2008.01_Kingsajz dla każdego_[Bezpieczenstwo].pdf
(
1445 KB
)
Pobierz
332773354 UNPDF
Bezpieczeństwo
Kingsajz dla każdego
Kingsajz dla każdego
Dariusz Czerwiński
Czy bezpieczeństwo informatyczne zarezerwowane jest dla wielkich i bogatych? Stwórz własnoręcznie
funkcjonalną i bezpieczną sieć dla piętnastu stanowisk. W artykule zajmiemy się budową taniej, funkcjonalnej
i bezpiecznej sieci komputerowej z dostępem do internetu, pocztą www, serwerem prywatnym i opcjonalnie
punktem dostępowym sieci bezprzewodowej (accesspoint). Projekt opisuje praktyczne, gotowe do użycia
rozwiązanie dla małej irmy ale łatwo jest go zaadaptować do innych zastosowań np. sieci szkolnej,
osiedlowej czy w administracji publicznej.
nego. Jedna z ciekawszych deinicji głosi, że bezpie-
czeństwo to nie produkt lecz stan i to stan nietrwa-
ły wymagający systematycznej dbałości i nakładów
w celu jego utrzymania. Zgadzam się z tą deinicją z jed-
nym zastrzeżeniem: tak naprawdę zniechęca ona do podej-
mowania jakichkolwiek kroków podnoszących poziom bez-
pieczeństwa organizacje dysponujące skromniejszym budże-
tem. Sugeruje, że bezpieczeństwo informatyczne dostępne
jest tylko dla wielkich i bogatych, których stać na permanent-
ne pompowanie dużych pieniędzy w najnowszy sprzęt, szko-
lenie administratorów, audyty bezpieczeństwa itp. Skutki ta-
kiego sposobu myślenia odbijają się na ogólnym bezpieczeń-
stwie Internetu. Ci którzy poszli tą drogą są dziś najprawdo-
podobniej oiarami ataków a ich komputery sieją spustosze-
nie w Sieci jako zdalnie sterowane boty – zombi.
Gdyby zapytać administratorów sieci lub wdrożeniow-
ców która cecha najbardziej dokucza im u użytkowników,
większość zapewne odpowiedziałaby, że jest to opór przed
nowym, który ma często swoje źródło w niechęci do ucze-
nia się. Zaskakujące jest to, że ta sama przypadłość doty-
czy również samych administratorów. Zapytani, czemu na
routerze/irewallu używają desktopowej dystrybucji Linuxa
lub co gorsza starej wersji Windows odpowiadają najczęściej
„bo znam”. Aby nie popełnić tak poważnego błędu w naszej
sieci stosować będziemy zasadę:
Narzędzia i systemy dobieramy stosownie do zadania jakie
mają pełnić
.
Niniejszy cykl artykułów przeznaczony jest dla począt-
kujących i średnio zaawansowanych administratorów podej-
mujących się uruchomienia bezpiecznej, funkcjonalnej i ta-
niej jednocześnie heterogenicznej sieci lokalnej. Z tego po-
wodu przyjmujemy konwencję działania „krok po kroku” z
szerszym uzasadnieniem podejmowanych działań i opisem
potencjalnych problemów tak, aby nawet mniej doświadcze-
ni administratorzy mogli swobodnie poradzić sobie z osią-
gnięciem wyznaczonego celu.
Ograniczona ilość zaimków oraz możliwie proste kon-
strukcje językowe mogą negatywnie wpłynąć na formę tek-
stu, ale z pewnością pozwolą uniknąć wielu nieporozumień.
Sieć modelowa posiada możliwość uruchomienia publicz-
nych usług internetowych takich jak poczta czy serwer www
dla grupy użytkowników z wielu organizacji – możliwość
hostingu. W artykule szczegółowo zajmiemy się budową i
66
styczeń 2008
I
stnieje wiele deinicji bezpieczeństwa informatycz-
Bezpieczeństwo
Kingsajz dla każdego
uruchomieniem całej wielostrefowej sieci skła-
dającej sie w wersji podstawowej z następują-
cych elementów:
+ karta CF > 512 MB dla serwerów
publicznych ze statycznymi strona-
mi www lub dysk twardy > 10 GB
dla serwerów publicznych z PHP/
MySQL: 25 PLN.
• Łącze internetowe najlepiej ze stałym ad-
resem IP.
• Opcjonalnie wykupiona nazwa domenowa
organizacji.
• Artykuły Linux+.
ni lub pomieszczeniu ze sprzętem muzycznym
polecam obniżenie prędkości obrotowej wenty-
latora zasilacza przez obniżenie jego napięcia
zasilania z +12V do +5V co uczyni maszynę
niemal bezszelestną lub zastosowanie zasilaczy
zewnętrznych tak jak w notebookach.
Uwaga! Modyikacja zasilacza grozi pora-
żeniem prądem. Autor ani Redakcja nie ponosi
odpowiedzialności za ewentualne szkody wy-
nikłe z samodzielnej modyikacji sprzętu oraz
inne szkody mogące powstać w wyniku stoso-
wania rad zawartych w artykule.
Omówienia wymaga wybór konkretne-
go modelu sprzętu. Wśród markowych mode-
li proponowanych na aukcjach pojawiają się
dwa problemy uniemożliwiające łatwą wy-
mianę obudowy. Po pierwsze część płyt głów-
nych projektowana jest pod specjalne obudowy
(np. slim) i rozkład wyjść płyty głównej nie jest
zgodny ze standardem ATX, po drugie spora
część markowych komputerów ma nietypowe
zasilacze których nie da się wymienić na zasi-
lacze ATX a zamontowanie zasilaczy zakupio-
nych z komputerem w standardowej obudowie
ATX wymaga dużego wysiłku często z obrób-
ką metalu włącznie. Ponadto część markowych
komputerów nie staruje się bez podłączonej
klawiatury. Zaletą markowych modeli jest na-
tomiast duża dostępność pozwalająca na zakup
całej serii identycznych maszyn, solidne wyko-
nanie oraz niewiarygodnie niska cena.
Komentarza wymaga również przejściów-
ka CF-IDE. Jest to prosta płytka drukowana z
gniazdem (czasem dwoma) dla kart CF oraz
gniazdem IDE (do podłączenia w miejsce dys-
ku na płycie głównej) dostępna na aukcjach za
kwotę rzędu 25 PLN. Umożliwia ona wykorzy-
stanie karty Compact Flash jako dysku twarde-
• Firewall/Router/NAT/DHCP/VPN (opcjo-
nalnie accesspoint) – zwany dalej w skró-
cie irewall;
• Serwer usług publicznych;
• Serwer usług prywatnych;
• Stacje robocze;
• Współdzielona stacja robocza;
• Graiczne terminale;
• 2 x switch;
• Okablowanie.
Czemu takie słabe serwery? Ponieważ silniej-
sze nie są potrzebne, dla łączy internetowych
o przepustowości pojedynczych megabitów na
sekundę procesor 266 MHz w irewallu jest i
tak zbyt wydajny. Niska wydajność procesorów
paradoksalnie może być czynnikiem zwiększa-
jącym bezpieczeństwo, ponieważ prawie unie-
możliwia skuteczne łamanie haseł i kompila-
cję dużych narzędzi na takiej maszynie. Ser-
wer prywatny też nie ma zbyt wiele pracy do-
póki nie włożymy do niego macierzy dysków
software raid5. Terminale graiczne działają
poprawnie nawet na maszynach klasy 486 ale
ze względu na konieczność obsługi graiki 2D
Xserwera sugeruję maszyny z dobrą kartą gra-
iczną PCI lub lepiej kartą AGP. Dodatkową za-
letą słabych maszyn jest brak wentylatora na
procesorze i chipsecie płyty głównej. Wyelimi-
nowanie dysków twardych oraz dwóch z trzech
wentylatorów znacząco podwyższa stopień
niezawodności maszyny. Mamy do czynienia
ze sprzętem stricte elektronicznym – w któ-
rym (prawie) nic na stałe się nie kręci, więc się
nie zużywa i nie hałasuje. Maszyna taka posia-
da jedyny wentylator w zasilaczu, dzięki czemu
komputer jest prawie bezgłośny. Dla osób które
są skazane na umieszczenie maszyn w sypial-
Przygotownie infrastruktury
• Sprzęt dla całej sieci: 4350 PLN(zawiera
VAT):
• Terminale i serwer publiczny: 15 ta-
nich komputerów PC klasy Pentium II
64 MB RAM (min 128 MB na serwer
publiczny) z CDROM i FDD: 40 PLN
x 15 = 600 PLN;
• Współdzielona stacja robocza: naj-
mocniejsza maszyna na jaką można
sobie pozwolić z dużą ilością RAM
(zalecane 8 GB) i silnym procesorem
(najlepiej dwurdzeniowy AMD 64) i
nagrywarką DVD lub lepiej Blu-ray:
Od 1500 PLN wzwyż;
• Stacje robocze i serwer prywatny: 3
komputery klasy PC Pentium III 933
Mhz 256 MB RAM lub lepsze: 3 x 80
PLN = 240 PLN;
• Dysk twardy IDE > 300GB: 300 PLN;
• Klawiatura + mysz: 15 x 20 PLN =
300 PLN;
• Switch nr 1 – 5 lub więcej portów 1
Gb: 80 PLN;
• Switch nr 2 – 16 lub więcej portów
100 Mb: 150 PLN;
• 20 kabelków sieciowych prostych
10m: 20 x 10PLN = 200 PLN;
• 2 kabelki sieciowe skrosowane: 2 x
3,5 PLN = 7 PLN;
• 3 karty sieciowe 100 Mb: 3 x 11 = 33
PLN;
• 1 karta sieciowa 1000Mb: 50 PLN;
• UPS > = 2000 VA (współdzielony
przez serwery): 700 PLN;
• Dwie sformatowane dyskietki 3,5”
1,44 MB (pudełko 10 szt): 5 PLN;
• Opcjonalnie accesspoint lub karta sie-
ci bezprzewodowej najlepiej na chip-
secie Atheros lub innym obsługiwa-
nym przez FreeBSD: 160 PLN;
• Opcjonalnie przejściówka CF-IDE
Rysunek 1.
Zrzut ekranu-m0n0wall.local - m0n0wall webGUI - Mozilla Firefox
www.lpmagazine.org
67
Bezpieczeństwo
Kingsajz dla każdego
go. W naszej sieci użyjemy jej w serwerze
publicznym. Ze względu na ograniczoną po-
jemność i transfer (nie udało mi się urucho-
mić na przejściówce najszybszych z dostęp-
nych na rynku kart CF) polecam ją do ser-
werów bez obsługi baz danych i PHP. Kar-
ta o pojemności 1 GB w zupełności wystar-
cza, 512 MB jest minimalnie za mała ale przy
odrobinie samozaparcia da się ją zmusić do
współpracy. Jeżeli zamierzamy na naszym
serwerze publicznym uruchomić strony dy-
namiczne oparte o serwer bazy danych i PHP
proponuję zainwestować w mocniejszą ma-
szynę z większą ilością pamięci RAM i szyb-
kim dyskiem SATA.
terfejsów (numer wewnętrzny). Najbardziej
popularnym i często stosowanym przez po-
czątkujących administratorów rozwiązaniem
jest wykorzystanie na irewall jednej z popu-
larnych dystrybucji Linuxa. Pierwsze miej-
sca na www.distrowatch.com od dawna oku-
pują Ubuntu, Fedora i OpenSuse itp. Nieste-
ty wybór tych dystrybucji na irewall jest czę-
sto obarczony omówionym wyżej błędem „bo
znam”. Dystrybucje desktopowe to konstruk-
cje „wszystko w jednym” nastawione na mak-
symalną funkcjonalność stacji roboczej. Insta-
lacja zawiera domyślnie zainstalowaną dużą
liczbę pakietów, które nigdy nie będą wyko-
rzystane w irewallu a już sam fakt ich istnie-
nia w systemie stanowi potencjalne zagroże-
nie dla jego bezpieczeństwa. Istnieją wpraw-
dzie specjalizowane wersje wymienionych
dystrybucji które lepiej nadają się do tego celu
(np. Ubuntu Server itp.) ale nie są one wystar-
czająco bezpieczne dla wymagań stawianych
maszynie irewall. Z tego powodu nasz wybór
padł na m0n0 (
www.m0n0.ch
). Jest to specja-
lizowany system operacyjny z funkcjami ire-
walla oparta o zmodyikowaną (mocno okro-
joną) wersję FreeBSD zarządzaną, jak więk-
szość rozwiązań sprzętowych tego typu, z po-
ziomu przeglądarki internetowej. Z naszego
punktu widzenia ma same zalety:
• Jest darmowa i ma otwarty kod! – podzię-
kowania dla autora: Manuel Kasper
• Bardzo mała – aktualna wersja ma 5,76
MB! Niewielka ilość kodu jest łatwa do
debugowania i audytu co jest niezwykle
istotne z punktu widzenia bezpieczeń-
stwa.
• Jest dojrzała, stabilna i sprawdzona w
warunkach produkcyjnych. Zawiera
wszystko czego oczekujemy (irewall,
VPN, QoS, podstawowe narządziła dia-
gnostyczne, graiczne wykresy ruchu sie-
ciowego oraz w specjalnej wersji – a roz-
wijanej na innej gałęzi jądra FreeBSD
– funkcjonalność accesspointa sieci bez-
przewodowej. Uwaga! wersja z obsłu-
gą nowych kart WiFi oznaczona jest jako
beta – niestabilna)
• Zarządzana przez przeglądarkę www – nie
trzeba być doświadczonym administrato-
rem FreeBSD, żeby skorzystać z jej zalet
• Ma niewielkie wymagania sprzętowe
Wybór i pozyskanie
systemów operacyjnych
Firewall jest „sercem” sieci. To on jest w naj-
większym stopniu odpowiedzialny za realiza-
cję polityki bezpieczeństwa – czyli reguł okre-
ślających co komu wolno, a co jest zabronio-
ne. Firewall to w uproszczeniu urządzenie o
funkcji podobnej do pracy telefonistki-sekre-
tarki. Badając źródłowy adres IP oraz port źró-
dła (kto dzwoni) oraz docelowy adres IP i port
(do kogo dzwoni) porównuje je z ustalonymi
regułami irewalla i decyduje czy połączenie
odrzucić czy skierować go do jednego z in-
Jeżeli posiadamy już wymieniony sprzęt podłą-
czamy stację roboczą wyposażoną w nagrywar-
kę do łącza internetowego i ściągamy najnow-
szą wersję m0n0 z polskiego serwera lustrza-
nego strony domowej projektu:
http://m0n0.ch/
wall/download.php?get=cdrom-1.231.iso-
Rysunek 2.
Koniguracja-m0n0wall.local – System General setup
68
styczeń 2008
Bezpieczeństwo
Kingsajz dla każdego
&mirror=52
a następnie wypalamy ściągnięty
obraz na płytce CD. Inne systemy operacyjne
dla serwerów i stacji roboczych będziemy ścią-
gać tuż przez instalacją (najnowsze wersje) już
z wewnątrz naszej sieci.
System zapyta nas o
VLANy
których nie
chcemy konigurować i następnie wyświetli
listę znalezionych kart sieciowych wraz z in-
formacją o jej aktywności (up). Aby irewall
działał poprawnie należy przypisać karty
LAN (połączenie ze switch 1) i WAN (połą-
czenie z internetem). Uwaga! Nazwy kart w
FreeBSD (w przeciwieństwie do Linuxa) za-
leżą od producenta chipsetu tak więc pierw-
sza karta na chipsecie Realtek nazywać się
będzie rl0. W przypadku problemów z iden-
tyikacją kart proponuję deiniować je na ra-
ty wkładając na początku tylko jeden kabe-
lek (np LAN) i obserwując status
up
. Po
koniguracji interfejsów system się zrestar-
tuje. Możemy wykorzystać ten moment do
odłączenia monitora i klawiatury. Jeżeli po
tej operacji system nie wystartuje popraw-
nie najprawdopodobniej będziemy musieli
zostawić klawiaturę wpiętą na stałe. Nale-
ży zabezpieczyć ją przez możliwością przy-
padkowego wciskania się klawiszy oraz do-
stępem osób niepowołanych.
korzystania z internetu. Jeżeli jest inaczej na-
leży sprawdzić:
• Czy irewall ma dostęp do internetu. Moż-
na to sprawdzić korzystając narzędzi ping
i traceroute irewalla (dostępnych zarówno
z konsoli jak i przeglądarki). Niektórzy do-
stawcy usług internetowych blokują MAC
adresy nieznanych kart sieciowych, więc
podłączając nowe urządzenie trzeba je za-
rejestrować u swojego dostawcy internetu.
• Czy komputery w streie LAN mają włą-
czoną automatyczną konigurację sieci
– DHCP. Najprostszy test to uruchomienie
maszyny z LiveCD (Ubuntu, Knoppix itp.)
które mają domyślnie włączoną konigura-
cję sieci z serwera DHCP.
• Czy sprzęt jest sprawny i poprawnie
zmontowany (najczęstszym problemem
są uszkodzone lub niepoprawnie zarobio-
ne kable sieciowe lub niedopchnięte karty
sieciowe PCI).
Przygotowanie sprzętu
Komputerowi przeznaczonemu na irewall
chirurgicznie usuwamy dysk twardy a w
biosie płyty głównej ustawiamy bootowa-
nie komputera z napędu CD. Istnieje moż-
liwość instalacji m0n0 na karcie CF > 4 MB
ale rozwiązanie takie ma poważną wadę: w
przypadku udanego ataku nie możemy mieć
pewności, że najbardziej istotne z punktu
widzenia bezpieczeństwa, pliki nie zosta-
ły zmodyikowane. Pewność taką daje za-
stosowanie m0n0 uruchamianego z płytki
CD czytanej przez zwykły napęd CD (nie
nagrywarkę). Dostęp do plików systemo-
wych oraz do pliku koniguracji przecho-
wywanego na mechanicznie (zasuwką) za-
bezpieczonej dyskietce jest tylko do odczy-
tu poza przypadkami modyikacji konigura-
cji. W przypadku udanego ataku na sieć mo-
żemy skupić się na serwerach. Firewall wy-
starczy zrestartować uprzednio kopiując lo-
gi. Wprawdzie samo uruchomienie maszyny
z płyty CD generuje pewien hałas, ale po za-
kończeniu ładowania systemu i zatrzymaniu
płyty system się wycisza. Bez żalu więc po-
zbywamy się dysku twardego. W wolnych
slotach PCI instalujemy dwie karty siecio-
we 100 Mb, trzecią WiFi lub kolejną prze-
wodową dla accesspointa (więcej o WiFi
w następnej części artykułu). Po tych ope-
racjach powinniśmy dysponować sprzętem
bez dysku twardego za to wyposażonym w
cztery (licząc tę wybudowaną w płytę głów-
ną) karty sieciowe napęd CD i FDD. Na-
stępnie umieszczamy w napędzie CD wypa-
loną płytkę z m0n0 a czystą sformatowaną
(format DOS) dyskietkę instalujemy w na-
pędzie dyskietek. Podłączamy klawiaturę i
monitor, podłączamy kabelek z internetem
do wbudowanej w płytę główną karty sie-
ciowej a innym kabelkiem łączymy dowol-
ną kartę sieciową PCI ze switch 1. Podłącza-
my zasilanie z UPSa i uruchamiamy kom-
puter. Warto trwale oznaczać kabelki i kar-
ty sieciowe żeby nie tracić czasu na poszu-
kiwania właściwej kombinacji kabel – karta
w przyszłości.
Koniguracja przez przeglądarkę
Sieć (strefa LAN i WAN) powinna już dzia-
łać i komputery podłączone do switch 1 z
ustawioną opcją automatycznej koniguracji
sieci (DHCP) powinny już mieć możliwość
Jeżeli mamy dostęp do internetu z poziomu
komputera podłączonego do switch 1, urucha-
miamy przeglądarkę i wpisujemy adres
http:
//192.168.1.1
Po podaniu nazwy domyślnego
użytkownika (
admin
) i jego domyślnego hasła
(
mono
) dostajemy się po raz pierwszy do kon-
��������
����������
��������
����������
�������
Koniguracja interfejsów
Przy pierwszym uruchomieniu z poziomu lo-
kalnej konsoli należy zdeiniować interfejsy
sieciowe wybierając z menu:
Interfaces: As-
sign network ports
��������������
��������������
��������������
Rysunek 3.
Strefa sieci LAN i WAN
www.lpmagazine.org
69
Bezpieczeństwo
Kingsajz dla każdego
iguracji naszego irewalla. Na początku warto
wykonać kilka zabiegów podnoszących bezpie-
czeństwo. W zakładce
General setup
zmieniamy
wartości w następujących polach (Rysunek 2.):
że wyrabia w nas dobre nastawienie dbania o bez-
pieczeństwo. Nawyki takie są niezwykle pomoc-
ne w sytuacji kiedy będziemy działać w pośpie-
chu i „automatycznie”. Po wykonaniu powyż-
szych czynności nasza sieć jest gotowa do pra-
cy. Na tym etapie stworzyliśmy sieć dwustrefo-
wą (Rysunek 3) strefy internetu (WAN) oraz sie-
ci lokalnej (LAN). Domyślne ustawienia reguł i-
rewalla pozwalają na przepływ pakietów między
strefami umożliwiający korzystanie z internetu
komputerom w LAN. Następne części artykułu
pozwolą nam stworzyć kolejne strefy i określić
dla nich reguły irewallla.
siątkach tysięcy złotych). Tak więc klasyczne roz-
wiązanie z dyskowymi stacjami roboczymi (rów-
nież bez monitorów) pracującymi pod kontrolą
Windows XP ® lub Vista Professional ® oraz ser-
werami pracującymi pod kontrolą Windows 2003
Server ® wymaga przynajmniej dziesięciokrotnie
większego budżetu. Stosując opisane rozwiąza-
nie oszczędzamy ponad 35 000 PLN podnosząc
jednocześnie znacząco poziom bezpieczeństwa i
komfort administrowania siecią oraz obniżając
parametr TCO który określa pełne koszty utrzy-
mania, użytkowania i rozbudowy systemów in-
formatycznych.
• Hostname – nazwa hosta: np. merkury
– (nie używamy znaczących nazw np ire-
wall, DMZ, Fedora lub Samba) mała gorą-
ca planeta dobrze kojarzy się z irewallem,
nazwy zwierząt, kamieni i innych grup
przedmiotów są równie dobre;
• Domain – nazwa domeny: np. naszadome-
na (jeżeli mamy wykupioną nazwę dome-
nową wpisujemy ją w tym polu);
• Username – nazwa użytkownika: np. jas-
fasola, pilocik itp. (nie używamy popular-
nych imion i ników ze względu na ataki
słownikowe, używamy spolszczeń, zdrob-
nień i celowych błędów ortograicznych);
• Password – hasło tymczasowe tylko na
użytek następnego logowania;
• Password conirmation – potwierdzenie
hasła (najlepiej wpisać to samo co wyżej);
• WebGUI protocol – protokół interfejsu web
(koniguracji przez przeglądarkę): HTTPS;
• WebGUI port – port interfejsu graicznego
(HTTP to 80, 8080 to http proxy a 8090
jest łatwy do zapamiętania i raczej niewy-
korzystywany): 8090;
• Time zone – strefa czasowa: Europe/
Warsaw;
• NTP time serwer – Serwer czasu NTP:
ntp.task.gda.pl
.
Podsumowanie kosztów
Kosztorys zbudowany został w oparciu o ceny
sprzętu oferowanego na aukcjach internetowych
z ustaloną ceną (bez licytacji). Poza pozycją 1 i
3 (używane komputery na terminale i stacje ro-
bocze) wszystkie pozostałe produkty są nowe.
Uwaga: przedstawiona kalkulacja nie uwzględ-
nia kosztów przesyłki, robocizny oraz kosztu
monitorów niezbędnych do pracy stacji robo-
czych i terminali. Nowe 15”- 17” monitory LCD
(które w niskobudżetowych sieciach można za-
stąpić monitorami CRT lub używanymi LCD)
stanowią największą część kosztów, a duży roz-
rzut ich cen uniemożliwia osiągnięcie miarodaj-
nych wyników w kosztorysie całej sieci. Dodat-
kowo koszty wzrosną o ok 80 PLN na terminal/
stację roboczą jeżeli zdecydujemy się na wymia-
nę obudów na nowoczesne i estetyczne.
Koszt całkowity sprzętu wersji podstawo-
wej sieci to 4350 PLN z VAT + wartość monito-
rów, co daje 290 PLN + koszt wymienionych nie-
uwzględnionych elementów na jedno komputero-
we stanowisko pracy. Wszystkie przyszłe aktuali-
zacje są darmowe a administracja prostsza - czy-
li tańsza - niż w przypadku większości systemów
komercyjnych. Tak więc sieć charakteryzuje się
wyjątkowo niskim parametrem TCO (
Total Cost
of Ownership
– całkowite koszty posiadania). Na
uwagę zasługuje fakt, że kwota 290 PLN stanowi
ok. 20% ceny najtańszych stacji roboczych z li-
cencją na Windows w wersji OEM i jest dziesię-
ciokrotnie niższa od ceny przeciętnej stacji robo-
czej z licencją na Windows w wersji pudełkowej.
Stworzenie analogicznej sieci opartej na Win-
dows wymaga dodatkowo mocniejszych maszyn
oraz licencji na serwery (kwoty liczone w dzie-
W następnym numerze:
• Zainstalujemy i uruchomimy serwer
usług publicznych na bazie OpenBSD;
• Skonigurujemy jego doskonały irewall PF;
• Skonigurujemy serwer usługę www w taki
sposób, aby serwer mógł wyświetlać strony
dla różnych adresów i domen (Virtual Host);
• Skonigurujemy pocztę tak, aby mogła
przyjmować korespondencję dla różnych
użytkowników z różnych domen oraz iltro-
wać spam;
• Zmodyikujemy politykę bezpieczeństwa
irewalla tak aby był możliwy dostęp do
poczty i www od strony internetu.
i w kolejnych:
• Opis koniguracji opartego na Linuksie
serwera prywatnego;
• Opis koniguracji VPN i WiFi irewalla;
• Opis koniguracji stacji roboczych (Linux
i Windows XP Professional);
• Opis koniguracji opartej o Linuksa współ-
dzielonej stacji roboczej;
• Uruchomienie terminali graicznych;
• Tuning sieci;
• Klastry i wirtualizacja.
Po naciśnięciu przycisku
Save
i zrestartowaniu i-
rewalla możemy zalogować się do niego wpisując
w pasku adresu przeglądarki:
https://192.168.1.1:
8090
. Ostatnią czynnością będzie zmiana hasła.
Używamy tylko trudnych haseł: np.
2B|!2B@))*
- zmodyikowane „programistycznie” pierwsze
litery ze zdania
To be or not to be
+ 2008 z na-
pisane na klawiaturze alfanumerycznej z wciśnię-
tym klawiszem
shift
. Tego hasła proszę nie uży-
wać. Chodzą słuchy, że opublikowali go w jakiejś
popularnej gazecie linuksowej. Proszę traktować
je tylko jako wzór. Dwukrotna zmiana hasła w sy-
tuacji kiedy w streie LAN nie mamy jeszcze in-
nych komputerów, a od strefy WAN oddzieleni je-
steśmy skutecznym irewallem może być odczy-
tana jako nadmierna ostrożność, ale ma tę zaletę,
Po całkowitym wykonaniu i uruchomieniu sieci
w wersji podstawowej zajmiemy się jej tuningiem
optycznym: nie najmłodsze komputery pełniące
rolę graicznych terminali mogą wyglądać jak no-
woczesne stacje robocze; oraz funkcjonalnym: po-
zwolimy terminalom graicznym pracować bez-
przewodowo (zwłaszcza notebookom – w pozo-
stałych przypadkach musimy niestety pozostawić
przewód zasilający). Następnie podniesiemy po-
ziom bezpieczeństwa naszej sieci dodając punkty
kontroli bezpieczeństwa IPS. Dla bardziej wyma-
gających wszystkie serwery „wrzucimy” w jedną
zewnętrznie skalowalną super maszynę korzysta-
jąc z technologii klastrów i wirtualizacji. Brzmi
ciekawie? Zapraszam do przeczytania następnych
części w kolejnych numerach Linux+.
O autorze
Autor pracuje jako IT manager w irmie it5.pl, gdzie zajmuje się bezpieczeństwem infor-
matycznym i administrowaniem sieciami klientów. Szczególnym zainteresowaniem darzy
technologie wspomagające pracę zdalną.
Kontakt z autorem:
darek@it5.pl
70
styczeń 2008
Plik z chomika:
Kapy97
Inne pliki z tego folderu:
2007.06_Weryfikacja nadawcy–dylematy administratora_[Bezpieczenstwo].pdf
(753 KB)
2007.04_Qmail – nowoczesny serwer pocztowy_[Bezpieczenstwo].pdf
(670 KB)
2006.01_Analiza bezpieczeństwa komunikatora internetowego z wykorzystaniem platformy Linux_[Bezpieczenstwo].pdf
(427 KB)
2006.01_Bezpieczne sieci bezprzewodowe_[Bezpieczenstwo].pdf
(784 KB)
2005.01_Nessus – skaner bezpieczeństwa_[Bezpieczenstwo].pdf
(604 KB)
Inne foldery tego chomika:
Administracja
Aktualnosci
Audio
Bazy Danych
Biznes
Zgłoś jeśli
naruszono regulamin