Цель работы.
Выполнить проект распределенной корпоративной вычислительной сети, состоящей из 150 сетевых единиц. Интегрировать головной шлюз на базе серверной операционной системы Unix/Linux или Windows.
Техническое задание.
Необходимо спроектировать корпоративную вычислительную сеть, состоящую из 100 хостов. При построении распределенной филиальной инфраструктуры ключевые сервера необходимо спрятать за NAT главного офиса. Размещая сетевое оборудование (коммутаторы 2+, маршрутизаторы, межсетевые экраны и др.) следует задокументировать ключевые настройки с пояснением целесообразности использования различных протоколов, технологий и интеллектуальных функций.
Далее требуется установить и сконфигурировать головной шлюз на базе серверной операционной системы (ОС) Windows или Unix/Linux. В сравнительном анализе аргументировать выбор не только семейства операционных систем, но и конкретного продукта. Ключевые параметры сравнения: надежность/отказоустойчивость, информационная безопасность, быстродействие, трудоемкость сопровождения.
Сравнительный анализ существующих решений.
Рассмотрим такие популярные серверные операционные системы как: Windows Server, CentOS, FreeBSD, Debian, Red Hat Enterprise Linux.
Windows Server использует большинство коммерческих организаций. Практически все её приложения хорошо протестированы и широкодоступны. Универсальная ОС, которая обладает очень большим запасом производительности. Имеет встроенный инструмент резервного копирования, который существенно повышает её надежность. Следует также учитывать то, что именно операционные системы семейства Windows наиболее уязвимы вирусными программами.
RHEL является одной из наиболее популярных на сегодняшний день операционных систем для сервера. Поскольку данная ОС предназначена в основном для корпоративного использования, то и достоинства её можно описать одним словом – надежность. Что касается её недостатков, так это только то, что Red Hat Enterprise Linux является платной ОС. Поэтому нет смысла приобретать RHEL на сервер, который обслуживает небольшую офисную сеть.
FreeBSD – большинство общеизвестных мировых сервисов (к примеру, Yahoo) используют именно данную ОС на своих серверах. Еще одним преимуществом FreeBSD является то, что данная система полностью бесплатная. Но FreeBSD теряет свою популярность из-за того, что её разработкой занимается всего лишь одна команда разработчиков, а это ведет к отсутствию драйверов на новые платы и устройства. Также для FreeBSD существует очень мало коммерческого программного обеспечения.
CentOS – сделана на основе коммерческой RHEL и имеет все её достоинства, обеспечивает надежность и безопасность. Помимо этого, сообщество пользователей данной ОС настолько большое, что появившиеся ошибки и баги очень быстро исправляется
Debian – это стабильная и проверенная годами ОС. Операционная система является хорошим решением для сервера, который должен обеспечивать стабильную и бесперебойную работу. К недостаткам данной ОС следует отнести консервативность. Производители довольно редко утешают своих пользователей свежими релизами.
Проектирование основных узлов сети.
Компания состоит из главного филиала, второго филиала, расположенного в том же городе и подключенного к главному филиалу посредством оптоволокна, и третьего филиала, который подключается к сети главного филиала через VPN (рис. 1).
Рис 1. Общая топология сети.
Главный филиал.
Сеть имеет не сложную структуру (рис. 2), перед выходом в глобальную сеть расположен шлюз с серверной ОС CentOS, затем подключен L3 коммутатор, который управляется VLAN. К L3 коммутатору подключено 3 межсетевых экрана, первый имеет подключение к DMZ состоящему из L2 коммутатора и подключенных к нему: сервера базы данных, web-сервера, почтового сервера и файлового хранилища. Ко второму межсетевому экрану подключен L2 коммутатор, который распределяет трафик на рабочие станции и точку доступа Wi-Fi. Третий МЭ служит точкой подключения второго филиала по оптоволокну.
Рис 2. Топология сети главного филиала.
Шлюз.
Сетевой шлюз корпоративной сети – устанавливается в точке выхода сегмента корпоративной сети в Интернет. В качестве операционной системы выбран CentOS, т.к. система достаточно стабильная для подобных задач, имеет гибкие настройки, большим плюсом является и то, что у данной ОС большое комьюнити. Срок поддержки каждой версии составляет десять лет, каждая версия обновляется раз в шесть месяцев, для поддержки новых аппаратных средств. На сетевом шлюзе реализуется пакетный фильтр iptables, сервер VPN.
L3 коммутатор.
В качестве L3 коммутатора выбран D-Link DXS-3600-32S по причине наличия в нем функции маршрутизации, достаточного количества 10-гигабитных портов, возможности установления VPN туннеля, поддержки протокола SNMP. Расширенная копия программного обеспечения (EI) поддерживает маршрутизацию IPv4/v6, включая RIP, VRRP, OSPF, BGP, а также функции многоадресной рассылки уровня 3, такие как IGMP, MLD, PIM-DM, SM, SDM, SSM, и DVMRP. Расширенная копия программного обеспечения (EI) также поддерживает L2/L3 MPLS VPN, что позволяет установить коммутаторы серии DXS-3600 в качестве главного маршрутизатора сети предприятия или граничного маршрутизатора сети MPLS.
L2 коммутатор.
В качестве L2 коммутатора выбран D-Link DGS-1510-52X/ME. Он также поддерживает протокол SNMP, имеет 48 портов 1Gbit и 4 порта 10Gbit. Предусмотрено управление доступом на основе MAC-адресов (MAC). Функции MAC позволяют сетевым администраторам проводить аутентификацию пользователя/устройства и управлять безопасностью сети без необходимости установки клиентского программного обеспечения. Предусмотренная в коммутаторе DGS-1510-52X/ME функция IP-MAC-Port Binding (IMPB) обеспечивает строгую привязку по адресам и интерфейсам, а ARP Spoofing Prevention – защиту сети от атак типа Man-In-The-Middle и ARP Spoofing.
Межсетевой экран.
В качестве межсетевого экрана выбран D-Link DFL-2560, который предоставляет производительность экрана в 2Gbit/c, VPN в 1Gbit/c, производительность антивируса в 450Mbit/c. Антивирусное сканирование в реальном времени. Межсетевые экраны обеспечивают законченное решение для управления, мониторинга и обслуживания безопасной сети. Среди функций управления: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени. Для оптимальной настройки VPN межсетевые экраны NetDefend UTM поддерживают встроенный VPN-клиент и сервер, включая протокол IPSec. Межсетевые экраны NetDefend UTM используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против неизвестных атак.
Точка доступа Wi-Fi.
В качестве точки доступа к Wi-Fi выбран D-Link DAP-2695, который поддерживает стандарты 802.11a/b/g/n/ac, имеет два гигабитных порта LAN, достаточно мощные антенны с усилением в 4 dBi для работы в сетях 2.4ГГц и с усилением в 6 dBi для работы в сетях 5ГГц.
Второй филиал.
Второй филиал (рис. 3) соединяется с главным посредством оптоволокна. Филиал состоит из L2 коммутатора DGS-1510-52X/ME, сетевого принтера, точки доступа Wi-Fi, игровой приставки PS4 и рабочих станций.
Рис 3. Топология сети второго филиала.
Третий филиал.
Третий филиал (рис. 4) имеет соединение с сетью главного филиала благодаря VPN туннелю, который настроен на межсетевом экране DFL-2560, сам межсетевой экран подключен к WAN посредством интернет провайдера.
Рис 4. Топология сети третьего филиала.
Установка и конфигурирование шлюза.
Установка CentOS производится в графическом режиме, в целях экономии времени можно заблаговременно на этапе установки системы подключить технологию управления дисковым пространством, функционирующую поверх логических разделов LVM, что даст возможность более гибко использовать дисковое пространство. После завершения установки ОС нужно запретить вход по ssh для root.
Далее необходимо установить openVPN, с его помощью мы сможем создать защищенный канал связи между шлюзом и удаленным офисом.
С помощью iptables закрыть 22 порт для WAN и разрешить подключение к порту openVPN только с IP адреса третьего офиса. Также следует просмотреть все открытые порты во внешнюю сеть, посредством утилиты netstat, и в случае необходимости закрыть к ним доступ не только из внешней сети, но и из внутренней.
Для фильтрации интернет трафика можно установить и настроить squid – это программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS.
В случае необходимости в контроллере домена, можно установить пакет программ samba. Она позволяет обращаться не только к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS, но и начиная с четвёртой версии, разработка которой велась почти 10 лет, Samba может выступать в роли контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000, и способна обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Доступ к портам samba также нужно ограничить с помощью iptables, разрешить подключения только из внутренней сети.