Организация безопасного удаленного доступа к корпоративным ресурсам 25/05/07

Техническое задание Имеется офис с проложенной сетью. 40 пользовательских компьютеров, выделенный FTP/SMB сервер. Требуется осуществить подключение пользователей к «Интернет» с одного внешнего ip-адреса. Организовать доступ к внутренним ресурсам (SMB/FTP сервер) извне. Сделать возможной удалённую работу с конфиденциальными данными, хранящимися на файловом сервере (SMB/FTP) средствами VPN. Канал должен быть шифрованный. Настроить фильтрацию трафика, чтобы обезопасить внутреннюю сеть. Шлюз должен работать под управлением OC из семейства UNIX.

Организация сети

Организация FTP сервера ProFTPD – сервер FTP RusPatch – патч для устранения проблемы с русскими именами файлов

Организация доступа к ресурсам FTP сервера /home/firmstuff – общий каталог сотрудников (0755) /home/firmstuff/stuffname1 – каталог сотрудника (0750) /home/firmstuff/stuffname1/private – каталог личных файлов сотрудника (0700) /home/firmstuff/stuffname2 – каталог сотрудника (0750) /home/firmstuff/stuffname2/private – каталог личных файлов сотрудника (0700)

Организация SAMBA сервера SMBd – сервер SAMBA NMBd – сервер имён NetBIOS

Организация доступа к ресурсам SAMBA сервера [global] workgroup = firmstuff hosts allow = /24 security = user guest account = guest [firmstuff] comment = firmstuff files path = /home/firmstuff writable = yes

Организация шлюза iptables – межсетевой экран для GNU/Linux

Настройка NAT IPT="/sbin/iptables" Включить пересылку IP В /etc/sysctl.conf исправить net.ipv4.ip_forward = 1 и дать команду sysctl -p Сбросить правила и удалить цепочки $IPT -F $IPT -t nat -F Установить политики по умолчанию $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT Включить маскарадинг для LAN $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Организация VPN сервера ppp – протокол точка-точка pptpd – сервер pptp для GNU/Linux

Настройка ppp для pptp туннелизации Правим /etc/ppp/options.pptpd lock debug name pptpd auth +chap +mschap-v2 +mschap -pap proxyarp mppe required, stateless Правим /etc/ppp/chap-secrets client server secret IP address vpn pptpd vpnpass *

Настройка VPN клиента (GNU/Linux) sudo apt-get install pptp-linux sudo nano /etc/ppp/peers/office persist maxfail 0 lcp-echo-interval 60 lcp-echo-failure 4 pty "pptp nolaunchpppd name vpn password vpnpass remotename PPTP-Ubuntu require-mppe-128 ipparam office

Проверка туннелизации (GNU/Linux)

Настройка VPN клиента (Windows) Свойство «Сетевое окружение» Создание нового подключения Подключиться через VPN Имя организации Адрес сервера

Проверка туннелизации (Windows)

Литература Д.Н. Колисниченко «Linuxсервер своими руками» 3-е издание, НиТ, Санкт-Петербург 2005 г. «ProFTPd - устранение проблем с русскими названиями файлов» Oskar Andreasson (Перевод Андрей Киселев) «Руководство по iptables» Кулаков Дмитрий «Настройка межсетевого экрана Iptables» «Установка ppp+pptpd» Документация по настройке PPTP Client