2008.01_Kingsajz dla każdego_[Bezpieczenstwo].pdf

Bezpieczeństwo

Kingsajz dla każdego

Dariusz Czerwiński

Czy bezpieczeństwo informatyczne zarezerwowane jest dla wielkich i bogatych? Stwórz własnoręcznie

funkcjonalną i bezpieczną sieć dla piętnastu stanowisk. W artykule zajmiemy się budową taniej, funkcjonalnej

i bezpiecznej sieci komputerowej z dostępem do internetu, pocztą www, serwerem prywatnym i opcjonalnie

punktem dostępowym sieci bezprzewodowej (accesspoint). Projekt opisuje praktyczne, gotowe do użycia

rozwiązanie dla małej irmy ale łatwo jest go zaadaptować do innych zastosowań np. sieci szkolnej,

osiedlowej czy w administracji publicznej.

nego. Jedna z ciekawszych deinicji głosi, że bezpie-

czeństwo to nie produkt lecz stan i to stan nietrwa-

ły wymagający systematycznej dbałości i nakładów

w celu jego utrzymania. Zgadzam się z tą deinicją z jed-

nym zastrzeżeniem: tak naprawdę zniechęca ona do podej-

mowania jakichkolwiek kroków podnoszących poziom bez-

pieczeństwa organizacje dysponujące skromniejszym budże-

tem. Sugeruje, że bezpieczeństwo informatyczne dostępne

jest tylko dla wielkich i bogatych, których stać na permanent-

ne pompowanie dużych pieniędzy w najnowszy sprzęt, szko-

lenie administratorów, audyty bezpieczeństwa itp. Skutki ta-

kiego sposobu myślenia odbijają się na ogólnym bezpieczeń-

stwie Internetu. Ci którzy poszli tą drogą są dziś najprawdo-

podobniej oiarami ataków a ich komputery sieją spustosze-

nie w Sieci jako zdalnie sterowane boty – zombi.

Gdyby zapytać administratorów sieci lub wdrożeniow-

ców która cecha najbardziej dokucza im u użytkowników,

większość zapewne odpowiedziałaby, że jest to opór przed

nowym, który ma często swoje źródło w niechęci do ucze-

nia się. Zaskakujące jest to, że ta sama przypadłość doty-

czy również samych administratorów. Zapytani, czemu na

routerze/irewallu używają desktopowej dystrybucji Linuxa

lub co gorsza starej wersji Windows odpowiadają najczęściej

„bo znam”. Aby nie popełnić tak poważnego błędu w naszej

sieci stosować będziemy zasadę:

Narzędzia i systemy dobieramy stosownie do zadania jakie

mają pełnić .

Niniejszy cykl artykułów przeznaczony jest dla począt-

kujących i średnio zaawansowanych administratorów podej-

mujących się uruchomienia bezpiecznej, funkcjonalnej i ta-

niej jednocześnie heterogenicznej sieci lokalnej. Z tego po-

wodu przyjmujemy konwencję działania „krok po kroku” z

szerszym uzasadnieniem podejmowanych działań i opisem

potencjalnych problemów tak, aby nawet mniej doświadcze-

ni administratorzy mogli swobodnie poradzić sobie z osią-

gnięciem wyznaczonego celu.

Ograniczona ilość zaimków oraz możliwie proste kon-

strukcje językowe mogą negatywnie wpłynąć na formę tek-

stu, ale z pewnością pozwolą uniknąć wielu nieporozumień.

Sieć modelowa posiada możliwość uruchomienia publicz-

nych usług internetowych takich jak poczta czy serwer www

dla grupy użytkowników z wielu organizacji – możliwość

hostingu. W artykule szczegółowo zajmiemy się budową i

styczeń 2008

I stnieje wiele deinicji bezpieczeństwa informatycz-

Bezpieczeństwo

Kingsajz dla każdego

uruchomieniem całej wielostrefowej sieci skła-

dającej sie w wersji podstawowej z następują-

cych elementów:

+ karta CF > 512 MB dla serwerów

publicznych ze statycznymi strona-

mi www lub dysk twardy > 10 GB

dla serwerów publicznych z PHP/

MySQL: 25 PLN.

• Łącze internetowe najlepiej ze stałym ad-

resem IP.

• Opcjonalnie wykupiona nazwa domenowa

organizacji.

• Artykuły Linux+.

ni lub pomieszczeniu ze sprzętem muzycznym

polecam obniżenie prędkości obrotowej wenty-

latora zasilacza przez obniżenie jego napięcia

zasilania z +12V do +5V co uczyni maszynę

niemal bezszelestną lub zastosowanie zasilaczy

zewnętrznych tak jak w notebookach.

Uwaga! Modyikacja zasilacza grozi pora-

żeniem prądem. Autor ani Redakcja nie ponosi

odpowiedzialności za ewentualne szkody wy-

nikłe z samodzielnej modyikacji sprzętu oraz

inne szkody mogące powstać w wyniku stoso-

wania rad zawartych w artykule.

Omówienia wymaga wybór konkretne-

go modelu sprzętu. Wśród markowych mode-

li proponowanych na aukcjach pojawiają się

dwa problemy uniemożliwiające łatwą wy-

mianę obudowy. Po pierwsze część płyt głów-

nych projektowana jest pod specjalne obudowy

(np. slim) i rozkład wyjść płyty głównej nie jest

zgodny ze standardem ATX, po drugie spora

część markowych komputerów ma nietypowe

zasilacze których nie da się wymienić na zasi-

lacze ATX a zamontowanie zasilaczy zakupio-

nych z komputerem w standardowej obudowie

ATX wymaga dużego wysiłku często z obrób-

ką metalu włącznie. Ponadto część markowych

komputerów nie staruje się bez podłączonej

klawiatury. Zaletą markowych modeli jest na-

tomiast duża dostępność pozwalająca na zakup

całej serii identycznych maszyn, solidne wyko-

nanie oraz niewiarygodnie niska cena.

Komentarza wymaga również przejściów-

ka CF-IDE. Jest to prosta płytka drukowana z

gniazdem (czasem dwoma) dla kart CF oraz

gniazdem IDE (do podłączenia w miejsce dys-

ku na płycie głównej) dostępna na aukcjach za

kwotę rzędu 25 PLN. Umożliwia ona wykorzy-

stanie karty Compact Flash jako dysku twarde-

• Firewall/Router/NAT/DHCP/VPN (opcjo-

nalnie accesspoint) – zwany dalej w skró-

cie irewall;

• Serwer usług publicznych;

• Serwer usług prywatnych;

• Stacje robocze;

• Współdzielona stacja robocza;

• Graiczne terminale;

• 2 x switch;

• Okablowanie.

Czemu takie słabe serwery? Ponieważ silniej-

sze nie są potrzebne, dla łączy internetowych

o przepustowości pojedynczych megabitów na

sekundę procesor 266 MHz w irewallu jest i

tak zbyt wydajny. Niska wydajność procesorów

paradoksalnie może być czynnikiem zwiększa-

jącym bezpieczeństwo, ponieważ prawie unie-

możliwia skuteczne łamanie haseł i kompila-

cję dużych narzędzi na takiej maszynie. Ser-

wer prywatny też nie ma zbyt wiele pracy do-

póki nie włożymy do niego macierzy dysków

software raid5. Terminale graiczne działają

poprawnie nawet na maszynach klasy 486 ale

ze względu na konieczność obsługi graiki 2D

Xserwera sugeruję maszyny z dobrą kartą gra-

iczną PCI lub lepiej kartą AGP. Dodatkową za-

letą słabych maszyn jest brak wentylatora na

procesorze i chipsecie płyty głównej. Wyelimi-

nowanie dysków twardych oraz dwóch z trzech

wentylatorów znacząco podwyższa stopień

niezawodności maszyny. Mamy do czynienia

ze sprzętem stricte elektronicznym – w któ-

rym (prawie) nic na stałe się nie kręci, więc się

nie zużywa i nie hałasuje. Maszyna taka posia-

da jedyny wentylator w zasilaczu, dzięki czemu

komputer jest prawie bezgłośny. Dla osób które

są skazane na umieszczenie maszyn w sypial-

Przygotownie infrastruktury

• Sprzęt dla całej sieci: 4350 PLN(zawiera

VAT):

• Terminale i serwer publiczny: 15 ta-

nich komputerów PC klasy Pentium II

64 MB RAM (min 128 MB na serwer

publiczny) z CDROM i FDD: 40 PLN

x 15 = 600 PLN;

• Współdzielona stacja robocza: naj-

mocniejsza maszyna na jaką można

sobie pozwolić z dużą ilością RAM

(zalecane 8 GB) i silnym procesorem

(najlepiej dwurdzeniowy AMD 64) i

nagrywarką DVD lub lepiej Blu-ray:

Od 1500 PLN wzwyż;

• Stacje robocze i serwer prywatny: 3

komputery klasy PC Pentium III 933

Mhz 256 MB RAM lub lepsze: 3 x 80

PLN = 240 PLN;

• Dysk twardy IDE > 300GB: 300 PLN;

• Klawiatura + mysz: 15 x 20 PLN =

300 PLN;

• Switch nr 1 – 5 lub więcej portów 1

Gb: 80 PLN;

• Switch nr 2 – 16 lub więcej portów

100 Mb: 150 PLN;

• 20 kabelków sieciowych prostych

10m: 20 x 10PLN = 200 PLN;

• 2 kabelki sieciowe skrosowane: 2 x

3,5 PLN = 7 PLN;

• 3 karty sieciowe 100 Mb: 3 x 11 = 33

PLN;

• 1 karta sieciowa 1000Mb: 50 PLN;

• UPS > = 2000 VA (współdzielony

przez serwery): 700 PLN;

• Dwie sformatowane dyskietki 3,5”

1,44 MB (pudełko 10 szt): 5 PLN;

• Opcjonalnie accesspoint lub karta sie-

ci bezprzewodowej najlepiej na chip-

secie Atheros lub innym obsługiwa-

nym przez FreeBSD: 160 PLN;

• Opcjonalnie przejściówka CF-IDE

Rysunek 1. Zrzut ekranu-m0n0wall.local - m0n0wall webGUI - Mozilla Firefox

www.lpmagazine.org

Bezpieczeństwo

Kingsajz dla każdego

go. W naszej sieci użyjemy jej w serwerze

publicznym. Ze względu na ograniczoną po-

jemność i transfer (nie udało mi się urucho-

mić na przejściówce najszybszych z dostęp-

nych na rynku kart CF) polecam ją do ser-

werów bez obsługi baz danych i PHP. Kar-

ta o pojemności 1 GB w zupełności wystar-

cza, 512 MB jest minimalnie za mała ale przy

odrobinie samozaparcia da się ją zmusić do

współpracy. Jeżeli zamierzamy na naszym

serwerze publicznym uruchomić strony dy-

namiczne oparte o serwer bazy danych i PHP

proponuję zainwestować w mocniejszą ma-

szynę z większą ilością pamięci RAM i szyb-

kim dyskiem SATA.

terfejsów (numer wewnętrzny). Najbardziej

popularnym i często stosowanym przez po-

czątkujących administratorów rozwiązaniem

jest wykorzystanie na irewall jednej z popu-

larnych dystrybucji Linuxa. Pierwsze miej-

sca na www.distrowatch.com od dawna oku-

pują Ubuntu, Fedora i OpenSuse itp. Nieste-

ty wybór tych dystrybucji na irewall jest czę-

sto obarczony omówionym wyżej błędem „bo

znam”. Dystrybucje desktopowe to konstruk-

cje „wszystko w jednym” nastawione na mak-

symalną funkcjonalność stacji roboczej. Insta-

lacja zawiera domyślnie zainstalowaną dużą

liczbę pakietów, które nigdy nie będą wyko-

rzystane w irewallu a już sam fakt ich istnie-

nia w systemie stanowi potencjalne zagroże-

nie dla jego bezpieczeństwa. Istnieją wpraw-

dzie specjalizowane wersje wymienionych

dystrybucji które lepiej nadają się do tego celu

(np. Ubuntu Server itp.) ale nie są one wystar-

czająco bezpieczne dla wymagań stawianych

maszynie irewall. Z tego powodu nasz wybór

padł na m0n0 ( www.m0n0.ch ). Jest to specja-

lizowany system operacyjny z funkcjami ire-

walla oparta o zmodyikowaną (mocno okro-

joną) wersję FreeBSD zarządzaną, jak więk-

szość rozwiązań sprzętowych tego typu, z po-

ziomu przeglądarki internetowej. Z naszego

punktu widzenia ma same zalety:

• Jest darmowa i ma otwarty kod! – podzię-

kowania dla autora: Manuel Kasper

• Bardzo mała – aktualna wersja ma 5,76

MB! Niewielka ilość kodu jest łatwa do

debugowania i audytu co jest niezwykle

istotne z punktu widzenia bezpieczeń-

stwa.

• Jest dojrzała, stabilna i sprawdzona w

warunkach produkcyjnych. Zawiera

wszystko czego oczekujemy (irewall,

VPN, QoS, podstawowe narządziła dia-

gnostyczne, graiczne wykresy ruchu sie-

ciowego oraz w specjalnej wersji – a roz-

wijanej na innej gałęzi jądra FreeBSD

– funkcjonalność accesspointa sieci bez-

przewodowej. Uwaga! wersja z obsłu-

gą nowych kart WiFi oznaczona jest jako

beta – niestabilna)

• Zarządzana przez przeglądarkę www – nie

trzeba być doświadczonym administrato-

rem FreeBSD, żeby skorzystać z jej zalet

• Ma niewielkie wymagania sprzętowe

Wybór i pozyskanie

systemów operacyjnych

Firewall jest „sercem” sieci. To on jest w naj-

większym stopniu odpowiedzialny za realiza-

cję polityki bezpieczeństwa – czyli reguł okre-

ślających co komu wolno, a co jest zabronio-

ne. Firewall to w uproszczeniu urządzenie o

funkcji podobnej do pracy telefonistki-sekre-

tarki. Badając źródłowy adres IP oraz port źró-

dła (kto dzwoni) oraz docelowy adres IP i port

(do kogo dzwoni) porównuje je z ustalonymi

regułami irewalla i decyduje czy połączenie

odrzucić czy skierować go do jednego z in-

Jeżeli posiadamy już wymieniony sprzęt podłą-

czamy stację roboczą wyposażoną w nagrywar-

kę do łącza internetowego i ściągamy najnow-

szą wersję m0n0 z polskiego serwera lustrza-

nego strony domowej projektu: http://m0n0.ch/

wall/download.php?get=cdrom-1.231.iso-

Rysunek 2. Koniguracja-m0n0wall.local – System General setup

styczeń 2008

Bezpieczeństwo

Kingsajz dla każdego

&mirror=52 a następnie wypalamy ściągnięty

obraz na płytce CD. Inne systemy operacyjne

dla serwerów i stacji roboczych będziemy ścią-

gać tuż przez instalacją (najnowsze wersje) już

z wewnątrz naszej sieci.

System zapyta nas o VLANy których nie

chcemy konigurować i następnie wyświetli

listę znalezionych kart sieciowych wraz z in-

formacją o jej aktywności (up). Aby irewall

działał poprawnie należy przypisać karty

LAN (połączenie ze switch 1) i WAN (połą-

czenie z internetem). Uwaga! Nazwy kart w

FreeBSD (w przeciwieństwie do Linuxa) za-

leżą od producenta chipsetu tak więc pierw-

sza karta na chipsecie Realtek nazywać się

będzie rl0. W przypadku problemów z iden-

tyikacją kart proponuję deiniować je na ra-

ty wkładając na początku tylko jeden kabe-

lek (np LAN) i obserwując status up . Po

koniguracji interfejsów system się zrestar-

tuje. Możemy wykorzystać ten moment do

odłączenia monitora i klawiatury. Jeżeli po

tej operacji system nie wystartuje popraw-

nie najprawdopodobniej będziemy musieli

zostawić klawiaturę wpiętą na stałe. Nale-

ży zabezpieczyć ją przez możliwością przy-

padkowego wciskania się klawiszy oraz do-

stępem osób niepowołanych.

korzystania z internetu. Jeżeli jest inaczej na-

leży sprawdzić:

• Czy irewall ma dostęp do internetu. Moż-

na to sprawdzić korzystając narzędzi ping

i traceroute irewalla (dostępnych zarówno

z konsoli jak i przeglądarki). Niektórzy do-

stawcy usług internetowych blokują MAC

adresy nieznanych kart sieciowych, więc

podłączając nowe urządzenie trzeba je za-

rejestrować u swojego dostawcy internetu.

• Czy komputery w streie LAN mają włą-

czoną automatyczną konigurację sieci

– DHCP. Najprostszy test to uruchomienie

maszyny z LiveCD (Ubuntu, Knoppix itp.)

które mają domyślnie włączoną konigura-

cję sieci z serwera DHCP.

• Czy sprzęt jest sprawny i poprawnie

zmontowany (najczęstszym problemem

są uszkodzone lub niepoprawnie zarobio-

ne kable sieciowe lub niedopchnięte karty

sieciowe PCI).

Przygotowanie sprzętu

Komputerowi przeznaczonemu na irewall

chirurgicznie usuwamy dysk twardy a w

biosie płyty głównej ustawiamy bootowa-

nie komputera z napędu CD. Istnieje moż-

liwość instalacji m0n0 na karcie CF > 4 MB

ale rozwiązanie takie ma poważną wadę: w

przypadku udanego ataku nie możemy mieć

pewności, że najbardziej istotne z punktu

widzenia bezpieczeństwa, pliki nie zosta-

ły zmodyikowane. Pewność taką daje za-

stosowanie m0n0 uruchamianego z płytki

CD czytanej przez zwykły napęd CD (nie

nagrywarkę). Dostęp do plików systemo-

wych oraz do pliku koniguracji przecho-

wywanego na mechanicznie (zasuwką) za-

bezpieczonej dyskietce jest tylko do odczy-

tu poza przypadkami modyikacji konigura-

cji. W przypadku udanego ataku na sieć mo-

żemy skupić się na serwerach. Firewall wy-

starczy zrestartować uprzednio kopiując lo-

gi. Wprawdzie samo uruchomienie maszyny

z płyty CD generuje pewien hałas, ale po za-

kończeniu ładowania systemu i zatrzymaniu

płyty system się wycisza. Bez żalu więc po-

zbywamy się dysku twardego. W wolnych

slotach PCI instalujemy dwie karty siecio-

we 100 Mb, trzecią WiFi lub kolejną prze-

wodową dla accesspointa (więcej o WiFi

w następnej części artykułu). Po tych ope-

racjach powinniśmy dysponować sprzętem

bez dysku twardego za to wyposażonym w

cztery (licząc tę wybudowaną w płytę głów-

ną) karty sieciowe napęd CD i FDD. Na-

stępnie umieszczamy w napędzie CD wypa-

loną płytkę z m0n0 a czystą sformatowaną

(format DOS) dyskietkę instalujemy w na-

pędzie dyskietek. Podłączamy klawiaturę i

monitor, podłączamy kabelek z internetem

do wbudowanej w płytę główną karty sie-

ciowej a innym kabelkiem łączymy dowol-

ną kartę sieciową PCI ze switch 1. Podłącza-

my zasilanie z UPSa i uruchamiamy kom-

puter. Warto trwale oznaczać kabelki i kar-

ty sieciowe żeby nie tracić czasu na poszu-

kiwania właściwej kombinacji kabel – karta

w przyszłości.

Koniguracja przez przeglądarkę

Sieć (strefa LAN i WAN) powinna już dzia-

łać i komputery podłączone do switch 1 z

ustawioną opcją automatycznej koniguracji

sieci (DHCP) powinny już mieć możliwość

Jeżeli mamy dostęp do internetu z poziomu

komputera podłączonego do switch 1, urucha-

miamy przeglądarkę i wpisujemy adres http:

//192.168.1.1 Po podaniu nazwy domyślnego

użytkownika ( admin ) i jego domyślnego hasła

( mono ) dostajemy się po raz pierwszy do kon-

��

Koniguracja interfejsów

Przy pierwszym uruchomieniu z poziomu lo-

kalnej konsoli należy zdeiniować interfejsy

sieciowe wybierając z menu: Interfaces: As-

sign network ports

��

Rysunek 3. Strefa sieci LAN i WAN

www.lpmagazine.org

Bezpieczeństwo

Kingsajz dla każdego

iguracji naszego irewalla. Na początku warto

wykonać kilka zabiegów podnoszących bezpie-

czeństwo. W zakładce General setup zmieniamy

wartości w następujących polach (Rysunek 2.):

że wyrabia w nas dobre nastawienie dbania o bez-

pieczeństwo. Nawyki takie są niezwykle pomoc-

ne w sytuacji kiedy będziemy działać w pośpie-

chu i „automatycznie”. Po wykonaniu powyż-

szych czynności nasza sieć jest gotowa do pra-

cy. Na tym etapie stworzyliśmy sieć dwustrefo-

wą (Rysunek 3) strefy internetu (WAN) oraz sie-

ci lokalnej (LAN). Domyślne ustawienia reguł i-

rewalla pozwalają na przepływ pakietów między

strefami umożliwiający korzystanie z internetu

komputerom w LAN. Następne części artykułu

pozwolą nam stworzyć kolejne strefy i określić

dla nich reguły irewallla.

siątkach tysięcy złotych). Tak więc klasyczne roz-

wiązanie z dyskowymi stacjami roboczymi (rów-

nież bez monitorów) pracującymi pod kontrolą

Windows XP ® lub Vista Professional ® oraz ser-

werami pracującymi pod kontrolą Windows 2003

Server ® wymaga przynajmniej dziesięciokrotnie

większego budżetu. Stosując opisane rozwiąza-

nie oszczędzamy ponad 35 000 PLN podnosząc

jednocześnie znacząco poziom bezpieczeństwa i

komfort administrowania siecią oraz obniżając

parametr TCO który określa pełne koszty utrzy-

mania, użytkowania i rozbudowy systemów in-

formatycznych.

• Hostname – nazwa hosta: np. merkury

– (nie używamy znaczących nazw np ire-

wall, DMZ, Fedora lub Samba) mała gorą-

ca planeta dobrze kojarzy się z irewallem,

nazwy zwierząt, kamieni i innych grup

przedmiotów są równie dobre;

• Domain – nazwa domeny: np. naszadome-

na (jeżeli mamy wykupioną nazwę dome-

nową wpisujemy ją w tym polu);

• Username – nazwa użytkownika: np. jas-

fasola, pilocik itp. (nie używamy popular-

nych imion i ników ze względu na ataki

słownikowe, używamy spolszczeń, zdrob-

nień i celowych błędów ortograicznych);

• Password – hasło tymczasowe tylko na

użytek następnego logowania;

• Password conirmation – potwierdzenie

hasła (najlepiej wpisać to samo co wyżej);

• WebGUI protocol – protokół interfejsu web

(koniguracji przez przeglądarkę): HTTPS;

• WebGUI port – port interfejsu graicznego

(HTTP to 80, 8080 to http proxy a 8090

jest łatwy do zapamiętania i raczej niewy-

korzystywany): 8090;

• Time zone – strefa czasowa: Europe/

Warsaw;

• NTP time serwer – Serwer czasu NTP:

ntp.task.gda.pl .

Podsumowanie kosztów

Kosztorys zbudowany został w oparciu o ceny

sprzętu oferowanego na aukcjach internetowych

z ustaloną ceną (bez licytacji). Poza pozycją 1 i

3 (używane komputery na terminale i stacje ro-

bocze) wszystkie pozostałe produkty są nowe.

Uwaga: przedstawiona kalkulacja nie uwzględ-

nia kosztów przesyłki, robocizny oraz kosztu

monitorów niezbędnych do pracy stacji robo-

czych i terminali. Nowe 15”- 17” monitory LCD

(które w niskobudżetowych sieciach można za-

stąpić monitorami CRT lub używanymi LCD)

stanowią największą część kosztów, a duży roz-

rzut ich cen uniemożliwia osiągnięcie miarodaj-

nych wyników w kosztorysie całej sieci. Dodat-

kowo koszty wzrosną o ok 80 PLN na terminal/

stację roboczą jeżeli zdecydujemy się na wymia-

nę obudów na nowoczesne i estetyczne.

Koszt całkowity sprzętu wersji podstawo-

wej sieci to 4350 PLN z VAT + wartość monito-

rów, co daje 290 PLN + koszt wymienionych nie-

uwzględnionych elementów na jedno komputero-

we stanowisko pracy. Wszystkie przyszłe aktuali-

zacje są darmowe a administracja prostsza - czy-

li tańsza - niż w przypadku większości systemów

komercyjnych. Tak więc sieć charakteryzuje się

wyjątkowo niskim parametrem TCO ( Total Cost

of Ownership – całkowite koszty posiadania). Na

uwagę zasługuje fakt, że kwota 290 PLN stanowi

ok. 20% ceny najtańszych stacji roboczych z li-

cencją na Windows w wersji OEM i jest dziesię-

ciokrotnie niższa od ceny przeciętnej stacji robo-

czej z licencją na Windows w wersji pudełkowej.

Stworzenie analogicznej sieci opartej na Win-

dows wymaga dodatkowo mocniejszych maszyn

oraz licencji na serwery (kwoty liczone w dzie-

W następnym numerze:

• Zainstalujemy i uruchomimy serwer

usług publicznych na bazie OpenBSD;

• Skonigurujemy jego doskonały irewall PF;

• Skonigurujemy serwer usługę www w taki

sposób, aby serwer mógł wyświetlać strony

dla różnych adresów i domen (Virtual Host);

• Skonigurujemy pocztę tak, aby mogła

przyjmować korespondencję dla różnych

użytkowników z różnych domen oraz iltro-

wać spam;

• Zmodyikujemy politykę bezpieczeństwa

irewalla tak aby był możliwy dostęp do

poczty i www od strony internetu.

i w kolejnych:

• Opis koniguracji opartego na Linuksie

serwera prywatnego;

• Opis koniguracji VPN i WiFi irewalla;

• Opis koniguracji stacji roboczych (Linux

i Windows XP Professional);

• Opis koniguracji opartej o Linuksa współ-

dzielonej stacji roboczej;

• Uruchomienie terminali graicznych;

• Tuning sieci;

• Klastry i wirtualizacja.

Po naciśnięciu przycisku Save i zrestartowaniu i-

rewalla możemy zalogować się do niego wpisując

w pasku adresu przeglądarki: https://192.168.1.1:

8090 . Ostatnią czynnością będzie zmiana hasła.

Używamy tylko trudnych haseł: np. 2B|!2B@))*

- zmodyikowane „programistycznie” pierwsze

litery ze zdania To be or not to be + 2008 z na-

pisane na klawiaturze alfanumerycznej z wciśnię-

tym klawiszem shift . Tego hasła proszę nie uży-

wać. Chodzą słuchy, że opublikowali go w jakiejś

popularnej gazecie linuksowej. Proszę traktować

je tylko jako wzór. Dwukrotna zmiana hasła w sy-

tuacji kiedy w streie LAN nie mamy jeszcze in-

nych komputerów, a od strefy WAN oddzieleni je-

steśmy skutecznym irewallem może być odczy-

tana jako nadmierna ostrożność, ale ma tę zaletę,

Po całkowitym wykonaniu i uruchomieniu sieci

w wersji podstawowej zajmiemy się jej tuningiem

optycznym: nie najmłodsze komputery pełniące

rolę graicznych terminali mogą wyglądać jak no-

woczesne stacje robocze; oraz funkcjonalnym: po-

zwolimy terminalom graicznym pracować bez-

przewodowo (zwłaszcza notebookom – w pozo-

stałych przypadkach musimy niestety pozostawić

przewód zasilający). Następnie podniesiemy po-

ziom bezpieczeństwa naszej sieci dodając punkty

kontroli bezpieczeństwa IPS. Dla bardziej wyma-

gających wszystkie serwery „wrzucimy” w jedną

zewnętrznie skalowalną super maszynę korzysta-

jąc z technologii klastrów i wirtualizacji. Brzmi

ciekawie? Zapraszam do przeczytania następnych

części w kolejnych numerach Linux+.

O autorze

Autor pracuje jako IT manager w irmie it5.pl, gdzie zajmuje się bezpieczeństwem infor-

matycznym i administrowaniem sieciami klientów. Szczególnym zainteresowaniem darzy

technologie wspomagające pracę zdalną.

Kontakt z autorem: darek@it5.pl

styczeń 2008

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: