Проект был, выполнен командой H0lid@ys (Земскова Ольга, Цюрюпа Егор, Ширнин Олег) в ходе IT-турнира студенческих команд "Кубок сетевых проектов Microsoft" (www.it-university.ru/center/actions-arch.asp). Организаторы турнира - компании Microsoft, SoftLine, ZyXEL и учебный центр IT-UNIVERSITY.RU. Поскольку с точки зрения экспертной комиссии проект содержал небольшие недочеты, он снабжен комментариями и небольшим заключением, описывающим вариант доработки этого проекта. Тем не менее, справочные материалы описывают настройки оригинального проекта команды, без учета замечаний экспертов. С кратким техническим заданием на проект можно ознакомиться здесь.
Содержание
Введение
Экономическое и техническое обоснование проекта
Физическая структура сети и схема IP-адресации. Схема именования серверов
Логическая организация сетевой инфраструктуры. Схема Active Directory
Техническая реализация проектного решения
Список документации, используемой при подготовке проектного решения
Заключение экспертов приемной комисии
Справочные материалы к проекту команды (загрузка)
В качестве проектного задания нашей команде было предложено реализовать проект IT-инфраструктуры компании «Еврострой-М», основной деятельностью которой является строительство, ремонт и торговля в этих областях. Существующая IT-инфраструктура компании не позволяет ей эффективно развиваться, вести бизнес и уверенно конкурировать на рынке.
Все требования к проекту, предоставленные нашей команде, разделяются на основные (их выполнение обязательно) и дополнительные (опциональные требования). Среди основных требований наиболее важным для бизнеса команде представляется организация документооборота между главным офисом компании и ее филиалом. Компания владеет двумя офисами, поэтому IT-специалистам необходимо организовать удобный и безопасный обмен информацией между сотрудниками компании в разных офисах. Кроме того, требуется максимально снизить издержки на обслуживание IT-инфраструктуры, обеспечить служащим компании доступ в сеть Интернет, предоставить возможности централизованного хранения файлов и печати. Важное требование проекта – обеспечение защищенного беспроводного доступа в сеть организации ее партнеров. Дополнительным аспектом сети главного офиса компании является размещение на одном из серверов веб-сайта организации.
Среди дополнительных требований основным нашей команде представляется создать надежную и удобную систему электронной почты. Сложно представить себе современную компанию, сотрудники которой не нуждаются в системе обмена электронными сообщениями. Очень часто бизнес зависит от своевременного получения той или иной информации как от коллег, так и от деловых партнеров. Рассматривая электронную почту как важный инструмент успешного бизнеса, команда также предложит способы обеспечения защиты почтовых сообщений от таких атак, как несанкционированное чтение сообщений, их злонамеренное искажение, отправка сообщений от имени другого лица. Кроме того, команда предложит решения, позволяющие обезопасить внутреннюю сеть организации от атак из сети Интернет, проводить ограничение доступа к сети Интернет для отдельных групп пользователей и вестистатистику использования сети Интернет сотрудниками компании.
В проекте командой используется два дополнительных программных продукта. Это две копии Microsoft ISA Server 2004 и почтовый сервер Microsoft Exchange Server 2003 с лицензиями на необходимое количество пользователей.
Организацию шифрованного тоннеля между офиса компании можно организовать с помощью встроенных средств операционной системы Windows Server 2003 (служба RRAS). Однако такое решение позволяет выполнить лишь обязательные требования к проекту, в то время как выполнить часть дополнительных требований не представляется возможным. Решение о закупке и установке ISA Server было принято в связи со следующими соображениями:
- Возможность удобно настроить безопасный шифрованный тоннель между главным офисом и филиалом
- Возможность ограничивать доступ к ресурсам сети Интернет (фильтрация протоколов уровня приложений, разграничение доступа по группам)
- Возможность безопасно публиковать серверы внутренней сети (публикация серверов потребуется как для беспроводных клиентов, так и пользователей в Интернет)
- Возможность генерировать отчеты и проводить анализ использования сети Интернет
Копия Microsoft ISA Server 2004 с лицензией на 1 процессор стоит в SoftLine 1629 долларов США. Для организации предлагается закупить 2 копии этого программного обеспечения, таким образом, затраты на данном этапе составляют 3258 долларов США.
В качестве почтового сервера компании предлагается использовать Microsoft Exchange Server 2003. Основными преимуществами такого решения являются:
- Тесная интеграция с Active Directory, привязка почтового ящика пользователя к учетной записи пользователя Windows. Регистрация пользователя в сети также является регистрацией на почтовом сервере (не требуется предоставлять отличных учетных данных только для почтового сервера).
- Возможность работать с Exchange Server с помощью Microsoft Outlook 2003, который уже установлен на рабочих станциях пользователей компании.
- В случае если компании потребуется предоставлять удаленный доступ сотрудников к своим почтовым сообщениям, Exchange Server предоставляет возможности использовать протоколы POP3, IMAP4 или Outlook Web Access. Наличие в сети ISA Server 2004 позволяет легко опубликовать эти службы.
- Возможность гибко настраивать группы хранения. Почта различных групп пользователей может храниться в различных группах хранения, что позволяет, например, гибко планировать стратегию резервного копирования почтовых сообщений.
- Возможность не только обмениваться электронными сообшщениями, но и планировать собрания и встречи, обмениваться задачами.
- Интеграция в AD и централизованное управление позволяют снизить затраты на повседневное обслуживание почтовой инфраструктуры.
Копия Microsoft Exchange Server 2003 Standard Edition с 5 клиентскими лицензиями доступа стоит в SoftLine 1345 долларов США. Для обеспечения доступа всех сотрудников компании к почтовому серверу необходимо дополнительно приобрести 6 комплектов клиентских лицензий (по 5 в каждом комплекте) по цене 470 долларов США за один комплект. Таким образом, расходы на внедрение почтовой системы компании составляют 4165 долларов США. Следует учесть, что надежная система электронной почты является неотъемлемым атрибутом успешного ведения бизнеса. Предложенная в проекте конфигурация выполняет все требования, поставленные перед проектировщиками, и позволяет не только удовлетворить текущие нужды компании, но и не потребует дополнительных капиталовложений и реконфигурации в течение длительного периода времени даже в случае значительного роста компании.
Рисунок 1 - Общая cхема сети компании (главный и дополнительный офисы)
В каждом из офисов компании один из серверов будет использоваться в качестве шлюза между внутреннее сетью компании и сетью Интернет, поэтому на нем будут задействованы два сетевых адаптера. Другой сервер будет хранить централизованную базу учетных записей пользователей, политики безопасности, а также предоставлять сервисы назначения IP-адресов клиентским компьютерам (DHCP) и разрешения имен (DNS). Также этот сервер будет выполнять функции файлового сервера и сервера печати. Команда решила, что на этих серверах будет использоваться только один сетевой адаптер. Из имеющегося в распоряжении команды оборудования ZyXEL было принято решение использовать только два Интернет-центра ZyXEL P-662HW (по одному в каждом из офисов для соединения сервера-шлюза офиса с Интернет). С помощью них также осуществляется подключение беспроводных клиентов к сети организации. Было принято решение беспроводную точку доступа ZyXEL G-3000 в проекте не использовать. Такое решение было продиктовано желанием унифицировать IT-инфраструктуру главного офиса компании и филиала, сократив таким образом расходы на обучение обслуживающего персонала. Третий сервер в главном офисе используется для размещения содержимого Интернет-сайта организации.
Для обеспечения маршрутизации между офисами внутренние сети офисов организации имеют различные схемы IP-адресации. Предоставим схемы сетей главного офиса компании и филиала:
Рисунок 2 - Схема сети главного офиса
Рисунок 3 - Схема сети дополнительного офиса
Названия серверных компьютеров были выбраны в соответствие с ролями, которые они будут выполнять в будущем.
В качестве централизованного средства администрирования и управления сетевой средой команда предлагает использовать службу каталогов Active Directory. Для организаций, внедряющих Microsoft Windows Server 2003, модель домена Active Directory является наиболее предпочтительной и рекомендованной компанией Microsoft. База данных службы каталогов устанавливается на один или несколько компьютеров – контроллеров домена. Рекомендуется всегда применять не менее двух контроллеров домена Active Directory для исключения ситуаций, в которых происходит потеря базы данных службы каталогов. Active Directory при умелой работе администратора позволяет значительно сократить расходы на поддержку IT-инфраструктуры: время выполнения многих административных задач удается значительно сократить по сравнению с администрированием одноранговой сети.
В проекте, предложенном командой, в сети организации используется один домен - eurostroy-m.local. При этом в каждом офисе установлено по одному контроллеру домена (на компьютерах DC-01 и DC-02 соответственно). В качестве DNS-суффикса домена используется ".local", что является рекомендованным к применению в частных сетях. Таким образом обеспечивается отказоустойчивость Active Directory – если один из контроллеров выйдет из строя, полная реплика AD сохранится на другом контроллере и сведения о пользователях, членстве в группах, политике безопасности и т.д утеряны не будут. Для работы Active Directory требуется служба DNS, поэтому контроллеры домена DC-01 и DC-02 являются также северами DNS. На них создана основная зона прямого просмотра eurostroy-m.local, которая интегрирована с Active Directory (AD-integrated zone) и работает в режиме только защищенных динамических обновлений. Кроме того, серверы DNS поддерживают две основные зоны обратного просмотра: 1.168.192.in-addr.arpa и 1.16.172.in-addr.arpa. Настройка этих зон производится аналогично зоне прямого просмотра.
Поскольку офисы компании (а значит и контроллеры домена) удалены друг от друга и будут связаны друг с другом каналом, использующим публичную сеть (Интернет), то домен компании будет состоять из двух сайтов, каждый из которых соответствует одному офису. Такая организация службы каталогов имеет следующие преимущества:
- Репликация Active Directory между контроллерами, находящимися в разных сайтах проходит с применением сжатия информации, что позволяет снизить объем трафика, передаваемого по каналу связи
- Клиентские компьютеры и пользователи в сайте проходят аутентификацию на контроллере домена своего сайта (исключается вход в систему через медленные межсайтовые каналы связи, что замедляет вход в систему)
Рисунок 4 - Сайтовая схема организации и репликации Active Directory
Основным методом разрешения имен хостов в сети, конечно же, является служба DNS. Однако, для совместимости с приложениями, использующими NetBIOS и требующими резрешения NetBOIS-имен, предлагается на контроллеры домена установить службу WINS и настроить репликацию WINS в режиме Push/Pull. У всех рабочих станций в сети задается по два адреса DNS и WINS серверов: в качестве основного сервера DNS/WINS указывается IP-адрес сервера своего офиса, в качестве вторичного – IP-адрес сервера в удаленном офисе. Таким образом, проект обеспечивает отказоустойчивую систему регистрации в сети (два контроллера домена) и разрешения имен (два сервера разрешения имен).
Для назначения IP-конфигурации рабочим станциям внутренней сети и беспроводным клиентам применяется служба DHCP. Служба DHCP из соображений отказоустойчивости установлена на двух серверах в каждом из офисов компании. При этом, компьютер ISA-0x самостоятельно обслуживает область адресов, которые выдаются беспроводным клиентам, а область адресов, соответствующая внутренней сети офиса, обслуживается компьютерами DC-0x и ISA-0x одновременно, в соответствие с правилом 80/20. Таким образом, в случае отказа одного из серверов, второй сервер примет на себя его функции по предоставлению IP-конфигурации клиентам внутренней сети и обеспечит бесперебойную работу.
Организация шифрованного тоннеля между офисами
Для организации шифрованного VPN-туннеля между главным офисом компании и офисом-филиалом используется программный продукт Microsoft ISA Server 2004 Standard Edition SP1.
ISA Server 2004 SP1 устанавливается на компьютеры ISA-01 и ISA-02. На ISA-01 создается пользователь BranchOffice с правами удаленного дозвона (allow Dial-in), а на ISA-02 – пользователь MainOffice. VPN-соединение настраивается между компьютерами ISA-01 и ISA-02. Для прохождения IP-трафика до ISA-0x на соответствующем Интернет-центре ZyXEL включен режим трансляции IP-трафика на ISA-0x и трансляция портов по методу One-To-One (т.е. запрос из сети Интернет на определенный порт Интернет-центра транслируется им на соответствующий порт компьютера ISA-0x). VPN-соединение между офисами устанавливается с помощью функции подключения удаленных сетей ISA Server 2004 (Remote Sites). Команда предлагает использовать протокол PPTP со 128-битным MPPE шифрованием. Длина ключа шифрования в 128 бит в соответствие с требованиями проекта гарантируется настройками профиля политики удаленного доступа (Strongest Encryption). Протокол PPTP представляется команде предпочтительным к использованию, т.к. не требует сложных первоначальных настроек (в частности выписки цифровых сертификатов). Хотя протокол L2TP считается более защищенным нежели PPTP, команда считает, что уровень безопасности, предоставляемый протоколом PPTP, является достаточным для обеспечения требования технического задания. При этом наличие на контроллере домена главного офиса компании службы Certification Authority позволяет в случае необходимости перейти на использование протокола L2TP, если возросшие требования к безопасности потребуют этого.
В проекте предлагается использовать постоянное VPN-соединение между офисами компании (а не устанавливаемое по требованию), т.к. возможность доступа к удаленному офису без задержек представляется очень ценной. Кроме того, отдельные виды сетевого трафика (например трафика репликации AD, даже межсайтового) весьма чувствительны к проблемам установки подключения: нельзя исключать проблем с репликацией в случае маршрутизации по требованию. Команда предпочла не пользоваться встроенными в Интернет-центры ZyXEL возможностями организации шифрованных Site-to-Site соединений, предложив взамен интегрированное с сетевой средой решение, позволяющее в полной мере конфигурировать и использоваться связь удаленных офисов компании. Кроме того, решение, предложенное командой, позволяет выполнить несколько дополнительных требований проекта.
Доступ к файловым серверам внутренних клиентов организации
Роли файловых серверов и серверов печати в офисах организации выполняют контроллеры домена. Решение разместить их на контроллерах домена, а не на прокси-серверах (ISA-0x) связано с тем, что нагрузка на контроллеры домена достаточно незначительна вследствие малого размера организации даже с учетом перспектив ее ближайшего роста. В то же время размещение файловых ресурсов на серверах ISA-0x представляется нецелесообразным, т.к. значительная часть их ресурсов будет тратится на анализ и обработку сетевого трафика, шифрование данных, передаваемых по виртуальному каналу между офисами, а также кэширование информации, загружаемой из сети Интернет.
Для хранения документов на контроллерах домена созданы общие папки с именем Shared, а на ISA-0x созданы правила доступа к этим серверам для клиентов «противоположного» офиса по VPN. Команда предлагает использовать следующую структуру каталогов для организации файлового архива компании:
Рисунок 5 - Структура каталогов файлового сервера
Папка Internal Docs предназначена для обмена документами между сотрудниками организации, партнеры организации, получающие доступ в сеть по беспроводному каналу, доступа к ней не имеют. Папка Partners Docs предназначена для обмена документами между сотрудниками компании и приезжающими партнерами, которым необходим доступ к документам организации. Решение разместить все требуемые партнерам документы в одной папке было продиктовано:
- удобством администрирования централизованного файлового хранилища
- повышенными требованиями к безопасности обмена документами с партнерами компании с целью не допустить компрометации конфиденциальных данных
При тестировании проекта каталогам были назначены следующие разрешения:
Разрешения общего доступа:
Shared | Everyone WLAN Users Visitors | Full Control Deny Full Control |
Разрешения NTFS
Shared | Administrator Domain Users SYSTEM | Full Control Read Full Control |
Internal Docs | Domain Users | Modify |
Partners Docs | Domain Users WLAN Users Partners | Modify Modify |
Разумеется, предложенная схема каталогов не является строго фиксированной. При необходимости администратор может предусмотреть иную схему дерева каталогов файлового сервера. Например, в папке Internal Docs могут быть созданы отдельные папки для каждого из отделов организации. Разрешения на такие папки можно будет назначить более дифференцированно.
Инфраструктура беспроводной сети
Основой беспроводной сети организации являются беспроводные клиенты, ведь именно для них разрабатываются процедуры подключения к беспроводной сети, правила и способы ее использования. С точки зрения пользователя, подключение к сети должно быть простым, а работа – удобной. Однако, кроме обеспечения удобства пользователя, перед командой были поставлены некоторые дополнительные условия, неразрывно связанные с обеспечением защиты беспроводной сети компании от внешних угроз. Два основных таких требования:
- Процедура регистрации пользователей в беспроводной сети компании должна быть строго аутентифицируемой, причем желательно использовать стойкий протокол аутентификации в сети.
- При работе в сети беспроводной трафик должен шифроваться с применением стойкого алгоритма и ключа шифрования (длиной не менее 128 бит), чтобы исключить вскрытие защиты и анализ пакетов в случае перехвата. Невыполнение этого требования может привести к потере или модификации конфиденциальной информации компании и поставить под угрозу ведение ее коммерческих дел.
При реализации беспроводной инфраструктуры компании команда учла следующие особенности имеющегося оборудования и сетевой среды:
- Из имеющихся в наличии трех устройств, способных выполнять роль беспроводной точки доступа, было принято решение использовать только два идентичных устройства, по одному в каждом офисе. Это решение выглядит перспективным по причине идентичности настроек беспроводного оборудования, ISA Server, а также серверов DNS и DHCP в каждом из офисов, что в конечном итоге снижает вероятность ошибок администратора.
- ОС Windows Server 2003 Standard Edition предоставляет возможность установить в одном из офисов службу Certification Authority. Приняв во внимание перспективы, которые в будущем может предоставить внутренняя служба сертификации (связанные не только с безопасным беспроводным доступом, но и шифрованием файлов, цифровой подписью и шифрованием почтовых сообщений, а также аутентификацией VPN подключений), было принято решение задействовать CA в обеспечении безопасной аутентификации беспроводных клиентов компании.
- В связи с тем, что точками беспроводного доступа являются Интернет-центры ZyXEL, которые расположены "снаружи" прокси/файрволл-серверов организации (это компьютеры ISA-0x), возникла задача обеспечить доступ беспроводных клиентов к сервисам, предоставляющим аутентификацию, DHCP-серверам, DNS-серверам организации, а также обеспечить доступ беспроводных клиентов второго типа ("партнеров") к файловым серверам сети.
При реализации проекта важно было выбрать конкретные настройки протоколов аутентификации и шифрования. В качестве протокола аутентификации команда предлагает использовать 802.1x. В качестве метода EAP в проекте используется PEAP-MSCHAP v2, поскольку выписка сертификатов для работающих сети короткое время беспроводных клиентов представляется нецелесообразной. В качестве протокола шифрования беспроводного трафика используется 128-битный WEP. Использование WEP в сочетании с протоколом аутентификации 802.1x позволяет избавиться от его известного недостатка: в случае статического WEP пароль шифрования требуется задавать в явном виде на беспроводной точке доступа и его динамическая смена в течение сеанса работы не предусмотрена. В случае использования WEP совместно c 802.1x генерация ключа шифрования происходит в момент регистрации клиента в сети, таким образом, разные беспроводные клиенты могут использовать разные ключи. Эти меры позволяют в достаточной мере обезопасить передаваемые по беспроводной сети данные от несанкционированного просмотра. Кроме того, нельзя исключать возможность того, что с развитием компании ее сотрудники получат в свое распоряжение мобильные компьютеры и будут использовать беспроводной доступ к внутренней сети. В этом случае им потребуется доступ ко всему спектру сетевых служб, а не только к тем, которые предоставляются в настоящее время. Разумно будет сделать такие компьютеры членами домена и использовать компьютерную и пользовательскую аутентификацию в беспроводной сети. При этом оптимальным вариантом представляется установка дополнительных точек доступа во внутренней сети организации (с учетом того, что одна дополнительная точка доступа уже находится в собственности организации). Эффективным решением для безопасной аутентификации этих рабочих станций является использование протокола 802.1x с применением сертификатов. Таким образом, в будущем не потребуется значительной реконфигурации сетевых служб в сети.
Комментарий экспертов:
Применение криптографически слабого протокола WEP в данном сценарии ничем не оправдано. Рекомендуется применение протокола WPA, поддержка которого имеется как в оборудовании ZyXEL, так и в ОС Windows XP. Это потребует всего лишь выбора соответствующей опции при настройке Интернет-центра ZyXEL и при настройке беспроводных клиентов.
Какие же дополнительные требования предъявляет инфраструктура, предложенная командой? Во-первых, это наличие в сети сервера аутентификации RADIUS. Эта служба была установлена на контроллер домена в каждом из офисов. Такая конфигурация является рекомендованной компанией Microsoft, поскольку исключает сетевой трафик между сервером IAS (реализация RADIUS компании Microsoft) и контроллером домена. Таким образом, процедура аутентификации ускоряется и не требуется применять дополнительных мер для шифрования трафика аутентификации. На каждом сервере IAS клиентом является соответствующая беспроводная точка доступа, при этом создана соответствующая политика удаленного доступа и включен аудит событий, связанных с аутентификацией пользователей в сети. Регулярный просмотр журнала аутентификации позволит администратору обнаружить попытки несанкционированного подключения к сети (в частности, перебор пароля). Для обеспечения аутентификации пользователей сервер RADIUS опубликован на компьютерах ISA-0x.
Рисунок 6 - Беспроводная IT-инфраструктура основного офиса компании
(сети обозначены с точки зрения MS ISA Server 2004)
Политика удаленного доступа, заданная на серверах RADIUS, разрешает подключение к беспроводной сети членам универсальной группы безопасности WLAN Access в рабочее время (8:00 – 20:00) по рабочим дням (понедельник - пятница). Эта группа в свою очередь включает две глобальные группы безопасности: WLAN Users и WLAN Computers. Группа WLAN Users включает в себя группы WLAN Users Visitors (включает пользователя wlan_visitor) и WLAN Users Partners (включает пользователя wlan_partner). Группа WLAN Computers не используется в сценарии, однако спроектирована с расчетом на то, что компания в будущем будет владеть беспроводными компьютерами – членами домена. В таком случае может потребоваться, чтобы аутентификацию в сети проходил не только пользователь, но и компьютер. Это можно будет легко обеспечив, сделав требуемые рабочие станции членами группы WLAN Computers. Кроме того, политика беспроводного доступа предусматривает повторную аутентификацию пользователя в сети каждые 15 минут (Session Timeout), что является рекомендуемым временем для смены пароля WEP.
Для предоставления беспроводным клиентам IP-конфигурации на серверах ISA-0x создана область DHCP (scope), представляющая собой подсеть, в которой находится внешний сетевой интерфейс серверов ISA-0x. Время аренды адреса из этой области составляет 1 день, что является приемлемым для использования в конфигурации с беспроводными клиентами. На ISA-0x сконфигурированы соответствующие правила, разрешающие запрос IP-конфигурации клиентами беспроводной сети. В качестве шлюза по умолчанию и DNS-сервера беспроводным клиентам назначается адрес ISA-сервера. Таким образом, после подключения пользователя к беспроводной сети администратор получает возможность с помощью средств ISA Server 2004 контролировать доступ клиента к сети Интернет (разрешать клиентам использовать только определенные протоколы (например, HTTP, POP3, IMAP4 и пр.), разрешать доступ только к определенным узлам сети и загрузку только разрешенного содержимого).
Для разрешения имен файловых серверов сети на компьютерах ISA-0x опубликован сервер DNS. Служба DNS установлена на северах ISA-0x для поддержки разрешения имен файловых серверов беспроводными клиентами. Командой было принято решение не публиковать для этих целей сервер DNS, работающий на контроллере домена. Это сделано с целью исключить возможные попытки исследовать или исказить данные в DNS-зоне eurostroy-m.local. Основная DNS-зона wlan.local, размещенная на сервере ISA-0x, не поддерживает динамические обновления и содержит только 2 записи типа Host: local_fs – для локального файлового сервера, remote_fs – для удаленного файлового сервера.
Для доступа беспроводных клиентов-партнеров к файловому серверу компании на ISA-0x опубликован соответствующий контроллер домена по протоколу CIFS. Здесь проявляется дополнительное преимущество создания объекта-сети для беспроводных клиентов: объект-сеть (10.x.1.0) можно использовать при указании источника запросов. Поэтому злоумышленнику из внешней сети (в т.ч. сети Интернет) не удастся получить доступ к файловому серверу компании.
Комментарий экспертов:
Публикация на ISA Server протокола CIFS для беспроводных клиентов (для обеспечения доступа к общим папкам на контроллере домена) не кажется хорошей идеей. На наш взгляд, лучше было бы создать на самом компьютере ISA Server отдельную общую папку, открыть к ней доступ из сети 10.x.x.x и использовать ее для обмена данными между сотрудниками организации и беспроводными клиентами.
Настройка беспроводного подключения на клиентском компьютере может проводится как администратором компании, так и самим пользователем (в зависимости от квалификации пользователя). В разделе беспроводных сетей нужно зарегистрировать новый SSID беспроводной сети и настроить следующие параметры:
- Задействовать PEAP-MSCHAP v2 в качестве типа EAP
- Отменить проверку доверия к серверному сертификату RADIUS
- Отменить использование имени пользователя и пароля, используемых при входе в Windows, для регистрации в беспроводной сети
Отметим, что эти операции возможно провести, даже если пользователь компьютера не имеет административных прав.
Система электронной почты
В качестве системы электронной почты команда предлагает использовать почтовый сервер Microsoft Exchange Server 2003 Standard Edition SP1.
Программный продукт Microsoft Exchange Server 2003 был установлен на контроллер домена в главном офисе компании и является единственным сервером Exchange в организации. Пользователи главного офиса и офиса-филиала работают с Exchange Server с помощью почтового клиента Microsoft Outlook 2003. На случай отказа основного контроллера домена (DC-01) или проведения на нем регламентных работ используется кэширующий режим работы Microsoft Outlook 2003: пользователи не смогут отправлять и получать новые почтовые сообщения, однако смогут просматривать свои почтовые папки и работать с ранее полученной почтой. С помощью политики получателей всем получателям организации Exchange в качестве основного присвоен SMTP-суффикс @eurostroy-m.ru (вместо @eurostroy-m.local). Это позволит сотрудникам компании получать почту, направляемую им внешними партнерами. Для получения и отправки почты в сеть Интернет, сервис SMTP опубликован на ISA-сервере ISA-01. Кроме того, на ISA-сервере созданы (но отключены!) правила публикации POP3 и IMAP4 серверов, а на DC-01 службы Microsoft Exchange POP3 и Microsoft Exchange IMAP4 переведены в режим автоматического запуска. Таким образом, в случае необходимости предоставить служащим компании доступ к почте по протоколам POP3/IMAP4, администратору будет достаточно лишь включить (enable) соответствующее правило на ISA-сервере ISA-01.
Для того чтобы сотрудники компании могли получать сообщения от внешних респондентов, в DNS-зону eurostroy-m.ru, размещенную на сервере провайдера, следует добавить запись Mail Exchanger (MX), указывающую в качестве почтового сервера, обслуживающего домен eurostroy-m.ru, IP-адрес, присвоенный провайдером главному офису компании.
Благодаря интеграции в Active Directory, Exchange Server поддерживает глобальный список адресов, доступный всем сотрудникам компании. Для тех сотрудников, которым требуется доступ к адресной книге компании вне офиса, Exchange Server позволяет создать offline адресную книгу. Кроме того, дополнительные адресные списки могут быть созданы с целью отбора получателей в списке по какому-либо признаку и упрощения нахождения нужного респондента. Например, отдельные адресные листы созданы для сотрудников, работающих в главном офисе компании, а также в филиале.
Для защиты почтовых сообщений от незаконного перехвата, ознакомления, изменения или искажения в процессе передачи наша команда предлагает использовать систему шифрования и цифровой подписи почтовых сообщений. Т.к. в сети работает служба Certification Authority, каждый пользователь может выписать себе сертификат типа "Пользователь" для защиты почтовых сообщений. Следует, однако, учесть, что не следует защищать, таким образом, сообщения, направляемые внешним получателям: они не имеют доступа к сертификату CA организации и пользователя, отправившего сообщение, а поэтому не смогут расшифровать его или убедится в подлинности ЭЦП. В случае необходимости конфиденциального обмена почтовыми сообщениями с внешними партнерами организации, сотрудникам компании, осуществляющими такой обмен, следует воспользоваться почтовым сертификатом, полученным от публичной службы сертификации (например, VerySign, Thawte).
Комментарий экспертов:
Для повышения безопасности электронной почты можно разместить SMTP Relay на отдельном компьютере, расположенном в сети 10.1.1.0. Эту роль может выполнить компьютер - web-сервер, если он будет перемещен из внутренней сети в DMZ (см. Заключение). На этом же компьютере можно установить программу блокирования спама и проверки почты на вирусы. Это позволит затруднить атаки, явно направленные против MS Exchange Server. Вся входящая почта будет приходить сначала на SMTP Relay, где будет проверяться на вирусы и спам, а затем уже будет пересылаться на MS Exchange Server. Это изменение конфигурации также потребует изменения правил трансляции портов на Интернет-центре и изменения правил публикации на ISA Server.
Публикация веб-сервера организации
Для размещения веб-сервера организации задействуется выделенный сервер в главном офисе компании. В целях повышения безопасности он не является членом домена Active Directory, однако запись web-01 типа Host занесена в DNS-зону eurostroy-m.local для того, чтобы сотрудники компании могли обращаться к веб-серверу по его имени во внутренней сети. С учетом того, что проектное решение предполагает использование Microsoft ISA Server 2004, публикация веб-сервера в сети Интернет сводится к созданию соответствующего правила публикации на сервере ISA-01.
Комментарий экспертов:
Размещение web-сервера во внутренней сети организации не является хорошей практикой. Рекомендуется перенос web-сервера в сеть 10.1.1.0, которая находится между Интернет-центром и ISA Server. При этом необходимо будет перенастроить Интернет-центр, так чтобы выполнялась не полная трансляция всех портов на адрес ISA Server, а только трансляция портов для протокола PPTP. После этого на Интернет-центре нужно будет задать, что порты 80 TCP (HTTP) и 25 TCP (SMTP) будут транслироваться на IP-адрес web-сервера. Схема сети с учетом этой рекомендации приведена в Заключении.
Дополнительные аспекты проектного решения
Разумеется, работа по обеспечению безопасности и эффективной работы сети не ограничивается перечисленными выше мерами. В качестве дополнительных проектных решений предлагается:
- Для удобства администрирования сети и централизованной настройки клиентских компьютеров и серверов команда предусмотрела структуру организационных единиц, упрощающую создание и применение групповых политик в домене компании.
Рисунок 7 - Структура OU для упрощения администрирования
- После установки Active Directory в домене существует учетная запись Administrator, которая является членом групп Domain Admins, Schema Admins и Enterprise Admins. Поскольку повседневные административные действия не рекомендуется выполнять, используя учетную запись с чрезмерно большими привилегиями, было создано две новых учетных записи: adm_mainoffice – для администратора в главном офисе компании и adm_branchoffice – для администратора в офисе-филиале. С помощью Групповой политики (Restricted Groups) пользователь adm_mainoffice назначен локальным администратором сервера ISA-01, а также всех рабочих станций в главном офисе компании, а пользователь adm_branchoffice – администратором сервера ISA-02 и рабочих станций в офисе-филиале. Кроме того, этим административным учетным записям проделегированы права на соответствующие организационные единицы Active Directory. С помощью мастера Exchange Delegation Wizard пользователю adm_mainoffice назначены полномочия Exchange Full Administrator, а adm_branchoffice – Exchange Administrator.
- К домену применена следующая политика паролей и блокировки учетных записей:
3.1. Enforce password history: 24 Passwords remembered
3.2. Maximum password age: 60 days
3.3. Minimum password age: 5 days
3.4. Minimum password length: 8 characters
3.5. Password must meet complexity requirements: Enabled
3.6. Store password using reversible encryption for all users in the domain: Disabled
3.7. Account lockout duration: 30 minutes
3.8. Account lockout threshold: 5 invalid logon attempts
3.9. Reset account lockout counter after: 10 minutes
- Для настройки политик безопасности серверов сети были использованы шаблоны безопасности, входящие в состав Microsoft Windows Server 2003 Security Guide. В готовые шаблоны были внесены изменения, отражающие особенности конфигурации того или иного сервера сети (в частности набора системных служб).
4.1. DC-01: Enterprise Client - Domain Controller.inf, Enterprise Client - Infrastructure Server.inf, Enterprise Client - Certificate Services.inf, Enterprise Client - IAS Server.inf, Enterprise Client - IIS Server.inf, Enterprise Client - File Server.inf, Enterprise Client - Print Server.inf
4.2. DC-02: Enterprise Client - Domain Controller.inf, Enterprise Client - Infrastructure Server.inf, Enterprise Client - IAS Server.inf, Enterprise Client - File Server.inf, Enterprise Client - Print Server.inf
4.3. ISA-01: Enterprise Client - Member Server Baseline.inf, Enterprise Client - Infrastructure Server.inf, Enterprise Client - File Server.inf
4.4. ISA-02: Enterprise Client - Member Server Baseline.inf, Enterprise Client - Infrastructure Server.inf, Enterprise Client - File Server.inf
4.5. WEB-01: Enterprise Client - Member Server Baseline.inf, Enterprise Client - IIS Server.inf
4.6. Клиентская рабочая станция: Enterprise Client – Desktop.inf
- На все рабочие станции компании установлен Firewall Client ISA Server 2004. Это сделано для обеспечения возможности аутентификации пользователей на прокси-сервере организации и составления детальных отчетов использования Интернет-трафика.
- KB281308: Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name
- Windows Server 2003 Deployment Kit: Designing and Deploying Directory and Security Services
- Windows Server 2003 Deployment Kit: Designing a Managed Environment
- Windows Server 2003 Deployment Kit: Deploying Network Services
- Windows Server 2003 Security Guide
- Windows XP Security Guide
- Introduction to Branch Deployment of ISA Server 2004 Enterprise Edition
- Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab
- Securing Wireless LANs with PEAP and Passwords
- Securing Wireless LANs with Certificate Services
Команда очень тщательно подошла к планированию проекта. В качестве положительных моментов можно отметить использование одного домена (применение двух доменов видится неоправданным) и реализованную полную отказоустойчивость основных служб (AD, DNS, DHCP). Тем не менее, решение получилось довольно дорогим (стоимость операционных систем согласно ТЗ не учитывалась). Дополнительные затраты потребовались на приобретение 2-х экземпляров ISA Server 2004 Standard Edition и MS Exchange Server Standard Edition. Примерная стоимость решения составила $6935 (MS Exchange Server Standard Edition + 35 Клиентских лицензий + 2 шт. MS ISA Server 2004 Standard Edition). Для сравнения — некоторые команды реализовали проект, используя только встроенные возможности оборудования ZyXEL и ОС Microsoft Windows (правда, в ущерб некоторой функциональности).
Рекомендуемая схема сети предприятия с учетом предложенных экспертами изменений приведена на рисунке.
Схема сети предприятия с учетом предложенных экспертами изменений
В целом, сложность проекта соответствовала квалификации Сертифицированного Системного Администратора Microsoft (MCSA), а большинство настроек изучалось в учебных курсах Microsoft MS-2273 Управление и поддержка среды Microsoft Windows Server 2003 и MS-2277 Внедрение, управление и сопровождение сетевой инфраструктуры Windows Server 2003: сетевые службы.