2.2 Защита пограничного хоста

Необходимо установить межсетевой экран и настроить таблицы маршрутизации, чтобы защитить внутреннюю сеть от Интернет, и чтобы ликвидировать возможность выхода пакетов локальной сети вовне. Для создания фаервольных правил имеет смысл использовать автоматический генератор скриптов, например скрипт ICEBERG. Результат его работы легко изменять и настраивать.

Несмотря на то, что мы собираемся использовать сервер локального провайдера для хостирования записи доменного имени, необходим свой кэширующий сервер имен. При настройке использовались следующие конфигурационные файлы:

• /etc/named.boot;

• /etc/named.conf;

• /var/named/named.ca;

• /var/named/named.local;

• /var/named/named.knauf.ru;

• /var/named/named. knauf.net;

• /var/named/named.rev.3;

• /var/named/named.rev.2.

Связывание имени домена с пограничным хостом

К этому моменту web сервер еще не должен работать. Для его запуска добавляем в файл /etc/httpd/conf/httpd.conf следующие строки:

• ServerName www.knauf.ru (для пограничного хоста)

• ServerName www. knauf.net (для внутреннего сервера)

Когда web-сервера запущены на обоих серверах, необходимо выбрать, кто будет поддерживать сервис DNS. Решено было использовать сервис провайдера на www.ttn.ru. Они предлагают сервис, как для динамических, так и для статических I.P. адресов.

После настройки учетной записи в DNS на узле ttn.ru, поменяем настройку DNS на обоих серверах на сервер предоставленный ttn.ru. Может понадобиться некоторое время, пока обновиться система DNS.

Теперь все запросы к www.knauf.ru будут пересылаться пограничному хосту.

Машина, подключенная с помощью ADSL модема, обеспечивает общий доступ к ресурсам. Это означает что, кто угодно, откуда угодно может получить к нему доступ. Необходимо принять меры безопасности. Были указаны следующие правила в файлах /etc/hosts.allow и /etc/hosts.deny:

/etc/hosts.allow

ALL: 127.0.0.1

in.telnetd: 192.168.2.2

in.ftpd: 192.168.2.2

sshd: 192.168.2.2 203.xxx.xxx.xxx

/etc/hosts.deny

ALL: ALL: spawn (echo Попытка доступа с %h %a to %d at `date`|tee

-a /xxx/xxx/tcp.deny.log | mail admin@knauf.ru )

Как видно из вышеприведенных конфигурационных файлов, все машины из внутренней сети могут соединяться по протоколам telnet, ftp, ssh и sftp с gjuhfybxysv хостом. Адрес 203.xxx.xxx.xxx - это I.P. адрес удалённой офисной машины, которой разрешено подключаться по ssh и обмениваться файлами при помощи sftp. Доступ по протоколам telnet и ftp к пограничному хосту из вне всегда запрещен. Это связано с тем, что имя пользователя и пароль передаются в незашифрованном виде. Как следствие эта пара может быть легко перехвачена хакерами. HTTPD не включен в конфигурацию, потому что он не контролируется демоном INETD.

Из внутренней сети к пограничному хосту можно подсоединятся по протоколам Telnet и FTP. Для соединения из внешней сети необходимо использовать SSH.

2.3 Настройка внутреннего сервера

Для того, чтобы защитить внутреннюю сеть, был запрещён любой доступ из внешней сети к машинам моей внутренней сети:

/etc/hosts.allow

ALL: LOCAL 192.168.1.2 192.168.1.7

/etc/hosts.deny

ALL: ALL : spawn (echo Попытка доступа с машиныh %a к %d `date` |

tee -a /xxx/xxx/tcp.deny.log | mail admin@knauf.ru )

В случае какой-либо попытки доступа к моим внутренним машинам, администратору будет отправлена электронная почта.

Все внутренние машины имеют свое имя. Необходимо установить внутренний DNS сервер. Для настройки DNS сервера обращаемся к тем же самым конфигурационным файлам, что и для внешнего сервера.

На Web-сервере необходимо предусмотреть возможность создания поддоменов [5]. Для этого надо добавить следующие строки в файл /etc/httpd/conf/httpd.conf:

RewriteEngine on

## Игнорировать www.knauf.ru

RewriteCond %{HTTP_HOST} !^www\.knauf\.ru [NC]

## Каталог с именем "поддомен" должен существовать

RewriteCond %{DOCUMENT_ROOT}/%1 -d

## Добавить затребованный "поддомен" в URL

## [C] означает, что следующее правило Rewrite будет использовать это

RewriteRule ^(.+) %{HTTP_HOST}/$1 [C]

## Перевести abc.knauf.ru/foo в knauf.ru/abc/foo

RewriteRule ^([a-z-]+)\.knauf\.ru/?(.*)$

http://www.knauf.ru/$1/$2 [L]

Другие конфигурационные файлы

/etc/hosts (пограничный хост)

127.0.0.1 localhost.localdomain localhost

192.168.2.1 router.myhome.net router

192.168.2.2 gateway.myhome.net gateway

202.xxx.xxx.xxx www.knauf.ru www

/etc/hosts (внутренний шлюз)

127.0.0.1 localhost.localdomain localhost

192.168.1.1 server.myhome.net server

192.168.1.2 devel.myhome.net devel

192.168.1.3 php.myhome.net php

192.168.1.4 asp.myhome.net asp

192.168.1.7 be.myhome.net be

192.168.2.1 router.myhome.net router

192.168.2.2 gateway.myhome.net gateway

/etc/resolv.conf (пограничный хост)

search knauf.ru nameserver 127.0.0.1

/etc/resolv.conf (внутренний шлюз)

search myhome.net nameserver 127.0.0.1