Модуль А
Базовая конфигурация
- Задайте имена всех машин в соответствии с сетевой диаграммой
- Настройте IP-адресацию согласно таблице 1
- На клиентской машине OUT-CLI создайте скрипты для подключения с помощью удаленного доступа:
- Подключение к сетям организаций Left и Right выполняется путем выполнения скриптов connect_left и connect_right
- Отключение удаленного доступа (к любой организации) должен выполнять скрипт disconnect_any
- Все скрипты должны быть расположены в /opt/vpn
- Скрипты должны вызываться из любого каталога простым введением имени скрипта
- На клиентских машинах обеих организаций создайте скрипты для подключения соответствующих файловых хранилищ:
- Монтирование должно осуществляться через вызов скрипта mount_share
- Скрипт должен располагается в /opt/scripts клиентской машины
- Скрипт должен вызываться без указания пути
- Вызываться должен экземпляр скрипта, находящийся в /opt/scripts
Конфигурация маршрутизации и виртуальных частных сетей
- Настройте защищенный канал передачи данных между машинами L-FW и R-FW с помощью технологии IPSEC:
- Параметры политики первой фазы IPSec:
- Проверка целостности SHA-1
- Шифрование 3DES
- Параметры политики первой фазы IPSec:
- Группа Диффи-Хелмана — 7
- Аутентификация по общему ключу WSR-2017
- Параметры преобразования трафика для второй фазы IPSec:
- Протокол ESP
- Шифрование DES
- Проверка целостности SHA-1
- В качестве трафика, разрешенного к передаче через IPsec-туннель, должен быть указан только GRE-трафик между машинами машинами L-FW и R-FW
- Настройте GRE-туннель между машинами L-FW и R-FW:
- Используйте следующую адресацию внутри GRE-туннеля:
- L-FW: 10.5.5.1/30
- R-FW: 10.5.5.2/30
- Используйте следующую адресацию внутри GRE-туннеля:
- Настройте динамическую маршрутизацию по протоколу OSPF с использованием пакета Quagga:
- Анонсируйте все сети, необходимые для достижения полной связности
- Используйте зону с номером 0
- Применение статических маршрутов не допускается
- В обмене маршрутной информацией участвуют машины L-RTR-X, L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW
- Соседство и обмен маршрутной информацией между машинами L-FW и R-FW должно осуществляться исключительно через настроенный GRE-туннель
- Настройте удаленный доступ к организациям Left и Right.
- Используйте пакет OpenVPN
- Используйте общие настройки для обеих организаций:
- Сгенерируйте необходимую ключевую информацию на каждом сервере
- Используйте TLS шифрование
- Серверную часть ключевой информации хранить в /opt/vpn/keys/
- Используйте сжатие
- Для организации Left:
- В качестве сервера выступает машина L-SRV
- Используйте протокол TCP
- Тип устройства TAP
- Порт 1159
- Используйте пул IP-адресов для подключаемых клиентов 10.2.2.0/24
- Необходимо обеспечить достижимость службы OpenVPN для внешних клиентов
- Для организации Right:
- В качестве сервера выступает машина R-FW
- Используйте протокол UDP
- Тип устройства TUN
- Порт 1029
- Используйте пул IP-адресов для подключаемых клиентов 10.9.8.0/24
- Обеспечьте возможность удаленного доступа с машины OUT-CLI до сетей организаций Right и Left:
- Ключевая информация должна быть расположена в /opt/vpn/keys
- Вызываться должна копия скрипта, находящаяся в /opt/vpn
- Машины одной организации не должны быть доступны при подключении к другой организации
- Машина OUT-CLI должна быть достижима со всех машин каждой организации при подключении к одной из них через удаленный доступ
Конфигурация сетевых сервисов
- Настройте службу DHCP на машинах L-RTR-A, R-RTR в соответствии с требованиями:
- Клиентам сетей L-CLI-A, L-CLI-B, R-CLI, R-SRV динамически назначаются сетевые адреса
- Диапазон от 50 до 150 соответствующей сети
- Домен соответствующей организации
- Клиентам сетей L-CLI-A, L-CLI-B, R-CLI, R-SRV динамически назначаются сетевые адреса
- Шлюз по умолчанию через интерфейс роутера в данной сети
- Адрес DNS-сервера соответствующей организации
- Автоматическое обновление записей DNS-сервера организации при выдаче адреса
- Для узла R-SRV средствами службы DHCP должен быть зарезервирован статический адрес в соответствии с таблицей 1.
- Настройте службу DNS для организации Left на сервере L-SRV:
- Задайте имя зоны left
- Разместите файлы зон в /var/wsr/
- Обеспечьте прямое и обратное разрешение имен
- На всех машинах организации Left реализуйте автоматическое разрешение имен в соответствии с таблицей 2
- При запросе на разрешение имен зоны wsr.right должно происходить автоматическое обращение к соответствующей службе организации Right
- Настройте службу DNS для организации Right на сервере R-DMZ1
- Задайте имя зоны right
- Разместите файлы зон в /var/wsr/
- Обеспечьте прямое и обратное разрешение имен
- На всех машинах организации Right реализуйте автоматическое разрешение имен в соответствии с таблицей 3
- Реализуйте разрешение имен машин организации Right при разрешении их из сети организации Left в соответствии с таблицей 4.
- Реализуйте разрешение имен машин организации Right при разрешении их из сети OUT в соответствии с таблицей 5. Для обратного разрешения доступны только внешние адреса
- При запросе на разрешение имен зоны wsr.left должно происходить автоматическое обращение к соответствующей службе организации Left
- Автоматически добавляемые имена доступны для разрешения только из организации Right
- Настройте трансляцию сетевых адресов в соответствии с таблицей 8.
- Настройте трансляцию портов для всех машин каждой организации во внешний адрес соответствующего межсетевого экрана
- Обеспечьте достижимость VPN-шлюза организации Left из сети OUT путем трансляции соответствующего порта на L-FW
Конфигурация веб- и почтовых служб
- На машине R-DMZ2 установите и настройте веб-сервер apache:
- Организуйте структуру файлов и соответствующих URL в соответствии с таблицей 6.
- Настройте права доступа и содержание веб страниц в соответствии с таблицей 7.
- При доступности SSL-соединения настройте автоматический переход по протоколу HTTPS при попытке доступа по протоколу HTTP.
- Используйте сертификат, подписанный удостоверяющим центром. При доступе по протоколу HTTPS с клиентских машин каждой организации сертификат должен рассматриваться как доверенный.
- Настройте веб-сервер таким образом, чтобы из ответов сервера нельзя было узнать версию веб-сервера и версию ОС.
Конфигурация файловых служб
- На сервере R-SRV создайте каталог /opt/nfs/. Организуйте доступ к данному каталогу по протоколу NFS:
- Настройте доступ на чтение и запись для клиентов сетей R-CLI и R-SRV
- Настройте доступ только для чтения для всех остальных машин организации Right
- На сервере L-SRV создайте каталог /opt/samba/. Организуйте доступ к данному каталогу по протоколу Samba:
- Создать разделяемый ресурс Share
- Разрешить доступ учетной записи (логин smbuser, пароль smbpass) с правами на чтение и запись
- Файлы должны создаваться с маской 0700
- Разрешить гостевой доступ с правами «только на чтение».
- Настройте клиентские машины каждой организации
- Все машины должны иметь доступ к файловому хранилищу своей организации
- Хранилище должно монтироваться в /opt/share соответствующей клиентской машины вызовом скрипта mount_share
Конфигурация служб мониторинга и журналирования
- На сервере R-SRV установите и настройте сбор системных сообщений с помощью пакета rsyslog
- Настроить сбор syslog сообщений с межсетевого экрана R-FW в папку /opt/logs/r-fw.log.
- Настроить сбор syslog сообщений с маршрутизатора R-RTR в папку /opt/logs/r-rtr.log
- Настройте журналирование любых системных сообщений, кроме сообщений уровня отладки
Конфигурация параметров безопасности и служб аутентификации
- Для клиентских машин организации Left:
- Настройте sudo следующим образом:
- Для пользовательских учетных записей запретите запуск команды visudo через sudo
- Ввод всех остальных команд через sudo должен быть разрешен с вводом пароля
- Запретите вход под учетной записью администратора на первой консоли с 18-00 до 07-00
- Запретите удаленный вход к данным машинам по протоколу ssh под учетной записью администратора
- Настройте sudo следующим образом:
- Для клиентских машин организации Right:
- Установите парольную политику:
- Длина не менее 8 символов
- Должны использоваться буквы разного регистра
- Установите парольную политику:
- В пароле обязательно должна быть как минимум одна цифра
- Установите запрет на вход с первой консоли под учетной записью администратора
- Настройте ограничения сетевого трафика
- Разрешите VPN-подключения из сети OUT
- Разрешите необходимый трафик к серверам R-DMZ1 и R-DMZ2 по транслированным IP-адресам
- Разрешите необходимый трафик для создания IPSec и GRE туннелей между организациями
- Запретите весь остальной трафик
Таблица 1. Сети и IP-адресация
Имя | Сеть | Хосты | Состав |
OUT | 10.10.10.0/24 |
10.10.10.5 10.10.10.100 10.10.10.200 |
OUT-CLI L-FW R-FW |
R-DMZ | 192.168.10.0/24 |
192.168.10.1 192.168.10.100 192.168.10.200 |
R-FW R-DMZ-1 R-DMZ-2 |
R-SRV | 192.168.20.0/24 |
192.168.20.1 192.168.20.100 |
R-RTR R-SRV |
R-CLI | 192.168.30.0/24 |
192.168.30.1 DHCP DHCP |
R-RTR R-CLI1 R-CLI2 |
R-CORE | 192.168.100.0/30 |
192.168.100.1 192.168.100.2 |
R-FW R-RTR |
L-CORE | 172.16.10.0/30 |
172.16.10.1 172.16.10.2 |
L-FW L-RTR-X |
L-CLI-A | 172.16.100.0/24 |
172.16.100.1 DHCP DHCP |
L-RTR-A L-CLI-A1 L-CLI-A2 |
L-CLI-B | 172.16.200.0/24 |
172.16.200.1 DHCP DHCP |
L-RTR-B L-CLI-B1 L-CLI-B2 |
L-SRV | 172.16.20.0/24 |
172.16.20.1 172.16.20.100 |
L-RTR-X L-SRV |
L-RTR-A | 172.16.50.0/30 |
172.16.50.1 172.16.50.2 |
L-RTR-X L-RTR-A |
L-RTR-B | 172.16.55.0/30 |
172.16.55.1 172.16.55.2 |
L-RTR-X L-RTR-B |
Таблица 2. Сопоставление имен машин организации Left
Машина | DNS-имя |
L-SRV | srv.wsr.left; wsr.left; access.wsr.left.(для NAT) |
L-RTR-A | rtr-a.wsr.left |
L-RTR-B | rtr-b.wsr.left |
L-RTR-X | rtr-x.wsr.left |
L-FW | fw.wsr.left; tunnel.wsr.left |
Таблица 3. Сопоставление имен машин организации Right при разрешении их из сети организации Right:
Машина | DNS-имя |
R-SRV | srv.wsr.right |
R-RTR | rtr.wsr.right |
R-DMZ1 | dmz1.wsr.right;dns.wsr.right |
R-DMZ2 | dmz2.wsr.right;web.wsr.right |
R-FW | fw.wsr.right; tunnel.wsr.right |
Таблица 4. Сопоставление имен машин организации Right при разрешении их из сети организации Left:
Машина | DNS-имя |
R-SRV | srv.wsr.right |
R-RTR | —- |
R-DMZ1 | dmz1.wsr.right;dns.wsr.right |
R-DMZ2 | dmz2.wsr.right;web.wsr.right |
R-SRV | srv.wsr.right |
Таблица 5. Сопоставление имен машин организации Right при разрешении их из внешней сети:
Машина | DNS-имя |
R-SRV | —— |
R-RTR | —— |
R-DMZ1 | dns.wsr.right |
R-DMZ2 | web.wsr.right |
R-FW | access.wsr.right; |
Таблица 6. Структура файлов и URL:
URL | Путь к файлу |
web.wsr.right | /opt/www/hello_right.html |
web.wsr.right | /opt/www/authorized_left.html |
web.wsr.right | /opt/www/hello_vpn.html |
web.wsr.right | /opt/www/out.html |
Таблица 7. Права доступа и содержание веб-страниц:
Группа | SSL | Аутентификация | Текст | Файл |
Left | Нет | Через RADIUS-сервер | Hello, Left! | authorized_left.html |
Out | Да | Нет | Hm, outsider. | out.html |
VPN | Да | По сертификату | Hello, Teleworker! | hello_vpn.html |
Right | Нет | Нет | Hello, Right! | hello_right.html |
Таблица 8. Трансляция сетевых адресов
Машина | Адрес |
R-DMZ1 | 10.10.10.210 |
R-DMZ2 | 10.10.10.220 |
L-SRV | 10.10.10.190 |