Организация безопасного удалённого доступа к корпоративным ресурсам

В курсовой работе выполняется организация офисной сети, настройка шлюза для обеспечения выхода пользователей в «Интернет». Организация DNS+DHCP, файлового сервера FTP/SMB для хранения конфиденциальных и общедоступных данных пользователей, а также обеспечивается защищённый доступ из внешней сети к конфиденциальным данным пользователей по средствам VPN и открытый доступ к общедоступным данным пользователей.

Содержание
1. Техническое задание
2. Анализ технического задания
3. Топология сети
4. Организация FTP сервера
4.1 Организация каталогов на сервере
4.2 Установка Pure-FTPD
4.3 Конфигурирование Pure-FTPD
4.4 Создание скрипта запуска сервиса
5. Организация Samba
5.1 Установка Samba
5.2 Настройка Samba
6. Организация Шлюза
6.1 Настройка NAT
6.2 Настройка цепочки INPUT
6.3 Настройка цепочки PREROUTING
6.4 Включение дополнительных модулей
7. Организация DNS+DHCP
7.1 Установка dnsmasq
8. Организация VPN сервера
8.1 Установка ppp
8.2 Настройка ppp для pptp туннелизации
8.3 Установка pptpd
8.4 Настройка pptpd
8.5 Настройка chap-secrets
9. Настройка VPN клиента
9.1 Настройка на примере UbuntuGNU/Linux
9.2 Настройка на примере WindowsXP
10. Проверка VPN соединения
10.1 Проверка в UbuntuGNU/Linux
10.2 Проверка в WindowsXP
11. Заключение
12. Литература

1. Техническое задание
Офис с проложенной сетью. 40 пользовательских компьютеров, выделенный FTP/SMB сервер. Требуется осуществить подключение пользователей к «Интернет» с одного внешнего IP-адреса. Организовать доступ к внутренним ресурсам (SMB/FTP сервер) извне. Сделать возможной удалённую работу с конфиденциальными данными, хранящимися на файловом сервере (SMB/FTP) средствами VPN. Канал должен быть шифрованный. Настроить фильтрацию трафика, чтобы обезопасить внутреннюю сеть. Шлюз должен работать под управлением OC из семейства UNIX.

2. Анализ технического задания
При анализе технического задания было выбрано три 16-ти портовых коммутатора DES-1016D 10/100Mbps и один 8-ми портовый коммутатор DES-1008 10/100Mbpsфирмы «D-Link» для объединения пользователей в локальную сеть. Данное сетевое оборудование было выбрано с учётом цены и качества и вследствие того, что они удовлетворяет техническое задание. Для организации шлюза и файлового сервера были выбраны компьютеры архитектуры PC, так как они также удовлетворяют техническое задание, и их цена по сравнению с серверными архитектурами вполне приемлема. По техническому заданию шлюз должен работать под управлением ОС из семейства Unix. При выборе такой ОС были рассмотрены те, которые используют ядро «Linux»: FedoraCore, Gentoo и DebianGNU/Linux. Все эти дистрибутивы полностью подходят к решению, которое поставлено в техническом задание, поэтому в качестве такой ОС выбираем последнюю стабильную версию DebianGNU/Linux.

3. Топология сети
Ниже проиллюстрирована топология (Звезда) офисной сети

4. Организация FTP сервера
В качестве FTP сервера использовался Pure-FTPD с поддержкой RFC2640. Поддержка данного документа позволяет решить проблему с русскими буквами, включая буквы «эюя».
4.1 Организация каталогов на сервере
/home/firmstuff – общий каталог пользователей (0755)
/home/firmstuff/stuffname1 – каталог пользователя (0750)
/home/firmstuff/stuffname1/private – приватный каталог пользователя (0700)
/home/firmstuff/stuffname2 – каталог пользователя (0750)
/home/firmstuff/stuffname2/private – приватный каталог пользователя (0700)
/home/firmstuff/stuffname40 – каталог пользователя (0750)
/home/firmstuff/stuffname40/private – приватный каталог пользователя (0700)
4.2 Установка Pure-FTPD
1. Возьмем исходный коды
~$ sudo apt-get source pure-ftpd
2. Перейдем в каталог с иходными кодами и сконфигурируем сервер
~$ cd pure-ftpd-1.0.21/~$ sudo ./configure --prefix=/opt/pure-ftpd --with-rfc-2640 --with-ftpwho
3. Если конфигурация прошла удачно, то приступаем к сборке и установке
~$ sudomake && sudomakeinstall
4. Если установка сервера прошла успешно, то можно перейти к его конфигурированию.
4.3 Конфигурирование Pure-FTPD
Правим файл /opt/pure-ftpd/etc/pure-ftpd.conf
ChrootEveryone yes
TrustedGID 1000
# Turn on compatibility hacks for broken clients
BrokenClientsCompatibility no
# Maximum number of simultaneous users
MaxClientsNumber 50
# Fork in background
Daemonize yes
# Maximum number of sim clients with the same IP address
MaxClientsPerIP 5
VerboseLog no
# List dot-files even when the client doesn't send "-a".
DisplayDotFiles yes
# Don't allow authenticated users - have a public anonymous FTP only.
AnonymousOnly no
# Disallow anonymous connections. Only allow authenticated users.
NoAnonymous no
# Syslog facility (auth, authpriv, daemon, ftp, security, user, local*)
# The default facility is "ftp". "none" disables logging.
SyslogFacility ftp
# Don't resolve host names in log files. Logs are less verbose, but
# it uses less bandwidth. Set this to "yes" on very busy servers or
# if you don't have a working DNS.
DontResolve yes
# Maximum idle time in minutes (default = 15 minutes)
MaxIdleTime 15
# If you want simple Unix (/etc/passwd) authentication, uncomment this
UnixAuthentication yes
# 'ls' recursion limits. The first argument is the maximum number of
# files to be displayed. The second one is the max subdirectories depth
LimitRecursion 2000 8
# Are anonymous users allowed to create new directories ?
AnonymousCanCreateDirs no
# File creation mask. : .
# 177:077 if you feel paranoid.
Umask 133:022
# Minimum UID for an authenticated user to log in.
MinUID 1000
# Allow FXP transfers for authenticated users.
AllowUserFXP no
# Allow anonymous FXP for anonymous and non-anonymous users.
AllowAnonymousFXP no
# Users can't delete/write files beginning with a dot ('.')
# even if they own them. If TrustedGID is enabled, this group
# will have access to dot-files, though.
ProhibitDotFilesWrite no
# Prohibit *reading* of files beginning with a dot (.history, .ssh...)
ProhibitDotFilesRead no
# Never overwrite files. When a file whoose name already exist is uploaded,
# it get automatically renamed to file.1, file.2, file.3, ...
AutoRename no
# Disallow anonymous users to upload new files (no = upload is allowed)
AnonymousCantUpload yes
# Be 'customer proof' : workaround against common customer mistakes like
# 'chmod 0 public_html', that are valid, but that could cause ignorant
# customers to lock their files, and then keep your technical support busy
# with silly issues. If you're sure all your users have some basic Unix
# knowledge, this feature is useless. If you're a hosting service, enable it.
CustomerProof yes
# UTF-8 support for file names (RFC 2640)
# Define charset of the server filesystem and optionnally the default charset
# for remote clients if they don't use UTF-8.
# Works only if pure-ftpd has been compiled with --with-rfc2640
FileSystemCharset UTF-8
ClientCharset CP1251

Внимание, отключите Adblock

Вы посетили наш сайт со включенным блокировщиком рекламы!
Ссылка для скачивания станет доступной сразу после отключения Adblock!

Скачать полную версию