ОЛЬГА ЗЕМСКОВА, ОЛЕГ ШИРНИН, ЕГОР ЦЮРЮПА
Сетевой проект для небольшой компании
Наедавно завершился студенческий IT-турнир «Кубок сетевых проектов Microsoft», который был организован компаниями SoftLine, Microsoft, ZyXEL и Учебным центром ВМК МГУ & SoftLine Academy (www.it-university.ru). В результате акции по одному и тому же техническому заданию студенческими командами были разработаны и реализованы различные варианты сетевой инфраструктуры предприятия, один из которых представлен в статье.
Слово команды «H0lid@ys»
Наша команда принимала участие в студенческом турнире «Кубок сетевых проектов Microsoft», и по совокупности оценок наш проект занял первое место. В этой статье мы представляем вам свое решение, а также комментарии специалистов, обратите внимание, что проект содержит некоторые недочёты. На них по ходу статьи оставят свои комментарии специалисты комиссии, принимавшей у нас этот проект. Полную документацию ищите на сайте организатора, где проходил этот турнир (http://www.it-university.ru/center/it-project/windescr.asp).
Рисунок 1. Схема сети предприятия, предложенная командой H0lid@ys
Состав команды:
- Руководитель проекта – Земскова Ольга (студентка 5 курса МИЭМ, Microsoft Certified Systems Administrator).
- Исполнитель решения – Цюрюпа Егор (студент 4 курса МИЭТ).
- Составитель проектной документации и демонстратор решения – Ширнин Олег (студент 5 курса МИЭМ, Microsoft Certified Systems Administrator).
Техническое задание: описание сетевой инфраструктуры компании
Сетевая инфраструктура компании до начала проектирования и схема сети уже были приведены в прошлом номере журнала (№10), и, чтобы не повторяться, здесь укажем только самые необходимые данные.
До недавнего времени у компании был один офис с одноранговой сетью, не подключенной к Интернету. Недавно был арендован новый офис, при этом планируется, что оба офиса будут подключены к Интернету с помощью высокоскоростного ADSL-соединения. Компания уже закупила 5 серверов с OC Microsoft Windows Server 2003 Standard Edition. Три из них установлены в основном офисе и два – в дополнительном офисе. Все клиентские компьютеры – Windows XP Professional. Приобретено также беспроводное и ADSL-оборудование компании ZyXEL (P-662HW и P-2602HW), заключен договор с провайдером и выполнено подключение офисов к Интернету на скорости 7,5 Мбит/с с выделением по одному статическому IP-адресу на каждый офис.
Техническое задание: требования к проекту
- Организовать обмен документами между офисами. В каждом из офисов должен быть файловый сервер для хранения и обмена документами между сотрудниками офиса, а также для обмена документами между офисами. Этот сервер предназначен только для хранения деловых документов, запись на него музыкальных и видеофайлов запрещена. Обмен документами между офисами должен осуществляться только через локальный или удаленный файловый сервер. Прямой обмен документами между клиентскими станциями разных офисов должен быть заблокирован. Доступ сотрудников офиса к файловому серверу, расположенному в другом офисе, должен быть «прозрачным», т.е. не должны запрашиваться имя и пароль.
- Защитить информацию при обмене между офисами. Для защиты передаваемой между офисами информации должно быть организовано шифрование на этапе передачи данных через Интернет. При этом длина ключа шифрования должна составлять не менее 128 бит.
- Обеспечить безопасную и эффективную работу с Интернетом. Организации требуется решение, позволяющее:
- Ограничивать доступ в Интернет для отдельных групп пользователей.
- Вести журнал доступа в Интернет и проводить анализ использования Интернета (наиболее популярные сайты, объем загруженный из Интернета тем или иным пользователем и т. д.).
- Безопасно публиковать внутренние серверы (веб-серверы и сервер электронной почты) для обеспечения доступа к ним из Интернета.
- Обеспечить удобство администрирования сети. Предложенное решение должно максимально сокращать издержки на администрирование и поддержку IT-инфраструктуры. Типичные задачи администрирования (создание новых пользователей, разграничение доступа, развертывание приложений и т. д.) должны выполняться максимально просто.
- Внедрить систему электронной почты. Компании требуется внедрение системы электронной почты, позволяющей обмениваться электронной почтой как внутри организации, так и за ее пределами. Поскольку в организации уже давно используется Microsoft Office, большинство клиентов будут работать с электронной почтой с помощью Microsoft Outlook, но должна быть также предусмотрена возможность применения и других клиентов электронной почты. Для упрощения переписки крайне желательно, чтобы для любого пользователя был доступен общий адресный список, содержащий электронные адреса всех пользователей организации.
- Реализовать беспроводное подключение в офисах. В обоих офисах решено организовать беспроводной доступ к сети организации для приезжающих торговых представителей и партнеров. Всех беспроводных клиентов можно разделить на два класса:
- Беспроводные клиенты, которым требуется ограниченный доступ к документам организации (доступ к определенным общим папкам) и доступ к Интернету. Обычно это партнеры, приезжающие на несколько дней и работающие в офисе.
- Беспроводные клиенты, которым не требуется доступ к документам организации, но требуется доступ к Интернету.
Для обоих классов клиентов беспроводной доступ должен быть аутентифицированным. Беспроводное решение также должно обеспечивать конфиденциальность передаваемого беспроводного трафика путем шифрования. Длина ключа шифрования – не менее 128 бит. При шифровании беспроводного трафика требуется периодическая смена ключа шифрования для затруднения криптографических атак.
- Установить веб-сервер организации. Веб-студией разработан веб-сайт компании, который должен быть размещен на одном из серверов основного офиса и к которому требуется обеспечить доступ из Интернета.
Запись www.eurostroy-m.ru внесена в DNS-зону eurostroy-m.ru, которая поддерживается DNS-сервером провайдера. Эта запись соответствует статическому IP-адресу, выделенному провайдером при подключении основного офиса к Интернету через ADSL-соединение. По предварительным оценкам, объем информации, загружаемый с сайта, не превысит 300 Мб в сутки.
Реализация проекта
После анализа технических требований проекта командой были приняты следующие решения:
Требования 1 и 2
Согласно ТЗ выделено только по одному «реальному» IP-адресу на каждый из офисов, поэтому в офисах компании будет применена частная IP-адресация (согласно RFC1918). Для подключения к Интернету будет использовано устройство, выполняющее функции NAT (network address translator). Для маршрутизации между сетями офисов, каждая из которых находится за NAT-устройством, между этими устройствами будет установлен шифрованный VPN-туннель. В качестве кандидатов на VPN-протокол могут рассматриваться PPTP, L2TP или IPSec в туннельном режиме. Командой был выбран протокол PPTP как более простой в настройке и обеспечивающий требования ТЗ. После настройки VPN-туннеля серверы и рабочие станции одного офиса смогут непосредственно взаимодействовать с серверами и рабочими станциями другого офиса, как если бы они просто находились в разных сегментах одной локальной сети.
Требование 3
Поскольку стоит задача устанавливать разный уровень доступа к Интернету для различных пользователей и вести удобный журнал использования Интернета, необходимо выбрать подходящее решение. Если в качестве устройства-шлюза будет использован интернет-центр ZyXEL, то в полном объеме требование выполнить не удастся. Поэтому следует применить специализированный Firewall/Proxy server. В качестве такого решения командой был выбран MS ISA Server 2004. Его основное достоинство – обеспечение контроля доступа в Интернет не по IP-адресам компьютеров, а по пользователям Active Directory. Причем при попытке пользователя выйти в Интернет с использованием любой программы (браузер, FTP-клиент, ICQ и т. д.) аутентификация пользователя проходит для пользователя абсолютно незаметно. Это достигается путем установки на каждом клиентском компьютере специального ПО, называемого «Firewall Client». Важно заметить, что установка Firewall Client не является обязательной, она лишь позволяет обеспечить аутентификацию для любых Winsock-приложений, а не только для веб-браузеров.
Также ISA Server позволяет анализировать трафик, который передается между офисами по VPN-туннелю и контролировать доступ между ними. Так можно выполнить требование: «Прямой обмен документами между клиентскими станциями разных офисов должен быть заблокирован». ISA Server 2004 может ввести журнал как в файл, так и в базу данных, а также имеет удобные средства построения отчетов.
Поскольку ISA Server 2004 используется как шлюз для доступа в Интернет, он должен быть расположен между сетью офиса и Интернетом и выполнять функции NAT. Тем не менее подключение к Интернету уже выполнено с использованием интернет-центра ZyXEL, который также является NAT-устройством. Решить проблему можно несколькими способами, например, запросив у провайдера дополнительные IP-адреса и организовав маршрутизацию, или перевести интернет-центр в режим моста (если это позволяет провайдер). Команда решила просто настроить на интернет-центре трансляцию всех портов (port translation) для входящих запросов. В этом случае все запросы, поступающие на внешний IP-адрес интернет-центра ZyXEL, перенаправляются на внешний IP-адрес компьютера MS ISA Server 2004 и тот же самый порт.
При отправке клиентом пакета в Интернет, этот пакет идет следующим путем:
- Клиент.
- ISA Server 2004 (NAT+контроль доступа в Интернет).
- Интернет-центр ZyXEL (NAT).
- Маршрутизатор провайдера и далее – в сеть Интернет.
Требование 4
Служба каталогов Active Directory (AD) позволит сократить затраты на администрирование по сравнению с одноранговой сетью. С помощью единой системы AD можно организовать прозрачный доступ пользователя ко всем ресурсам (общим папкам, принтерам, своему хранилищу электронной почты), а также обеспечить централизованное управление клиентскими компьютерами с помощью Групповой политики (Group policy). При внедрении AD в сети с несколькими офисами встает вопрос о количестве доменов. Можно внедрить в компании один домен или два домена – по одному домену в каждый офис (в одном лесу AD). Команда выбрала вариант с одним доменом. К преимуществам этого варианта можно отнести простоту и надежность. Отказоустойчивость AD достигается установкой по одному контроллеру домена в каждом офисе. Для оптимизации трафика репликации AD и трафика входа пользователей в сеть создано 2 сайта (site) AD, которые включают IP-адреса соответствующего офиса.
Требование 5
Внедрение системы электронной почты требует установки одного или нескольких почтовых серверов. Основную проблему представляет наличие единого адресного списка всей организации. Этот список должен храниться в одном экземпляре, чтобы все изменения, вносимые в него, сразу были видны всем клиентам. Поскольку в компании используется MS Office, в качестве сервера был выбран MS Exchange Server 2003 Standard Edition. Эта редакция имеет ограничение 16 Гб на максимальный размер почтового хранилища (mailbox store), что вполне достаточно для нужд этой компании.
Выбор MS Exchange Server 2003 в качестве системы электронной почты предоставляет компании следующие преимущества:
- Единый адресный список всей компании (формируется на основе учетных записей в Active Directory). При создании для пользователя почтового ящика его адрес немедленно становится доступен в общем адресном списке.
- Интеграция с Active Directory. Доступ к почтовому ящику осуществляется «прозрачно», без запроса отдельного имени и пароля, так как для аутентификации пользователя используются его доменные учетные данные.
- Хранение всей электронной почты, личных контактов, задач, заметок и т. д. на сервере. При этом все вышеперечисленные элементы будут доступны пользователю с любого компьютера и даже за пределами организации (через Outlook Web Access).
- Простота настройки и поддержки. В минимальном варианте настройки после установки MS Exchange достаточно задать почтовый домен организации (@eurostroy-m.ru) и можно приступать к созданию почтовых ящиков.
- Наличие встроенного доступа к электронной почте через веб-браузер по протоколу HTTP – Outlook Web Access. Этот метод может применяться, например, сотрудником компании для доступа к почте из интернет-кафе, если сотрудник находится в командировке.
Комментарий экспертов
Для повышения безопасности электронной почты можно разместить SMTP Relay на отдельном компьютере, расположенном в сети 10.1.1.0. Эту роль может выполнить компьютер – веб-сервер, если он будет перемещен из внутренней сети в DMZ (см. ниже комментарий к «Требованию 7»). На этом же компьютере можно установить программу блокирования спама и проверки почты на вирусы. Это позволит затруднить атаки, явно направленные против MS Exchange Server. Вся входящая почта будет приходить сначала на SMTP Relay, где будет проверяться на вирусы и спам, а затем уже будет пересылаться на MS Exchange Server. Это изменение конфигурации также потребует изменения правил трансляции портов на интернет-центре и изменения правил публикации на ISA Server.
Требование 6
Беспроводной доступ клиентов к сети организации обеспечивается с помощью интернет-центра ZyXEL. Для аутентификации применяется механизм 802.1x (с применением протокола PEAP), поддерживаемый современным беспроводным оборудованием и клиентскими операционными системами Windows 2000 и Windows XP. С использованием 802.1x (PEAP) аутентификация выполняется следующим образом:
- Клиентский компьютер пересылает на беспроводную точку доступа имя и пароль для аутентификации.
- Точка доступа пересылает эти учетные данные на сервер RADIUS, адрес которого задается при настройке точки доступа.
- Сервер RADIUS проверяет имя и пароль любым поддерживаемым им способом. В случае успешной проверки сервер RADIUS с помощью пакета Access-Accept сообщает точке доступа, что доступ для клиента разрешен. После этого точка доступа разрешает обмен кадрами между клиентом и проводной сетью, а также другими беспроводными клиентами.
Сервер RADIUS (известный в Windows как IAS – Internet Authentication Service) входит в состав ОС Windows Server 2003. При этом проверка имени и пароля проводится либо с использованием локальной базы учетных записей Windows, либо с использованием базы учетных записей Active Directory (по умолчанию). Для работы 802.1x (PEAP) необходимо также наличие цифрового сертификата на сервере RADIUS, поэтому для выписки сертификатов на одном из компьютеров установлена служба сертификации (Certificate Services), которая также входит в состав Windows Server 2003.
Плюсами технологии 802.1x (PEAP) являются:
- Аутентификация по именам и паролям, что позволяет вести журнал подключений и отслеживать попытки доступа к беспроводной сети.
- Лучшая управляемость, поскольку для смены пароля достаточно изменить его в Active Directory и не требуется перенастройка точки доступа.
- Автоматическое согласование ключей шифрования трафика (WEP) между точкой доступа и клиентом при подключении, что позволяет повысить безопасность беспроводного доступа и выполнить требование ТЗ.
Для шифрования беспроводного трафика был применен протокол шифрования WEP 128 бит.
Доступ к сети для беспроводных пользователей контролируется политикой удаленного доступа, созданной на сервере RADIUS. Эта политика разрешает подключение к беспроводной сети членам группы безопасности WLAN Access в рабочее время по рабочим дням. Эта группа в свою очередь включает две глобальные группы безопасности: WLAN Users и WLAN Computers. Группа WLAN Users включает в себя группы WLAN Users Visitors (включает пользователя wlan_visitor) и WLAN Users Partners. Группа WLAN Computers не используется в сценарии, однако спроектирована с расчетом на то, что компания в будущем будет владеть беспроводными компьютерами – членами домена. Кроме того, политика беспроводного доступа предусматривает повторную аутентификацию пользователя в сети каждые 15 минут (Session Timeout), что является рекомендуемым временем для смены пароля WEP.
Беспроводному клиенту, которому требуется только доступ к Интернету, сообщается имя и пароль пользователя wlan_visitor. Этому пользователю явно запрещен доступ к общим ресурсам. Если же клиенту требуется доступ как к Интернету, так и к сети организации, ему сообщается имя и пароль учетной записи, специально созданной для этого человека администратором и включенной в группу WLAN Users Partners. В обоих случаях беспроводной пользователь попадает в сеть 10.x.x.x, для которой на соответствующем шлюзе ISA Server публикуется внутренний файловый сервер, расположенный на контроллере домена (ISA Server 2004 Server Publishing rule, протокол CIFS Server).
Комментарий экспертов
Применение криптографически слабого протокола WEP в данном сценарии ничем не оправдано. Рекомендуется применение протокола WPA, поддержка которого имеется как в оборудовании ZyXEL, так и в ОС Windows XP. Это потребует всего лишь выбора соответствующей опции при настройке интернет-центра ZyXEL и при настройке беспроводных клиентов.
Публикация на ISA Server протокола CIFS для беспроводных клиентов (для обеспечения доступа к общим папкам на контроллере домена) не кажется хорошей идеей. На наш взгляд, лучше было бы создать на самом компьютере ISA Server отдельную общую папку, открыть к ней доступ из сети 10.x.x.x и использовать ее для обмена данными между сотрудниками организации и беспроводными клиентами.
Требование 7
По соображениям безопасности веб-сервер в основном офисе (MS IIS 6.0) было решено разместить на отдельном сервере, не входящем в домен. Сервер публикуется на ISA Server 2004 основного офиса с помощью стандартного правила публикации веб-серверов.
Комментарий экспертов
Размещение веб-сервера во внутренней сети организации не является хорошей практикой. Рекомендуется перенос веб-сервера в сеть 10.1.1.0, которая находится между интернет-центром и ISA Server. При этом необходимо будет перенастроить интернет-центр так, чтобы выполнялась не полная трансляция всех портов на адрес ISA Server, а только трансляция портов для протокола PPTP. После этого на интернет-центре нужно будет задать, что порты 80 TCP (HTTP) и 25 TCP (SMTP) будут транслироваться на IP-адрес веб-сервера.
Заключение экспертов
Команда очень тщательно подошла к планированию проекта. В качестве положительных моментов можно отметить использование одного домена (согласно ТЗ применение двух доменов видится неоправданным) и реализованную полную отказоустойчивость основных служб (AD, DNS, DHCP). Тем не менее решение получилось довольно дорогим (стоимость операционных систем согласно ТЗ не учитывалась). Дополнительные затраты потребовались на приобретение 2-х экземпляров ISA Server 2004 Standard Edition и MS Exchange Server Standard Edition. Примерная стоимость решения составила $6935 (MS Exchange Server Standard Edition + 35 Клиентских лицензий + 2 шт. MS ISA Server 2004 Standard Edition). Для сравнения – некоторые команды реализовали проект, используя только встроенные возможности оборудования ZyXEL и ОС Microsoft Windows (правда, в ущерб некоторой функциональности).
Рекомендуемая схема сети предприятия с учетом предложенных экспертами изменений приведена на рис. 2.
Рисунок 2. Схема сети предприятия с учетом предложенных экспертами изменений
В целом сложность проекта соответствовала квалификации Сертифицированного Системного Администратора Microsoft (MCSA), а большинство настроек изучалось в учебных курсах Microsoft «MS-2273 Управление и поддержка среды Microsoft Windows Server 2003» (http://www.it-university.ru/courses/ms-2273.asp) и «MS-2277 Внедрение, управление и сопровождение сетевой инфраструктуры Windows Server 2003: сетевые службы» (http://www.it-university.ru/courses/ms-2277.asp).