Организация доступа в Интернет на предприятиях

АЛЕКСЕЙ ФЁДОРОВ

Организация доступа в Интернет на предприятиях

В настоящее время, в связи с увеличением количества организаций, которым необходимо иметь доступ к веб-страницам других компаний, использовать электронную почту и ICQ, эта проблема весьма актуальна. Трудно представить организацию, не использующую ресурсы всемирной паутины в своей повседневной деятельности. Однако с появлением новых технологий и их внедрением в производство встает вопрос собственной безопасности. И если раньше все документы хранились в бумажной форме, то теперь фирмы используют в большинстве своем электронные носители информации, которые располагаются чаще всего на компьютерах, имеющих доступ в Интернет (будь то сервера или рабочие станции). Желая получить доступ к ресурсам всемирной паутины, следует задуматься, а надежно ли защищены компьютеры от вторжения извне. Не требует доказательств тот факт, что потеря или кража информации в наше время может нанести серьезный ущерб деятельности организации или даже привести к ее разорению. Именно о том, как обеспечить безопасное подключение к сети Интернет и пойдет речь в этой статье.

В первую очередь необходимо выбрать провайдера и тип соединения с сетью. При выборе провайдера следует выяснить, каким образом обеспечивается его соединение с Интернетом: имеет ли он прямую ветвь в M9 или является чьим-либо посредником. Предпочтительнее работать без посредников: и цены будут ниже, и возможностей больше. Для начала попросите у предполагаемого провайдера тестовый доступ (пусть даже модемный) и постарайтесь посмотреть, с какой скоростью проходят пакеты к российским и зарубежным узлам. Посмотрите на TTL ping пакетов. Например:

[root@msk /root]# ping www.rambler.ru 

PING www.rambler.ru (81.19.66.109) from 62.141.79.121 : 56(84) bytes of data. 64 bytes from www.rambler.ru (81.19.66.109): icmp_seq=0 ttl=53 time=12.050 msec 64 bytes from www.rambler.ru (81.19.66.109): icmp_seq=1 ttl=53 time=12.150 msec 64 bytes from www.rambler.ru (81.19.66.109): icmp_seq=2 ttl=53 time=10.950 msec 64 bytes from www.rambler.ru (81.19.66.109): icmp_seq=3 ttl=53 time=12.204 msec --- www.rambler.ru ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/mdev = 10.950/11.838/12.204/0.527 ms

Попробуйте скачать файлы с общедоступных FTP-серверов и посмотреть на скорость (правда, для такого тестирования модемный тестовый доступ – не лучший вариант).

И самое главное, посмотрите на маршруты пакетов, идущих в Интернет. Протестируйте маршруты к различным серверам в сети (как к зарубежным, так и к отечественным), чтобы узнать, каким образом сам провайдер подключен к Интернету. Это можно сделать командой tarceroute в Linux/UNIX-системах или командой tracert в Windows-системах. После чего вы получите на экране список узлов, через которые прошел пакет до места назначения. Это будет выглядеть примерно так:

[root@msk /root]# traceroute www.rambler.ru 

traceroute to www.rambler.ru (81.19.66.109), 30 hops max, 38 byte packets  1  adsl.msk.riviera.ru (62.141.79.129)  1.682 ms  1.313 ms  1.031 ms  2  194.85.128.252 (194.85.128.252)  9.418 ms  13.567 ms  11.055 ms  3  ge1-0-combellga-gw1.co.ru (194.85.129.65)  9.049 ms  9.660 ms  9.189 ms  4  pos2-155M-m9-ix.co.ru (194.85.131.246)  9.344 ms  9.205 ms  8.933 ms  5  M9-F1-7206-2.ramtel.ru (193.232.244.118)  9.642 ms  10.063 ms  9.656 ms  6  * NP-6009.core.rambler.ru (217.73.194.6)  10.963 ms  10.994 ms

Выбрав провайдера, и удостоверившись, что он предлагает качественный и приемлемый по скорости доступ в Интернет, встает более важный вопрос определения необходимого вам типа соединения. Так как в нашей статье речь идет об организации доступа в Интернет для предприятий, то DialUp-доступ сразу же отпадает в связи с ограничениями по скорости. ISDN тоже теперь редкость, хотя был достаточно популярен некоторое время назад.

Наиболее дешевым и практичным для предприятий является ADSL (Asymmetric Digital Subscriber Line) доступ.

Технология ADSL позволяет передавать информацию к пользователю примерно до 6-7 Mбит/сек и обратно от пользователя примерно 640 Кбит/сек. При использовании ресурсов сети Интернет сотрудниками компании как нельзя лучше походит ADSL, т.к. большая часть трафика является как раз входящей.

Для установки ADSL зачастую достаточно наличия обычной телефонной линии. Причем благодаря выделению телефонного потока частотными разделителями, ваш телефонный аппарат, «висящий» на линии, остается свободным. Таким образом, вы можете использовать телефонную связь и работать в Интернете одновременно. Скорость подключения по ADSL будет зависеть от параметров вашей телефонной линии (протяженности, качества кабеля и т. д.).

Как видно, подключение по ADSL-технологии является оптимальным решением для организаций, поэтому можно остановиться на нем. Хотя, возможно, что для решения встающих перед вами задач более приемлемым будет другое подключение. Выбрав провайдера и тип подключения, может показаться, что нам уже можно подключаться к сети, однако следует вспомнить о безопасности. Обычно провайдер выдает вам при подключении к сети Интернет сразу блок из нескольких IP-адресов. Вы можете поставить маршрутизатор и назначить всем машинам в сети компании IP-адреса из данного блока. Однако таким образом все компьютеры становятся «видны» в Интернете, что не очень безопасно.

В этом случае лучшим вариантом будет установка шлюза между локальной сетью компании и Интернетом. После установки шлюза ваши компьютеры в локальной сети не будут так видны с внешней стороны. В дальнейшем вы можете столкнуться с проблемами защиты самого шлюза.

Опишем процесс установки шлюза на PC (персональном компьютере). Можно, конечно, воспользоваться готовыми аппаратными решениями различных компаний (например, CISCO), но их оборудование достаточно дорого по сравнению с аналогично собранным и настроенным на ПК. Кроме того, оно менее гибко в дальнейшей работе: в вопросах добавления новых функций и обновлений, потому остановим наш выбор на установке шлюза на персональном компьютере.

Для начала нам необходимо выбрать аппаратную основу для нашего будущего сервера (шлюза). Мощности, которые предоставляют нам современные компьютеры, на мой взгляд, избыточны для фильтрации и маршрутизации пакетов. Теоретически шлюз можно поставить и на 386-ом процессоре. Но с учетом развития операционных систем и технологий, а также роста скоростей передачи данных в сетях, – это крайность. Однако Intel Pentium 4 ставить смысла тоже нет: скорее всего, его ресурсы будут простаивать впустую (если, конечно, вы не захотите нагрузить в будущем сервер решением каких-либо дополнительных задач помимо маршрутизации). Мне вполне хватало процессоров Intel Celeron. Во-первых, эти процессоры доступны по цене, а во-вторых, их производительности вполне хватает для решения задач роутинга. Например, у меня стоял шлюз на Intel Celeron 1000 МГц Tualatin. Причем этот сервер еще выполнял функции firewall, веб-сервера, почтового сервера, фалового сервера и сервера SQL. Все это крутилось на одной такой машине и ее загрузка никогда не поднималась выше 50%.

Однако при выборе процессора надо учитывать и масштабы компании, так как, например, есть разница в почтовых серверах различных компаний, точнее, в их загрузке. Что касается материнских плат, то я бы рекомендовал фирму ASUS, т.к. по сравнению со специализированными материнскими платами под сервера, они гораздо дешевле и досточно надежны, если сравнивать их с материнскими платами такого же уровня (у меня, например, стоял ASUS TUSL 2C).

При выборе жестких дисков, памяти и т. д. все упирается в ваши финансовые возможности. Если есть возможность поставить DDR или RIMM, то ставьте их, если нет, то, разумеется, и вариантов нет: DIMM. С жесткими дисками такая же история. Если есть возможность, то ставьте RAID.

Естественно, что касается обьемов (HDD и RAM), то тут тоже политика – «много памяти не бывает». Хотя если ваш сервер будет всего лишь шлюзом, то не имеет смысла платить большие деньги за RAID и большое количество памяти. Так что оставим это на ваш выбор.

Пожалуй, сетевые карты – это то, на чем действительно стоит остановиться. Лично я бы рекомендовал использовать сетевые карты фирмы 3COM, т.к. они достаточно надежны и поддерживаются большинством программного обеспечения. Поэтому именно о них и пойдет наша дальнейшая речь. Итак, какую операционную систему выбрать? И опять мнение автора: рекомендую UNIX-подобные системы, а именно Linux. На моем опыте и опыте моих коллег, именно UNIX-подобные системы зарекомендовали себя как действительно надежные системы для серверов. Вы же не хотите как-то утром, придя на работу, увидеть на экране монитора сервера синий экран снятия дампа памяти при сбое перед перезагрузкой. А Linux я рекомендую использовать потому, что системы на ядре Linux сейчас, в связи с их возрастающей популярностью, постоянно обновляются, под них выходит много интересных решений и, благодаря открытым исходным кодам, множество программистов занимаются поддержкой этой системы.

Вопрос выбора дистрибутива Linux не столь существенный, т.к. в любом случае вам придется настраивать сервер под свои задачи. По моему мнению, довольно неплохие дистрибутивы Linux, выпущенные фирмой ASPLinux и RedHat Linux. Таким образом, выбрав аппаратную среду и операционную систему, нам предстоит начать собственно настройку доступа в Интернет.

Допустим, при заключении договора с провайдером вам предоставили доступ в Интернет по ADSL. Установив ADSL, вам фактически надо протянуть Ethernet-кабель между одной сетевой картой сервера (далее интерфейс eth0) и самим модемом (зависит от модели предоставленного модема). Вторую сетевую карту (далее интерфейс eth1) мы соединили с хабом (HUB) локальной сети.

При установке Linux у вас будут запрошены некоторые параметры, в том числе и параметры сети. Предположим, что вы установили их в соответствии с тем, что вам было выдано провайдером.

Например, провайдер нам выдал IP 195.54.223.15 и шлюз 195.54.223.14. Наша локальная сеть представляет собой сеть 192.168.1.0 с маской 255.255.255.0 и IP-адрес интерфейса eth1, мы выберем себе 192.168.1.1.

DEVICE=eth1

ONBOOT=yes

IPADDR=192.168.1.1

NETMASK=255.255.255.0

NETWORK=192.168.1.0

BROADCAST=192.168.1.255

После установки Linux и настройки сети убедимся, что сеть функционирует. Попробуем «попинговать» шлюз со стороны Интернета (например, ping 195.54.223.14). И также проверим связь в локальной сети, сделав ping на любой работающий компьютер в сети. Если вы убедились, что сетевое подключение функционирует, в принципе можно приступить к настройке шлюза. Однако я рекомендую все же обратить ваше внимание на некоторые компоненты системы, на версию используемого ядра. Старайтесь всегда использовать последнее стабильное ядро, скачать исходные коды которого вы можете с www.kernel.org (о том, как собирать новое ядро написано множество статей, и это довольно большая тема). Единственное, что следует добавить: старайтесь использовать хотя бы ядра версий 2.4.х (в момент написания статьи последней стабильной версией ядра является 2.4.20), т.к. с появлением серии 2.4 в ядрах стал использоваться фильтр пакетов iptables, который, на мой взгляд, более гибок по сравнению со своим предшественником ipchains. Так же хочу заметить, что именно он нам понадобится для дальнейшей настройки шлюза.

Но перед тем как приступить к его настройке, хочу еще обратить ваше внимание на те сервисы (демоны/Daemons), которые запускаются при старте системы. Поскольку изначально наш сервер планируется исключительно как шлюз, мы отключаем все сетевые сервисы (демоны), которые не будут в дальнейшем нами использоваться. Таким образом мы сделаем наш сервер потенциально менее уязвимым. В RedHat это можно сделать при помощи программы, набрав команду setup. Отключив все ненужные нам сервисы, приступим к самому главному, к чему мы так стремились, – к настройке шлюза. На самом деле это можно сделать двумя способами, используя Iptables, с помощью:

• MASQUERADE (маскарадинг);
• NAT (SNAT).

Для того чтобы остановить свой выбор на одном из двух способов, стоит исходить из следующих соображений. В случае SNAT используется меньше ресурсов. Однако применяя МASQ (маскарадинг), вам не придется хлопотать за нестабильные интерфейсы, которые могут подниматься или падать, например при DialIn/DialUp. Соответственно, если вы используете DialUp- или DialIn-соединение на данном сервере, на которое будет распространяться правило шлюзования, то лучше использовать MASQUERADE. Если же все интефейсы у вас всегда активны (постоянные сетевые соединения), то используйте SNAT и сэкономите немного ресурсов (как настраивать оба случая будет описано далее). Если вам сложно сделать выбор, то используйте MASQUERADE и ни о чем не беспокойтесь.

Рассмотрим примеры скриптов для первого и второго случая. В случае использования MASQUERADE скрипт будет выглядеть примерно так:

#! /bin/bash

# Указываем правила роутинга: (шлюз по умолчанию)

route add -net 0.0.0.0 netmask 0.0.0.0 gw 195.54.223.14

# Очищаем текущее содержимое цепочек Iptables

/usr/local/sbin/iptables -F

/usr/local/sbin/iptables -t nat –F

# Подключаем необходимые модули (см. примечание после скрипта).

#/sbin/modprobe iptable_filter

#/sbin/modprobe iptable_mangle

#/sbin/modprobe iptable_nat

#/sbin/modprobe ipt_LOG

#/sbin/modprobe ipt_limit

#/sbin/modprobe ipt_state

#/sbin/modprobe ipt_owner

#/sbin/modprobe ipt_REJECT

#/sbin/modprobe ipt_MASQUERADE

#/sbin/modprobe ip_conntrack_ftp

#/sbin/modprobe ip_conntrack_irc

#/sbin/modprobe ip_nat_ftp

#/sbin/modprobe ip_nat_irc

# Разрешаем форвардинг пакетов через шлюз.

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables –P FORWARD ACCEPT

# Прописываем правило NAT.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Хочется отметить, что команда route не является обязательной в случае, если вы уже настроили подключение к Интернету и данное правило присутствует в таблице роутинга. Также вы можете прописать правила роутинга в RedHat Linux в файле /etc/sysconfig/static-routes (по умолчанию такого файла может и не быть).

Пример формата файла static-routes:

any net 0.0.0.0 netmask 0.0.0.0 gw 195.54.223.14

Что касается строчек типа /sbin/modprobe… и т. д., то они необходимы в том случае, если вам понадобятся для работы некоторые модули. В данном скрипте я закомментировал эти строки. Вы можете раскомментировать их, исходя из своих нужд.

Теперь приведем пример аналогичного скрипта, если вы решили использовать SNAT вместо MASQUERADE:

#! /bin/bash

# Указываем правила роутинга: (шлюз по умолчанию)

route add -net 0.0.0.0 netmask 0.0.0.0 gw 195.54.223.14

# Очищаем текущее содержимое цепочек Iptables

/usr/local/sbin/iptables -F

/usr/local/sbin/iptables -t nat –F

# Подключаем необходимые модули (см. примечание после скрипта).

#/sbin/modprobe iptable_filter

#/sbin/modprobe iptable_mangle

#/sbin/modprobe iptable_nat

#/sbin/modprobe ipt_LOG

#/sbin/modprobe ipt_limit

#/sbin/modprobe ipt_state

#/sbin/modprobe ipt_owner

#/sbin/modprobe ipt_REJECT

#/sbin/modprobe ipt_MASQUERADE

#/sbin/modprobe ip_conntrack_ftp

#/sbin/modprobe ip_conntrack_irc

#/sbin/modprobe ip_nat_ftp

#/sbin/modprobe ip_nat_irc

# Разрешаем форвардинг пакетов через шлюз.

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables –P FORWARD ACCEPT

# Прописываем правило NAT.

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 195.54.223.15

Теперь необходимо прописать этот файл в автозгрузке системы. Вы можете вставить строки в /erc/rc.d/rc.local, либо прописать файл скрипта в /etc/inittab, добавив в него, например, строку:

net:345:wait:/etc/rc.d/rc.gateway

где /etc/rc.d/rc.gateway – путь и имя файла скрипта.

Также необходимо сделать файл исполняемым. Для этого можно установить на него, к примеру, следующие атрибуты командой:

chmod 755 /etc/rc.d/rc.gateway

Перезагрузите машину (команда reboot). Если вы все прописали правильно, то ваш сервер готов к работе. После перезагрузки сервер должен «маскарадить» пакеты из локальной сети в Интернет, но не наоборот. Т.е. ваша локальная сеть остается недоступной для соединений со стороны Интернета. Таким образом мы защитили компьютеры локальной сети от нападений извне (точнее, скрыли их). Но это не означает, что мы защитили сам шлюз. Конечно, если отключить на нем все сетевые сервисы, можно считать его достаточно защищенным, однако для полноценной защиты шлюза вам необходимо настроить все тот же firewall на сервере, но это тема отдельной статьи. Кроме того, правильно настроенный PROXY-сервер поможет вам сэкономить трафик.

Наконец, расскажем немного о настройках конечных пользователей локальной сети. Можно, конечно, прописать каждому пользователю уникальный IP-адрес и установить остальные настройки. Но такой вариант является приемлемым, когда их пять или десять. Но когда в вашем ведении находится сто и более машин, вы столкнетесь с необходимостью автоматизировать процесс выдачи IP-адресов. И речь сейчас пойдет о DHCP. (См. также статью Д. Колисниченко «Конфигурирование DHCP», с.12-14, – прим. ред.)

Если при установке вашей системы вы не поставили DHCP-сервис, именуемый как dhcpd, то в случае, например, с RedHat вы можете доставить его с одного из компакт-дисков дистрибутива или скачать пакет с сайта (например, в случае с Debian Linux). Настройка DHCP-сервера на самом деле проста и во многом может сократить трудоемкость работ по настройке в случае, если бы вы стали настраивать 20 машин по отдельности.

Пример конфигурационного файла к DHCP приведен ниже (/etc/dhcpd.conf):

option subnet-mask 255.255.255.0;

option broadcast-address 192.168.1.255;

option domain-name "mynet";

option domain-name-servers 195.34.32.10;

option netbios-node-type 8;

default-lease-time 600;

max-lease-time 1200;

subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.2 192.168.100.254;

host vasya {

hardware ethernet 00:A0:C9:16:2F:4E;

fixed-address 192.168.1.2;

}

host petya {

hardware ethernet 00:50:BF:5C:2E:09;

fixed-address 192.168.1.3;

}

host kolya {

hardware ethernet 00:40:F4:70:4F:D2;

fixed-address 192.168.1.4;

}

host marina {

hardware ethernet 00:80:C7:69:5C:28;

fixed-address 192.168.1.5;

}

}

В данном примере конфигурационного файла мы видим в начале объявление параметров нашей сети, указание времени аренды и DNS-адресов (у вас, соответственно, должен быть указан DNS вашего провайдера). Также мы указали диапазон выдачи IP-аресов (c 192.168.1.2 по 192.168.100.254), причем далее идет описание четырех машин. Эти машины будут постоянно получать в аренду от DHCP-сервера один и тот же IP (соответствие присваемого IP MAC-адресу сетевого адаптера). Остальные машины получат свободные IP-адреса из указанного выше диапазона на усмотрение самого DHCP-сервера. Как видно, в его настройке нет ничего сложного, однако, хочется предупредить нашего читателя, что в случае установки нового DHCP-сервера в сети при применении в сети свичей (Switch) возможны проблемы с получением аренды IP-пользователями. Например, в моей практике был случай, когда при переходе со старого DHCP-сервера на новый мы столкнулись с проблемой, что один из сегментов сети, «сидящий» на отдельном свиче, просто перестал получать аренду IP-адресов от DHCP-сервера. При этом все остальные пользователи сети (вне этого сегмента) абсолютно нормально получили у сервера аренду и продолжали прекрасно работать. Все, что необходимо было сделать – это переинициализировать свичи, т.е. выключить на некоторое время и включить снова.

Естественно, что по мере разрастания пользователей сети, да и вообще при подключении компании к Интернету, у вас возникнет множество других забот. Например, вам может понадобиться подсчитывать трафик и разграничивать доступ в сеть между различными пользователями или компьютерами, или же поставить ограничение на время пребывания в сети. Для этих целей вам понадобится устанавливать так называемый прокси-сервер SQUID. Или же вы захотите иметь свой собственный DNS-сервер, чтобы не использовать DNS-сервера провайдера. Или возникнет желание настроить на сервере свой почтовик или веб-сервер. Обо всем этом я постараюсь рассказать в следующих статьях с подробным описанием, как это все настроить, приложением рабочих конфигурационных файлов или ссылок, откуда все это можно будет бесплатно скачать (планируется выкладывать конфигурационные файлы в Интернет). При возникновении вопросов пишите мне на: alexey_fyodorov@mail.ru, и я постараюсь вам помочь.