Модуль А
ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ
Конфигурация хостов
- Настройте имена хостов в соответствии с диаграммой.
- Установите следующее ПО на ВСЕ виртуальные машины:
- Пакет tcpdump
- Пакет net-tools
- Редактор vim
- Браузер lynx
- Пакет bind-utils
- Клиент ftp
- Клиент lftp
- На всех хостах сформируйте файл /etc/hosts в соответствии с Диаграммой (кроме адреса хоста L-CLI и R-CLI). Данный файл будет применяться во время проверки в случае недоступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
- В случае корректной работы DNS-сервисов ответы DNS должны иметь более высокий приоритет.
Конфигурация сетевой инфраструктуры
- Настройте IP-адресацию на всех хостах в соответствии с диаграммой.
- Настройте сервер протокола динамической конфигурации хостов для L-CLI.
- В качестве DHCP-сервера используйте L-FW.
- Используйте пул адресов 172.16.100.60 — 172.16.100.75.
- Используете адрес L-SRV в качестве адреса DNS-сервера.
- В качестве шлюза по умолчанию используйте соответствующий адрес L-FW.
- Используйте DNS-суффикс wsr
- DNS-записи типа A и PTR должны обновляться при получении адреса от DHCP-сервера.
- В качестве DHCP-сервера используйте L-FW.
- На L-SRV настройте службу разрешения доменных имен.
- Сервер должен обслуживать зону wsr
- Сопоставление имен необходимо организовать в соответствии с Таблицей 1.
- Запросы, которые выходят за рамки зоны wsr должны пересылаться DNS-серверу ISP. Для проверки используйте доменное имя worldskills.ru.
- Реализуйте поддержку разрешения обратной зоны в соответствии с Таблицей 1.
- Файлы зон необходимо располагать в /opt/dns/
- На DNS сервере ISP приобретена услуга Secondary DNS для зоны wsr
- Настройте возможность трансфера зоны wsr в сторону ISP.
- Используйте адрес ISP в качестве адреса DNS сервера для R-FW и R-CLI.
- Трансфер зоны на другие хосты, кроме ISP, должен быть запрещен.
- На L-FW и R-FW настройте интернет-шлюз для организации коллективного доступа в Интернет.
- Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего интерфейса соответствующего межсетевого экрана.
Службы централизованного управления и журналирования
- Разверните LDAP-сервер для организации централизованного управления учетными записями.
- В качестве сервера выступает L-SRV.
- Учетные записи создать в соответствии с Таблицей 2.
- Группы и пользователей создать в соответствии с Таблицей 2.
- Пользователи должны быть расположены в OU Users.
- Группы должны быть расположены в OU Groups.
- Хосты должны аутентифицироваться через LDAP в соответствии с Таблицей 2.
- На L-SRV организуйте централизованный сбор журналов с хостов.
- Журналы должны храниться в директории /opt/logs/
- Журналирование должно производиться в соответствии с Таблицей 3.
- Сообщения в файлах журналов в директории /opt/logs не должны дублироваться.
Конфигурация служб удаленного доступа
- Настройте сервер удаленного доступа на основе технологии OpenVPN:
- В качестве сервера выступает L-FW.
- Параметры туннеля
- Устройство TUN
- Протокол UDP
- Применяется сжатие
- Порт сервера 1122
- Ключевая информация должна быть сгенерирована на R-FW.
- В качестве адресного пространства подключаемых клиентов использовать сеть 5.5.5.0/27.
- Хранение всей необходимой (кроме конфигурационных файлов) информации организовать в /opt/vpn
- На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
- Запуск удаленного подключения должен выполняться скриптом sh
- Отключение VPN-туннеля должно выполняться скриптом sh
- Скрипты должны располагаться в /opt/vpn
- Скрипты должны вызываться из любого каталога без указания пути.
- Настройте GRE-туннель между L-FW и R-FW:
- Используйте следующую адресацию внутри GRE-туннеля:
- L-FW: 10.5.5.1/30
- R-FW: 10.5.5.2/30
- На L-FW настройте удаленный доступ по протоколу SSH:
- Доступ ограничен пользователями ssh_p и ssh_c
- В качестве пароля использовать ssh_pass
- SSH-сервер должен работать на порту 1022.
- Доступ ограничен пользователями ssh_p и ssh_c
- На OUT-CLI настройте клиент удаленного доступа SSH:
- Доступ к серверу L-FW должен происходить автоматически по правильному порту, без его явного указания номера порта в команде подключения.
- Для других серверов по умолчанию должен использоваться порт 22.
- Доступ к L-FW под учетной записью ssh_p должен происходить с помощью аутентификации на основе открытых ключей.
- Используйте следующую адресацию внутри GRE-туннеля:
Конфигурация веб служб
- На R-FW установите и настройте веб-сервер:
- Настройте веб-сайт для внешнего использования skill39.wsr
- Используйте директорию /var/www/html/out
- Используйте стандартные порты.
- Обеспечьте работу сайта по протоколам http и https (сертификат должен быть сгенерирован на R-FW).
- В случае доступности https должно происходить автоматическое перенаправление с http.
- Клиенты должны доверять сертификату сайта.
- Настройте веб-сайт для внешнего использования skill39.wsr
Конфигурация служб хранения данных
- Настройте сервер файлового хранилища на основе технологии NFS:
- В качестве сервера должен выступать L-SRV.
- В качестве хранилища используется каталог /opt/nfs
- Доступ организуется для чтения и записи.
- Настройте автоматическое монтирование NFS хранилища для клиентов L-CLI и R-CLI:
- Используйте /opt/nfs в качестве пути для монтирования.
- Клиенты L-CLI и R-CLI должны монтировать NFS каталог при запуске операционной системы.
- Настройте FTP службу для доступа к файловому хранилищу:
- В качестве сервера должен выступать L-SRV.
- Корень FTP сервера должен располагаться в /opt/nfs
- Обеспечьте доступ для клиента OUT-CLI с использованием стандартных портов протокола FTP по адресу skill39.wsr
- Доступ должен быть ограничен пользователем ftpuser:ftppass с правами на чтение и запись.
Конфигурация параметров безопасности и служб аутентификации
- Настройте CA на R-FW, используя OpenSSL.
- Используйте /etc/ca в качестве корневой директории CA.
- Атрибуты CA должны быть следующими:
- Страна RU
- Организация WorldSkills Russia
- CN должен быть установлен как WSR CA
- Создайте корневой сертификат CA.
- Все клиентские операционные системы должны доверять CA.
- Настройте межсетевой экран iptables на L-FW и R-FW.
- Запретите прямое попадание трафика из Интернет во внутренние сети.
- Разрешите удаленные подключения с использованием OpenVPN на внешний интерфейс маршрутизатора L-FW.
- Разрешите необходимый трафик для создания GRE туннеля между организациями.
- Разрешите SSH подключения на соответствующий порт L-FW и R-FW.
- Для VPN-клиентов должен быть предоставлен полный доступ к локальным сетям организаций LEFT и RIGHT.
- Разрешите необходимый трафик к серверу L-SRV по транслированным IP-адресам.
- Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
- Разрешите необходимый трафик для работы веб и FTP служб.
- Остальные сервисы следует запретить.
Таблица 1 – DNS-имена
Хост |
DNS-имя |
L-CLI |
A,PTR: l-cli.skill39.wsr |
L-SRV |
A,PTR: l-srv.skill39.wsr CNAME: dns.skill39.wsr |
L-FW |
A: l-fw.skill39.wsr CNAME: vpn.skill39.wsr CNAME: ftp.skill39.wsr |
R-FW |
A: r-fw.skill39.wsr CNAME: www.skill39.wsr |
R-CLI |
A: r-cli.skill39.wsr |
Таблица 2 – Учетные записи LDAP
Группа |
CN |
Пароль |
Доступ |
Administrators |
tux |
toor |
L-CLI L-FW |
Users |
user1 – user99 |
P@ssw0rd |
L-CLI |
Таблица 3 – Правила журналирования
Источник |
Уровень журнала |
Файл |
L-SRV L-FW |
critical |
/opt/logs/<HOSTNAME>/crit.log |
L-SRV |
auth.* |
/opt/logs/<HOSTNAME>/auth.log |
L-FW |
*.err |
/opt/logs/<HOSTNAME>/error.log |
L-CLI R-CLI |
*.err |
/opt/logs/err.log |
*<HOSTNAME> — название директории для журналируемого хоста