Конфигурация пограничной инфраструктуры ЦОД (Виртуальная машина FW)

 

1) Выполните конфигурацию сервера удаленного доступа sshd

1.1) Прослушиваться должен только порт 1022

1.2) Запретите вход пользователю root

2) Реализуйте сервис удаленного доступа на основе технологии OpenVPN:

2.1) В качестве сервера выступает ВМ FW

2.2) Параметры туннеля

2.2.1) Устройство TAP

2.2.2) Порт сервера 1194

2.2.3) Применяется сжатие трафика

2.2.4) Адресацию выполнить в соответствии с Таблицей 1.

2.2.4.1) Пользователь с сертификатом CN=Admin получает статический IPv6 адрес в соответствии с Таблицей 1.

2.2.5) Используется TLS-аутентификация

2.3) Все сертификаты должны быть выданы собственным СА на ВМ CORE

2.4) Реализуйте дополнительную аутентификацию с помощью сервера OpenLDAP

2.4.1) Разрешите доступ только пользователям из OU=VPN

2.5) В качестве клиента выступают следующие ВМ

2.5.1) CLI-ADM, cертификат CN=Admin

2.5.2) CLI-OUT, сертификат CN=Guest

2.6) OpenVPN-туннель должен предоставлять клиентам доступ к внутренним ресурсам сети организации

3) Реализуйте службу DNS-Proxy на базе пакета BIND

3.1) Служба должна прослушивать внешний IPv4 адрес виртуальной машины FW

3.2) Служба должна обращаться к основному DNS-серверу на CORE

3.3) Служба должна разрешать запросы только от сервера ISP.

4) Настройте межсетевой экран iptables

4.1) Входящие подключения должны быть разрешены к следующим службам

4.1.1) HTTP, HTTPS, DNS, OpenVPN, SSH

4.2) Если служба не настроена в соответствии с заданием — доступ должен быть запрещен

 

Конфигурация служб хранения данных ЦОД (Виртуальная машина STR)

 

1) Настройте дисковый массив на основе технологии RAID на базе пакета mdadm

1.1) Используйте два виртуальных диска

1.2) Уровень массива RAID 1

1.3) Используйте файловую систему ext4

1.4) В качестве точки монтирования использовать /mnt/storage

1.5) Массив должен автоматически монтироваться при запуске системы

2) Организуйте доступ к хранилищу данных с помощью технологии NFS

2.1) Предоставьте доступ к каталогу /mnt/storage

2.2) Доступ должен быть предоставлен на чтение и запись.

2.2.1) Доступ предоставить машинам CORE, SRV-R, SRV-L

2.3) Реализуйте объединение сетевых интерфейсов на STR и CORE по технологии teaming для достижения надежного канала и повышенной пропускной способности.

 

Конфигурация пользовательских служб ЦОД

 

1) Реализуйте веб-службы на основе сервера Apache

1.1) Раздается файл /var/www/html/index.html

1.2) Файл должен содержать следующий текст

1.2.1) «Served by <HOSTNAME>» где HOSTNAME — имя сервера

2) Реализуйте реверс-прокси сервер на базе пакета nginx

2.1) Прослушивается внешний адрес FW

2.1.1) Имя сайта site.wsr.mv

2.2) Прослушиваются HTTP и HTTPS порты

2.2.1) Выполняется перенаправление на HTTPS

2.3) Запросы перенаправляются на сервера SRV-R и SRV-L

2.3.1) Балансировка нагрузки осуществляется по принципу Round Robin

2.3.2) Отключите кэширование ответов от серверов.

 

Конфигурация клиентских ВМ

1) На ВМ CLI-ADM

1.1) Настройте разрешение DNS-имен через сервер ISP

1.2) Установите автоматическое подключение к OpenVPN -серверу на ВМ FW

1.2.1) Используйте сертификат CN=Admin

1.2.2) Используйте имя пользователя VPNAdmin

1.2.3) Подключение должно проходить по DNS-имени ВМ FW

1.2.4) После подключения клиент должен перейти на использование сервера

1.2.5) Выполнение авторизации должно быть автоматизировано

1.2.6) Все конфигурационные файлы расположить в /etc/openvpn/

1.3) Установить веб-браузер IceWeasel\Firefox

2) На ВМ CLI-OUT

2.1) Настройте разрешение DNS-имен через сервер ISP

2.2) Установите подключение к OpenVPN -серверу на ВМ FW

2.2.1) Подключение должно включаться и отключаться по запуску скрипта

2.2.1.1. start_vpn.sh и stop_vpn.sh

2.2.1.2. Скрипт запрашивает учетные данные в ходе работы

2.2.2) Используйте сертификат CN=GUEST

2.2.3) Подключение должно проходить по DNS-имени ВМ FW

2.2.4) После подключения клиент должен перейти на использование сервера

2.2.5) Все конфигурационные файлы расположить в /etc/openvpn/

2.3) Установить веб-браузер IceWeasel\Firefox

                       

Таблица 1 – Сетевая адресация

Сеть	Хосты	Адреса/Подсети
SRV	SRV-L	2002:db:a::10/64
	SRV-R	2002:db:a::20/64
	CORE	2002:db:a::1/64
STR	STR	2002:db8:b::10/64
	CORE	2002:db8:b::1/64
INT	CORE	2002:db8:c::10/64
	FW	2002:db8:c::1/64
EXT	FW	10.10.10.10/24
	ISP	10.10.10.1/24
ADM	CLI-ADM	20.20.20.10/24
	ISP	20.20.20.1/24
OUT	CLI-OUT	30.30.30.10/24
	ISP	30.30.30.1/24
VPN	FW CLI-ADM CLI-OUT	2002:acca:a::1/64 2002:acca:a::100/64 2002:acca:a::X/64

 

Таблица 2 – Учетные записи LDAP

Хост	Внутреннее отображение	Внешнее отображение
SRV-R	AAAA: srv-r.wsr.mv AAAA: backend-l.wsr.mv
SRV-L	AAAA: srv-r.wsr.mv AAAA: backend-r.wsr.mv
CORE	AAAA: core.wsr.mv AAAA: ns.wsr.mv
FW	AAAA: fw.wsr.mv AAAA: frontend.wsr.mv	A: fw.wsr.mv A: site.wsr.mv CNAME: access.wsr.mv
STR	AAAA: str.wsr.mv CNAME: storage.wsr.mv

 

Таблица 3 – Правила журналирования

Источник	Уровень журнала	Файл
SRV-R, SRV-L	WARN и выше	/var/mylogs/<HOSTNAME>/journal.log
STR	NOTICE и выше	/var/mylogs/<HOSTNAME>/journal.log
CORE	WARN и выше	/var/mylogs/<HOSTNAME>/journal.log
FW	WARN и выше	/var/mylogs/<HOSTNAME>/journal.log

*<HOSTNAME> - название директории для журналируемого хоста

**В директории /var/mylogs/мне должно быть файлов, кроме тех, которые указаны в таблице

 

Таблица 4 – Пользователи LDAP

Группа	OU	CN	Пароль	Доступ
Administrators	Users	admin	toor	CORE, STR, SRV-L, SRV-R
Users	Users	user01-user10	P@ssw0rd	SRV-L, SRV-R
VPN	VPN	VPNAdmin, vpn01-vpn02	P@ssw0rd	OpenVPN на ВМ FW

 

ДИАГРАММА ВИРТУАЛЬНОЙ СЕТИ