Configurararea Si Securizarea Unei Retele de Calculatoare cu Server Web

Cuprins

Capitolul 1 – Descrierea și schița rețelei

Capitolul 2 – Configurarea rețelei și a elementelor sale componente

Capitolul 3 – Securizarea rețelei și a serverului WEB

Capitolul 4 – Administrarea și monitorizarea rețelei

Capitolul 5 – Bibliografie

Capitolul 1 – Descrierea și schița rețelei

Configurarea și realizarea unei rețele ce deservește un server web presupune realizarea acesteia în așa fel încât viteza de răspuns și securitatea transmiterii înformațiilor între server și client sunt printre principalii factori de care trebuie să ținem seama.

Considerăm următoarea configurație de rețea:

R1, R2 – routere Cisco C3700

SW1, SW2 și SW3 – switch-uri Cisco 3400 ME

Client1,2,3,4,5 – 5 calculatoare client cu sistem de operare Windows

C1 și C2 – doi nori de cloud (puși în această configurație în pur scop demonstrativ. Ele pot conține calculatoare, servere, imprimate configurate cu IP, etc)

SERVER_WEB – un server configurat cu Red Hat Linux si folosit ca si server web ce servește o pagina web clienților din rețea.

Mai jos găsim toate componentele ce intră în alcătuirea acestei rețele plus schema topologiei ( Fig. 1.1).

Fig . 1.1

Capitolul 2 – Configurarea rețelei și a elementelor sale componente

Detalii de implementare la nivel fizic

Între switch-uri si routere am folosit cabluri de tip UTP Crossover (încrucișat) împreună cu mufe RJ45

Între clienți și switch-uri am folosit cabluri de tip UTP Straight (direct) împreună cu mufe RJ45

Între serverul web si switch am folosit cablu UTP Straight (direct) împreună cu mufe RJ45

Serverul WEB este instalat într-un RACK ce este alimentat printr-un UPS pentru a putea rămâne în funcțiune în eventualitatea unei pene de curent.

Toate echipamentele de rețea (switch-uri și routere) sunt alimentate prin UPS asigurând astfel funcționarea în caz de întrerupere a curentului electric.

Detalii implementare la nivel logic (configurarea echipamentelor de rețea și a serverului WEB)

Switch-urile SW1, SW2 și SW3 nu necesită nicio configurare software specială.

Cele 3 calculatoare clienți (Client1,2,3) vor fi instalate cu Windows 8. Setările de rețea pentru ele vor fi făcute în așa fel încăt ele își vor obține IP-ul, netmask-ul, gateway-ul și serverul de DNS de la serverul de DHCP configurat pe routerul R1. (obtain IP automatically).

Cele 2 calculatoare (Client4,5) vor fi instalate cu Windows 8 și vor avea setările de rețea configurate manual (IP-uri din clasa 10.0.2.0/24, gateway 10.0.2.1 si server DNS 8.8.8.8).

Routerul R1 va fi configurat ca și server DHCP pentru rețeaua 10.0.0.0/24. De asemenea va avea configurate două rute speciale care vor permite comunicarea între rețelele 10.0.0.0/24 și 10.0.1.0/24 și 10.0.2.0/24. Mai jos este codul de configurare îm sistemul de operare IOS pentru acest router:

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

memory-size iomem 5

no ip icmp rate-limit unreachable

ip cef

ip tcp synwait-time 5

!

!

no ip dhcp use vrf connected

ip dhcp excluded-address 10.0.0.1 10.0.0.50

!

ip dhcp pool RCPOOL

network 10.0.0.0 255.255.255.0

default-router 10.0.0.1

dns-server 8.8.8.8

!

!

no ip domain lookup

!

!

interface FastEthernet0/0

ip address 10.0.1.1 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.0.1 255.255.255.0

duplex auto

speed auto

!

ip route 10.0.1.0 255.255.255.0 10.0.1.2

ip route 10.0.2.0 255.255.255.0 10.0.1.2

!

!

no ip http server

no ip http secure-server

!

control-plane

!

line con 0

exec-timeout 0 0

privilege level 15

logging synchronous

line aux 0

exec-timeout 0 0

privilege level 15

logging synchronous

line vty 0 4

login

!

!

end

Router-ul R2 va fi configurat ca și server DHCP pentru rețeaua 10.0.2.0/24 având o rută special configurată spre rețeaua 10.0.0.0/24.

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname R2

!

boot-start-marker

boot-end-marker

no aaa new-model

memory-size iomem 5

no ip icmp rate-limit unreachable

ip cef

ip tcp synwait-time 5

no ip dhcp use vrf connected

ip dhcp excluded-address 10.0.2.1 10.0.2.80

!

ip dhcp pool Ilie2

network 10.0.2.0 255.255.255.0

default-router 10.0.2.1

dns-server 8.8.8.8

no ip domain lookup

interface FastEthernet0/0

ip address 10.0.1.2 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.2.1 255.255.255.0

duplex auto

speed auto

!

ip route 10.0.0.0 255.255.255.0 10.0.1.1

no ip http server

no ip http secure-server

control-plane

line con 0

exec-timeout 0 0

privilege level 15

logging synchronous

line aux 0

exec-timeout 0 0

privilege level 15

logging synchronous

line vty 0 4

login

end

Serverul WEB va fi instalat cu sistemul de operare Redhat Linux 6.3 pe 64 de biți (x64) și va avea configurat pe el un server Apache (web) care va servi o pagină web clienților din rețea de fiecare dată când aceștia o vor accesa.

Serverul WEB Apache are trei fișiere importante care trebuiesc configurate: access.conf, httpd.conf și srm.conf. Protocoalele sender-server și receiver-server vor fi HTTP (80) și HTTPS (443).

Facem următoarele modificări în ele:

În access.conf introducem

<Directory /httpd/html>

<Directory /httpd/cgi-bin>

În httpd.conf introducem

ServerRoot /httpd

În srm.conf introducem

DocumentRoot /httpd/html

Alias /icons/ /httpd/icons/

ScriptAlias /cgi-bin/ /httpd/cgi-bin/

După ce facem modificările de mai sus pornim serverul WEB, bineînțeles instalând anterior si rpm-ul pentru httpd.

Capitolul 3 – Securizarea rețelei și a serverului WEB

Cei 5 clienți Windows 8 vor avea instalat ca și antivirus AVG Internet Security. Se configurează și pornește modulul de Firewall inclusiv pentru sharingul de rețea. Se poate opta pentru configurarea firewall-ului în mod implicit sau mod customizat, configurându-se reguli speciale pentru fiecare aplicație în parte.

Se pornește de asemena modulul de AntiVirus si Web Protection. Cel din urmă va scana fiecare link accesat in browserele clienților.

Setăm de asemenea o perioadă de o săptămână pentru update-ul semnăturilor diverșilor virusi descoperiți noi.

Switch-urile Cisco nu necesită o securizare specială din partea noastră.

Cele două routere Cisco R1 și R2 pot fi securizate prin implementarea listelor de access (access lists – ACL). Putem restricționa accesul la diferite sub-rețele prin programarea unor astfel de reguli. Sintaxa pentru aceste access listuri este:

access-list acl_permit permit ip

access-list acl deny any

De asemenea administratorul de rețea este obligat ca de fiecare dată când vendorul Cisco scoate pe piață update-uri pentru sistemul de operare IOS, să instaleze aceste update-uri. Majoritatea dintre ele repară bug-uri de securitate.

Securizarea serverului WEB Linux se poate efectua prin IpTables si TCP Wrappers.

IpTables este un firewall Linux based si permite configurarea la nivel foarte precis a accesului diferiților clienți la serviciile WEB oferite de către serverul nostru.

Se poate opera la nivel de IP și clase de IP-uri de asemenea și la nivel de protocol/serviciu.

In cazul nostru din cauză că folosim ca și protocol HTTP și HTTPS putem bloca, permite request-urile si send-urile HTTP (80) și HTTPS(443) prin intermediul IPTables.

Exemplu de cod folosire pentru IP Tables:

vi /etc/sysconfig/iptables 

## Deschidem porturile 80 și 443 doar pentru 10.0.0.0/24##

/sbin/iptables -A INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 80 -j ACCEPT

/sbin/iptables -A INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 443 -j ACCEPT

## salvăm modificările făcute ##

/sbin/service iptables save

## verificăm noile setări

/sbin/iptables -L -n -v

/sbin/iptables -L INPUT -n -v

/sbin/iptables -L INPUT -n -v | grep :80

/sbin/iptables -L INPUT -n -v | grep :443

De asemenea putem securiza un server Linux WEB si prin folosire TCP Wrappers. Prin această metodă putem permite sau opri accesarea serverului nostru de către anumite IP-uri sau clase de IP-uri.

Exemplu de cod de configurare:

vi /etc/hosts.allow

httpd : 10.0.0.0 255.255.255.0

sendmail : 10.0.1.0 255.255.255.0

sshd : 10.0.2.54 10.0.2.78

vi /etc/hosts.deny

ALL : ALL

Securizarea unei rețele precum și a componentelor ei necesită proiectarea ei încă de la început având ca și prioritate securitatea.

Pornind de la accesul fizic în data centere, la calculatoarele personale, managementul de parole si update-uri ale sistemelor de operare, continuând cu configurarea de firewall-uri și aplicații care să poată face față celor mai dure și sofisticate atacuri, securitatea rețelor și a echipamentelor lor rămâne un punct principal pe agenda oricărei companii sau agenție guvernamentală.

Capitolul 4 – Administrarea și monitorizarea rețelei

Pentru administrarea și monitorizarea de la distanță a rețelei voi folosi protocolul SNMP. Acesta este un protocol care permite administrarea și monitorizarea echipamentelor de la distanță.

Administrarea de la distanță prin SNMP presupune:

Un protocol de comunicație (SNMP)

MIB – Management Information Bases

Manager SNMP

Agent SNMP

Agentul SNMP este un software care rulează pe un anumit echipament de rețea (router/switch/firewall) sau pe un calculator din rețea si care monitorizează și trimite informații despre host-ul pe care lucrează către un server de management.

Un manager SNMP este o aplicație software cu ajutorul căreia administratorul de rețea poate trimite cereri către un agent SNMP.

Protocolul SNMP rulează la nivelul aplicației și al stack-ului TCP/IP și este folosit de către hosturi si management server pentru a face schimb de mesaje/informații.

Comunicarea între un server de management SNMP și un host SNMP este ilustrată în figura de mai jos:

Obiectele monitorizate pe fiecare din echipamentele din rețea pot fi stările porturilor router-elor sau switch-urilor, traficul din rețea, diversele erori.

Pe calculatoarele din rețea pot fi definite ca și obiecte monitorizate cantitatea de spațiu/storage folosit. Se poate seta un tresshold pentru spațiul folosit, iar caând acesta depășește o anumită limită atenționările ajung pe server-ul central. De asemenea, dacă un calculator nu mai comunică cu serverul central de management SNMP, atunci este posibilă o defecțiune a plăcii de rețea din calculator.

Pentru a defini toate aceste obiecte monitorizate prin SNMP este creat un fișier MIB (text) în care sunt definite toate aceste obiecte. Fiecare obiect are declaat un identificator unic (OID). Acest OID este definit în fișierul MIB.

Când serverul solicită informații despre acest obiect monitorizat, trimite agentului OID-ul respectiv.

Dar cum putem repara un calculator din rețea în caz că pe acesta apar probleme, fără a fi nevoiți să ne deplasăm la fața locului?

Dacă acel calculator are ca și sistem de operare Linux, ne putem conecta prin intermediul utilitarului Putty ce foloseste protocolul SSH (portul 22) pe calculatoarele cu pricina si putem remedia problemele apărute.

În cazul computerelor cu sistem de operare Windows, putem folosi un user creat anterior pe toate statiile, un user de administrare, cu drepturi de administrare, în așa fel încât să ne putem conecta pe aceste echipamente și a verifica și repara eventualele probleme.

De asemenea am putea folosi utilitarul TeamViewer prin care putem comanda de la distanță calculatoarele Windows-based.

La echipamentele de rețea gen router, switch sau firewall ne putem folosi tot de Putty si portul 22 (ssh) daca am configurat la început pe ele posibilitatea de conectare prin ssh.

Capitolul 5 – Bibliografie

[WBB01] http://www.cisco.com

[WBB02] http://www.wikipedia.org

[WBB03] http://howtogeek.com

„Esential SNMP, Second Edition”, autori Douglas Mauro ;i Kevin Schmidt