используйте директорию /var/www/html/out
      • Используйте стандартные порты.
      • Обеспечьте работу сайта по протоколам http и https (сертификат должен быть сгенерирован на R-FW).
      • В случае доступности https должно происходить автоматическое перенаправление с http.
      • Клиенты должны доверять сертификату сайта.

 

Конфигурация служб хранения данных

  • Настройте сервер файлового хранилища на основе технологии NFS:
    • В качестве сервера должен выступать L-SRV.
    • В качестве хранилища используется каталог /opt/nfs
    • Доступ организуется для чтения и записи.
  • Настройте автоматическое монтирование NFS хранилища для клиентов L-CLI и R-CLI:
    • Используйте /opt/nfs в качестве пути для монтирования.
    • Клиенты L-CLI и R-CLI должны монтировать NFS каталог при запуске операционной системы.
  • Настройте FTP службу для доступа к файловому хранилищу:
    • В качестве сервера должен выступать L-SRV.
    • Корень FTP сервера должен располагаться в /opt/nfs
    • Обеспечьте доступ для клиента OUT-CLI с использованием стандартных портов протокола FTP по адресу skill39.wsr
    • Доступ должен быть ограничен пользователем ftpuser:ftppass с правами на чтение и запись.

 

Конфигурация параметров безопасности и служб аутентификации

  • Настройте CA на R-FW, используя OpenSSL.
    • Используйте /etc/ca в качестве корневой директории CA.
    • Атрибуты CA должны быть следующими:
      • Страна RU
      • Организация WorldSkills Russia
      • CN должен быть установлен как WSR CA
    • Создайте корневой сертификат CA.
    • Все клиентские операционные системы должны доверять CA.
  • Настройте межсетевой экран iptables на L-FW и R-FW.
    • Запретите прямое попадание трафика из Интернет во внутренние сети.
    • Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW.
    • Разрешите необходимый трафик для создания GRE туннеля между организациями.
    • Разрешите SSH подключения на соответствующий порт L-FW и R-FW.
    • Для VPN-клиентов должен быть предоставлен полный доступ к локальным сетям организаций LEFT и RIGHT.
    • Разрешите необходимый трафик к серверу L-SRV по транслированным IP-адресам.
    • Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
    • Разрешите необходимый трафик для работы веб и FTP служб.
    • Остальные сервисы следует запретить.

 

Таблица 1 – DNS-имена

Хост

DNS-имя

L-CLI

A,PTR: l-cli.skill39.wsr

L-SRV

A,PTR: l-srv.skill39.wsr

CNAME: dns.skill39.wsr

L-FW

A: l-fw.skill39.wsr

CNAME: vpn.skill39.wsr

CNAME: ftp.skill39.wsr

R-FW

A: r-fw.skill39.wsr

CNAME: www.skill39.wsr

R-CLI

A: r-cli.skill39.wsr

 

Таблица 2 – Учетные записи LDAP

Группа

CN

Пароль

Доступ

Administrators

tux

toor

L-CLI

L-FW

Users

user1 – user99

P@ssw0rd

L-CLI

 

Таблица 3 – Правила журналирования

Источник

Уровень журнала

Файл

L-SRV

L-FW

critical

/opt/logs/<HOSTNAME>/crit.log

L-SRV

auth.*

/opt/logs/<HOSTNAME>/auth.log

L-FW

*.err

/opt/logs/<HOSTNAME>/error.log

L-CLI

R-CLI

*.err

/opt/logs/err.log

*<HOSTNAME> — название директории для журналируемого хоста