KONFIGURACE SÍŤOVÝCH PŘIPOJENÍ A SLUŽEB PRO WINDOWS A LINUX

KONFIGURACE SÍŤOVÝCH PŘIPOJENÍ A SLUŽEB PRO WINDOWS A LINUX

Bc. PetrŠtěrba

ORLOVÁ 2013

Název:

Konfigurace síťových připojení a služeb pro Windows a Linux

Autor:

Bc. Petr Štěrba

Vydání:

první

Počet stran:

63

Určeno pro projekt:

Dílčí kvalifikace – nástroj pro efektivní získání kvalifikace a cesta k rychlé změně kompetencí

Číslo projektu:

CZ.1.07/3.2.07/03.0122

Vydavatel:

Gymnázium a Obchodní akademie, Orlová, p. o.

© Petr Štěrba © Gymnázium a Obchodní akademie, Orlová, p. o.

OBSAH Úvod ............................................................................................................................................. 2 Používané symboly ............................................................................................................... 3 1. Správa sítí v prostředí Windows Server 2008 ......................................... 4 1.1 Teoretický úvod ........................................................................................................... 4 1.2 Vylepšení sítí v systému Windows Server 2008 ........................................... 5 1.3 Instalace sítě s protokolem TCP/IP .................................................................... 6 1.4 Sledování stavu síťového připojení ................................................................... 10 1.5 Dynamické přidělování adres na Windows Server 2008 ......................... 12 1.6 Sledování dostupnosti a využití adres v DHCP, odstraňování chyb ... 21 1.7 Správa síťového tisku .............................................................................................. 22 1.8 Instalace tiskového serveru .................................................................................. 23 1.9 Virtuální privátní sítě – VPN ................................................................................. 24 1.10 Instalace VPN na Windows Serveru 2008.................................................... 28 2. Jak spravovat připojení k síti v prostředí OS Linux ‐FEDORA .......... 35 2.1 Nastavení síťového připojení v grafickém rozhraní .................................. 35 2.2 Nastavení síťového připojení v textovém rozhraní .................................... 37 2.3 Nastavení statického směrování ......................................................................... 40 2.4 Přiřazení serverů DNS ............................................................................................. 40 2.5 Server DHCP – instalace a konfigurace ............................................................ 42 2.6 Linuxový server jako směrovač ........................................................................... 46 2.7 Filtrování paketů na linuxovém směrovači – Firewall .............................. 49 2.8 Překlad ip adres v Linuxu –Masquarade ......................................................... 51 2.9 Směrování mezi sítěmi ............................................................................................ 53 2.10 Virtuální sítě – VLANY – na switchi v os linux ............................................ 55 2,11 VPN v Linuxu ............................................................................................................. 59 Závěr ....................................................................................................................... 61 Použitá literatura .............................................................................................................. 62

1

2

Úvod Vážení čtenáři, Otevřeli jste studijní materiál, který vás má seznámit s konfigurací sítí a síťových služeb v jednotlivých operačních systémech. Zaměřili jsme svou pozornost na dva nejpoužívanější operační systémy, Windows, konkrétně Windows Server 2008, a Linux (prakticky si vyzkoušíme distribuci Fedora. Předpokládá se, že máte základní znalosti z teorie adresace sítí, směrování, že vám je jasný princip služby DHCP a pojem virtuální síť apod. Ve většině témat se budeme přímo zabývat implementací příslušné teorie do konkrétního prostředí. Tedy jakási kuchařka či manuál pro řešení konkrétních úkolů. Materiál je rozdělen do dvou oddílů. První z nich je věnován prostředí operačního systému Windows Server 2008. Naučíte se nakonfigurovat síťové rozhraní, a jak to staticky, tak i dynamicky s využitím služby DHCP, vyzkoušíte si nastavení klienta pro vzdálený přístup (Remote Access i VPN). V prostředí instalovaného serveru Windows Server 2008 jej nastavíte do role DHCP serveru, VPN Serveru a nastavíte si podmínky pro síťový tisk. V prostředí operačního systému Linux budete řešit analogické úlohy jako v prostředí Windows, navíc se seznámíte s nastavením virtuálních sítí v případě, že bude počítač s operačním systémem Linux plnit roli serveru a směrovače. Ověříte si platnost nastudovaných teoretických poznatků a získáte experimentální zkušenosti, které určitě využijete v pozici Správce operačních systémů. Teoretický materiál bude vložen jako e-learningový kurz do prostředí LMS Moodle, doplněn praktickými úlohami a kontrolními testy. Po průchodu celého kurzu budete mít přehled o základech správy sítí v prostředí Windows i Linux. Přeji hodně trpělivosti a studijních úspěchů.

3

Používané symboly

Průvodce studiem – vstup autora, doplnění textu Informace – co se v kapitole dovíte Klíčová slova Čas potřebný ke studiu kapitoly Důležité – pojmy nebo početní vztahy Příklad – objasnění problematiky nebo řešený příklad Úkol k zamyšlení nebo cvičení Otázky a úkoly – řešení najdete v rámci opory Řešení úkolů – vážou se na konkrétní úkoly a otázky Část pro zájemce – rozšíření látky, pasáže jsou dobrovolné Shrnutí – shrnutí látky, shrnutí kapitoly Literatura Korespondenční úkol

4

Sítě v prostředí OS Windows

1. SPRÁVA SÍTÍ V PROSTŘEDÍ WINDOWS SERVER 2008 V této kapitole se seznámíte se základními pohledy na síť, typy sítí; prostudujete si základní nástroje, kterými disponuje Windows Server 2008 pro práci v síti. Projdete si základní skupinu protokolů uršených pro práci v síti, naučíte se síť nakonfigurovat síť s protokolem TCP/IP. Získáte přehled o základníxh síťových pojmech a jejich významu.

Klíčová slova Centrum sítí a sdílení, fyzické, logické uspořádání sítí, síť lokální, doménová, privátní, veřejná, virtuální,Mapa sítě, diagnostika sítě, SSTP, SRA, PPTP, L2TP, CAPI2, TEREDO, RDP, NAT, VPN

1.1 Teoretický úvod Při pohledu na síť registrujete její fyzické uspořádání související s umístěním jednotlivých prvků sítě a logické uspořádání, které je podkladem pro možnosti vzájemné komunikace mezi počítači a dalšími aktivními síťovými prvky. Pro nastavení komunikace používáme protokol TCP/IP. Windows Server 2008 má oproti předchozím verzím rozšířený balík nástrojů pro práci v síti. Mezi tyto nástroje patří Network Explorer (Průzkumník sítě) –vyhledávání počítačů a dalších zařízení v síti Network and Sharing Center (Centrum sítí a sdílení) ‐ prohlížení a správa konfigurace sítě, sdílení daného počítače Network Map (Mapa sítě) – zobrazení propojení počítačů a dalších zařízení v síti Network Diagnostics (Diagnostika sítě) – umožňuje hledání a řešení chyb na síti tak, že automaticky diagnostikuje chyby na síti a zaznamená je Uvedené nástroje využívají funkce začleněné do systému týkající se zjišťování počítačů, která umožňuje počítačů vidět se navzájem, a sledování sítě, která reaguje na změny připojení k síti a na změny konfigurace.


5

Funkce rozlišují 3 typy sítí:  doménová – představuje počítače a zařízení připojené k lokální doméně  privátní – obsahuje počítače přiřazené do pracovní skupiny bez připojení do internetu  veřejná – obecně síť na veřejném místě (internetová kavárna, hotel, letiště Ve veřejné síti je vypnuto zjišťování, což omezuje možnost počítačů z veřejné sítě mít přehled o ostatních připojených počítačích. Doménová a privátní síť mají zjišťování počítačů standardně zapnuto. Pro sdílení dalších zařízení, jako např, tiskáren, je nutné zjišťování zapnout ručně, a to buď v zásadách skupiny (Group Policy)nebo v nastavení auditování registru (otevřu prostředí registru – regedit, označím příslušný klíč a pomocí Edit, Vlastnosti nastavím přístu‐pová práva).

Samostatnou úlohou je vytváření (mapování) síťových jednotek a jejich využití pro přístup ke sdíleným složkám. use map m: = D:\Dokumenty\Management

Sdílená složka

1. 2 Vylepšení sítí v systému Windows Server 2008 Oproti předchozím verzím má Windows Server 2008 řadu vylepšení i co se týká používaných protokolů. V zásadách skupiny najdeme konfiguraci jak kabelové sítě (wired network IEEE 802.3), tak i pro bezdrátové připojení (Wireless network IEEE 802.11). Lze nastavit zásady zvlášť pro každý typ sítě. V novějších verzích Windows Server 2008 R2 najdeme i možnost změnit i opravit špatné heslo při přihlašování, případně znovu nastavit heslo, jemuž vypršela platnost. Podporují řadu protokolů pro zabezpečení sítě: Protokol Secure Socket Tunelling protokol (SSTP) – umožňuje přenos dat po linkové vrstvě pomocí protokolu HTTPS (Hypertext transfer protokol over Secure Socket Layer)s využitím protokolů TLS a SSL na portu 443. Podporuje IPv4 i IPv6. Protokol Secure Remote Access (SRA) – umožňují zabezpečený přístup ke vzdáleným počítačům pomocí protokolu HTTPS. Kombinace SSTP a SRA představují vylepšení oproti PPTP a TL2TP protože komunikují na vyšších vrstvách a nemají tedy problém s NATem. V podstatě máme technologii pro vytváření VPN.

6


Rozhraní Crypto API Version 2 (CAPI2) rozšiřuje možnosti ověřování stavu certifikátů ve spolupráci s protokolem OCSP, ověřování přístupu k úložišti certifikátu. URL adresy, kde se stahují certifikáty a jsou přidávány jako vlastnost k certifikátu certifikační authority.x Umožňuje použít IPv6 v síti s protokolem IPv4 Zachování portů pro službu TEREDO – Teredo je tunelovací technologie umožňující přenos NAT a umožňuje komunikovat mezi symetrickým překladem adres zachovávající porty; tzn. Překlad se zachová, pokud se použije stejný port. Použití Remote Desktop protokol (RDP) pro digitální podepisování souborů. Pomocí klienta RDP jsou soubory „podepsány“ a lze zabránit otevření souboru s nedůvěryhodným podpisem. RDP soubory mohou být podepsány pomocí Zásad skupiny (Group Policy), kdy jsou vygenerována tři nastavení a uživateli je dána možnost rozhodnout se, zda přijme soubor z nedůvěryhodného zdroje, či zda přijme nepodepsaný soubor.

1.3 Instalace sítě s protokolem TCP/IP Konfigurace protokolu TCP/IP je většinou řešena v rámci instalace, viz následující obr.


7

Je však možno ji provést samostatně, případně již nastavenou konfiguraci změnit. Nastavení konfigurace můžete provést v prostředí, ale je možno ji provést samostatně, případně již nastavenou konfiguraci změnit. Nastavení konfigurace můžete provést v prostředí vlastnosti síťového připojení, ke kterému se dostaneme přes Start Ovládací panely Centrum sítí a sdílení. Vybereme Spravovat síťová připojení

V následujících nabídkách je postupně dostaneme až k oknu pro nastavení konfigurace ručně nebo získávání konfigurace z DHCP.

8


Panely pro nastavení konfigurace TCP/IP včetně alternativní konfigurace

Ruční konfigurace TCP/IP

Konfigurace TCP/IP z DHCP

Ručně se zadá další konfigurace a použije se v případě, že DHCP server není k dispozici. Pokud nezadáme alternativní adresu, systém ji zvolí sám


9

Zvolíme-li na panelu konfigurace tlačítko , dostaneme se do prostředí, kde je možno doplnit k danému síťovému rozhraní další IP adresu, bránu a další parametry, případně některé hodnoty upravit či odebrat.

Pro ruční konfiguraci si zopakujte základní znalosti:  IP adresa, síťová, maska, brána, server DNS,  adresa veřejná a privátní,

+

 IPv6 - např. FEC0::1 Pozor!!! Než přidělíte ručně IP adresu, přesvědčte se, že nepatří do oboru adres používaných DHCP serverem a příkazem ping (z jiného PC) zjistěte, že daná adresa není aktuálně používána. (I tak se může stát, že přidělíte adresu používanou jiným PC).

10


Konfiguraci pro IPv6 můžeme získávat automaticky. Pro ruční zadávání IPv6 budete postupovat takto:

Zapiš adresu a stiskni TAB

Vloží se délka prefixu (neměnná část v síti)

1.4 Sledování stavu síťového připojení Po nastavení konfigurace protokolu TCP/IP si můžeme ověřit jeho účinnost v prostředí Start Ovládací panely Centrum sítí a sdílení Spravovat síťová připojení označíme síťové rozhraní a ze zobrazené nabídky vybereme položku Stav

Ve stejném prostředí je možno síťové připojení zakázat a pojmenovat.


11

Tlašítkem Podrobnosti získáme informace o stavu linky a případné podrobnosti o nastavení

Cvičení 1 Z následujícího schematu určete počet sítí a navrhněte její novou adresaci. Využijte privátní adresaci třídy C

12


1.5 Dynamické přidělování adres na Windows Server 2008 Centrální řízení dynamického přidělování adres je v kompetenci protokolu DHCP. Zjednodušuje správu domén Active Directory a umožňuje předávání konfigurace TCP/IP protokolu v síti. Aby mohla být tato úloha realizována, je nutno nainstalovat na serveru službu DHCP. Zařízení, které pak dynamické přidělení konfigurace vyžaduje, se nazývá klient. Windows Server 2008 může plnit roli DHCP serveru, a to jak pro IPv4, tak i pro IPv6. Může být také v pozici klienta, kdy sám vyžaduje dynamické nastavení konfigurace TCP/IP. Obsahuje jak klienta DHCPv4, tak DHCPv6. IP adresa je zapůjčena na určitou dobu a po uplynutí poloviny vyhrazené zápůjční doby se klient pokusí o obnovení nastavení, Pokud se mu to nepodaří, učiní tak těsně před uplynutím lhůty. Adresy, které nejsou včas obnoveny, se vracejí a mohou být znovu přiděleny. Výjimku tvoří adresy, které jsou rezervovány v závislosti na MAC adrese či jiném parametru. Automatická konfigurace (u IPv4 většinou tehdy, kdy není k dispozici DHCP server):  vybírá adresu ze sítě 169.254.x.x /16  před každým přidělením klient otestuje ARP dotazem, zda je IP adresa používána;  pokud v síti již adresa existuje, vybere jinou. Zkouší to maximálně 10 krát;  pokud stále není úspěšný, odpojí počítač od sítě a přidělí první vybranou adresu;  poté se každých 5 minut pokusí o spojení se serverem, a to až do okamžiku, kdy se DHCP server ozve a klient získá přiřazení konfigurace. S podstatou fungování služby DHCP a s přidělováním adres IPv4 jste se setkali již v jiných materiálech, zaměřme se tedy na proces dynamického přidělování adres IPv6. Adresa IPv6 má celkem 128 bitů a standardně prvních 64 bitů tvoří neměnnou část charakterizující síť. DHCPv6 může pracovat ve dvou režimech  

stavový režim protokolu DHCPv6 – přiděluje všechny parametry bezstavový režim protokolu DHCPv6 – klient získá IP adresu automatickou konfigurací a ostatní parametry přidělí protokol DHCPv6


13

Automatická konfigurace IPv6 se provádí na základě příznaků ze zprávy Inzerování směrovače, kterou odesílá vedlejší router – jedná se o příznaky M a O. Příznak M - Managed address configuration – při nastavení hodnoty na 1 informuje DHCPv6 protokol, aby nastavil stavovou IP adresu Příznak O – other statefull configuration – při nastavení hodnoty na 1 informuje DHCPv6 protokol, aby nastavil ostatní parametry Pokud mají oba příznaky hodnotu 1 => požadován stavový režim protokolu DHCPv6 Pokud je M nastaven na 0 a Ona1 => požaduje se bezstavový režim

Příznaky můžeme nastavit v příkazové řádce: (M = 1 a O = 1) netsh interface ipv6 set interface manageaddress=enabled netsh interface ipv6 set interface otherstateful=enabled Struktura zprávy protokolu DHCPv6 Msg type 1 B

Transaction ID -

Transaction ID 3 B

Option Code 2 B

Option Len 2 B

Option Data proměnlivé

určí, jak získat IPv6

Option Len – Délka části Option Data Speciální adresy: FEC0::1 ::1 FF02::1:2

- jednosměrná adresa v rámci propojení - loopback (smyčka) - pro All_DHCP_Relay_Agent_and_Servers (obdoba broadcastu). IPv6 neobsahuje všesměrové vysílání.

 Klient vyšle požadavek na přidělení adresy na adresu FF02::1:2  Když se klient a server DHCPv6 nacházejí v rozdílných sítích, získá požadavek (tzv. Solicit) přenosový agent DHCP (relay agent), přesměruje ho na server DHCPv6 a ten odpoví

14


Struktura zpráv mezi Relay Agenty a servery je různá, může obsahovat parametry: Link Address (16B) – charakterizuje podsíť, v níž se klient nachází (tedy z kterého oboru adres, se má adresa přidělit) Hop – Count (1B) –kolik agentů zprávu převzalo Peer address – identifikuje klienta, který zprávu původně poslal Relay –message – umožňuje zapouzdření zprávy při přenosu mezi serverem a klientem Jak nainstalovat přenosové agenty DHCP? 1. varianta – pomocí služby RRAS (routing and remote access service) 2. varianta – na rozhraní směrovače Zápůjčka IPv6 může být specifikována jako dočasná nebo trvalá (ta odpovídá klasické rezervaci) Instalace DHCP na serveru : Aby server mohl plnit roli DHCP serveru, sám musí mít adresu přiřazenou staticky!!!!!  Otevřete správce serveru, vyberete Role a vpravo označíte Add role  Z vybraných rolí zvolíte DHCP server a stisknete Další

Klikni Nainstalovat

nezapomeň


15

 v prostředí Průvodce přidáním rolí nastavíte potřebné parametry služby DHCP(doména, DNS servery, obory přiřazovaných adres, síťová maska a brána) Nastavení domény a DNS

Ověření platnosti adresy

16

Sítě v prostředí OS Windows Nastavení oborů adres

Potvrdíte nastavení, objeví se ve výpisu oborů

 Volbou Potvrzení zobrazíme celkové nastavení a v případě, že je správné, stiskneme Nainstalovat

Sítě v prostředí OS Windows  

17

Po dokončení instalace máme připravený server DHCP (vynechali jsme službu WINS, neboť v současné době již nepředpokládáme její využití). Službu lze spravovat v prostředí konzoly, kterou spustíme přes nabídku Start Nástroje pro správu (Administrative Tools) DHCP.

Můžeme zde sledovat přehled zapůjčených adres a ručně rezervovat IP adresy dle MAC adresy

Zelená šipka znamená, že služba je spuštěna

18


Správa DHCP serverů Nainstalovaný DHCP server je nutné ověřit vůči doméně, což znamená, že může přidělovat IP adresy v rámci domény. V konzole klikneme pravým tlačítkem na DHCP a z nabídky vybereme Spravovat ověřené servery.

Napiš ip adresu DHCP serveru a klikni OK

Přidání dalšího DHCP serveru do konzoly


19

V konzoli můžeme rovněž upravit dobu zápůjčky pro daný obor

Můžeme povolit architekturu NAP – vyžadování souladu s definovanými nároky na konfiguraci, případně softwaru klientských počítačů (např. povinnost mít nainstalovaný antivirový program) Pozor!!! Nutno naistalovat server NPS (Network Policy Server),kde budou požadavky nastaveny.

20


V prostředí konzoly lze spravovat DCHP na serveru s větším počtem síťových rozhraní. Přidělit daný obor k příslušné síti – zaškrtnutím příslušné karty (zde máme pouze 1) na záložce Upřesnit.

Záložka DNS slouží k propojení DNS a DHCP, kdy se aktualizují záznamy v překladové tabulce na DNS serverů, podle přidělené adresy.


21

1.6 Sledování dostupnosti a využití adres v DHCP, odstraňování chyb Činnosti spojené s pojmem Audit služby DHCP, který sleduje procesy a požadavky v protokolových souborech a umožňuje tak odstraňovat potíže spojené se službou DHCP. Povolíme ve vlastnostech IPv4 na katě Obecné

Cestu k protokolovým souborům lze nastavit ve vlastnostech DHCP serveru na kartě Upřesnit. .

22


1.7 Správa síťového tisku Pro tisk v síti je možno použít dvou typů zařízení  Místní tiskárna – je připojena fyzicky k počítači  Síťová tiskárna – je připojena buď k tiskovému serveru nebo prostřednictvím vlastního síťového rozhraní Tiskový server je počítač, který je připraven pro sdílení jedné či více síťových tiskáren. Veškeré tiskové úlohy zařazuje do jedné tiskové fronty, která je centrálně řízena. Druhou variantou řešení je připojit k tiskárně uživatele přímo (sdílet ji). V tom případě nepotřebujete instalovat tiskový server, ale každý uživatel má tak svoji vlastní tiskovou frontu. V případě problému je správa komplikovaná. Princip tisku Důležitým pojmem z hlediska tisku je Ovladač tiskárny. Po spuštění tisku v aplikaci je do paměti načten ovladač tiskárny a s jeho pomocí aplikace přeloží dokument do formátu, který dokáže tiskárna interpretovat, a předá se službě pro místní zařazení tisku a to předá tiskárně - dojde k zařazení do tiskové fronty. Pokud je tiskárna fyzicky připojena k počítači, na němž požadavek tisku vznikl, načítá se ovladač z fyzického disku. Pokud je umístěna na vzdáleném počítači stáhne se ze vzdáleného PC. Používáte-li tiskový server, data budou směrována službě na serveru, v případě Windows Server 2008 WinSpool.drv Ovladač je nainstalován pouze na serveru. Tisk je sledován pomocí Tiskové fronty Instalaci i správu tisku mohou ovlivňovat zásady nastavené v GPO (viz materiál věnovaný instalaci a konfiguraci –Windows Server 2008 ).


23

1.8 Instalace tiskového serveru V prostředí Správa Serveru přidáte roli Tiskové služby a z možných využívaných služeb si vyberete: 

Tiskový server- nainstaluje konzolu Správa tisku (lze použít ke správě i několika tiskáren, případně přesměrování na jiný tiskový server  LDP – použijete jen, chcete-li zpřístupnit tisk stanicím se systémem UNIX  Tisk přes Internet – umožňuje tisknout na sdílených tiskárnám prostřednictvím protokolu IPP(Internet printing protokol). Výchozí adresou je http://názevServeru/Printers

Pozn. Chcete-li instalovat tisk přes internet, musíte mít nainstalován webový server (IIS) Získáte přehled všech připojených tiskáren včetně potřebných ovladačů, sledování tisku z jednotlivých portů a předdefinovaných formulářů pro tisk. Pomocí zobrazené nabídky můžete přidat tiskárnu, analogicky i ovladač.

24


1.9 Virtuální Privátní síť Zkratka VPN vytvořená z názvu Virtual Private Network, umožní připojit vzdálené uživatele nebo firemní pobočky do síťové organizace prostřednictvím veřejných telekomunikačních služeb. Zjednodušeně - klient požádá server o vytvoření tunelu. Když server ověří jméno a heslo uživatele, klient i server vytvoří nová síťová rozhraní, která jsou spojena tunelem, který je šifrovaný a přes který jdou veškerá data. Servery po cestě tak vidí komunikaci mezi klientem a serverem šifrovaně a nejsou schopny ji přečíst. Cílový server potom data rozšifruje a pošle dál do internetu. Z venku to vypadá, že klient má počítač připojený přímo k serveru. Proč VPN? K vytvoření zabezpečené sítě pro větší vzdálenosti můžete využít pronajaté linky, což je ekonomicky nevýhodné a nesplňuje potřeby manažerů, kteří se potřebují připojovat do firemní sítě z různých místní. Vytvořením VPN prostřednictvím sítě internet podstatně snížilo náklady, umožnilo mobilitu připojení a bezpečnost je řešena vytvořením tunelu s šifrovaným přenosem dat; tunel spojuje dva body nebo jeden s několika body. VPN používá řadu protokolů a technologií, aplikuje autentizaci, sleduje neporušenost komunikace. Podle propojovaných celků lze rozlišit dva základní typy VPN: 

síť - síť - propojíme dvě nebo více sítí, používané u firem tvořených z několika jednotek ve vzdálených lokalitách. K propojení slouží speciální síťová zařízení (např. router, server), které plní úlohu VPN gateway a jsou schopny mezi sebou vytvořit VPN spojení. Přijímaná datové celky rozbalí a pošlou do sítě klasicky, odesílaná data zapouzdří do VPN tunelu. Na uživatelské stanici nemusí běžet klient VPN. Tento typ VPN používá protokol IPsec

Sítě v prostředí OS Windows 

25

Remote Access- připojují se jednotliví klienti k firemní síti. Na klientské stanici musíme nainstalovat klienta VPN, v privátní síti použijeme opět speciální síťové prvky. Mezi používané protokoly patří SSL a IPsec

VPN se rozlišují také podle použitého protokolu, který zajišťuje komunikaci ve VPN: 

IPsec VPN - Internet Protocol Security je asi nejrozšířenější forma VPN, je to součást IPv6 a hojně se používá v IPv4, často se kombinuje s L2TP (L2TP over IPsec), má problémy s NATem (řeší to NAT-T)



SSL VPN - využívá zabezpečené přenosy Transport Layer Security (TLS) nebo Secure Sockets Layer (SSL), běží na portu 443 (HTTPS) a VPN. Pracuje na vyšší vrstvě, takže nemá problémy s NATem, Microsoft vytvořil Secure Socket Tunneling Protocol (SSTP), což je přenos PPP nebo L2TP přes SSL



MPLS VPN - Multiprotocol Label Switching využívají hlavně ISP

IPsec (Internet Protocol Security) - skupina protokolů k zabezpečení IP komunikace mezi dvěma uzly.    

pracuje na internetové vrstvě ověřování probíhá obousměrně dojde k vyjednání metod šifrování a k výměně klíčů u IPv6 je automaticky obsažen, u IPV4 nutno doplnit

IPsec zahájí komunikaci tím, že se obě strany (ozn. peers ) navzájem identifikují (autentizují) a poté zašifrují přenášená data dohodnutým algoritmem. IPsec může pracovat ve dvou režimech:  

Tunnel mode – zašifruje se celý paket (včetně hlavičky), doplní nová

hlavička a pošle se dál; vhodný pro IPsec proxy server. Transport mode – šifrují se jen data, IP hlavička se ponechá a přidá se IPsec hlavička. Používá jej např. L2TP/IPsec klient ve Windows.

26


IPsec používá tyto protokoly 





Authentication Header (AH) - ověří zdroj dat pomocí hashovací funkce (MD5 nebo SHA1) a dohodnou si společný klíč, v hlavičce jen uvedeno pořadové číslo paketu Encapsulating Security Payload (ESP) – ověřuje zdrojové informace a zabezpečí je šifrováním (algoritmy DES či AES), používá protokol IP 50 Security Association (SA) - algoritmy, které zajistí bezpečnou komunikaci pomocí AH a ESP. Používají ISAKMP Framework (Internet Security Association a Key Management Protocol) a IKE (Internet Key Exchange), které vyjednají šifrovací algoritmus, dobu platnosti klíče, kompresi a metodu zapouzdření. Pro výměnu klíčů aplikují metodu DiffieHellman.

IPsec VPN komunikace běží obvykle takto : 1. pomocí IKE se na UDP portu 500 vyjedná SA a používá certifikáty (klienta a serveru) nebo PSK (Pre-Shared Key) 2. z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP IKE pracuje ve dvou krocích: 1.

2.

účastníci se ověří, vyjednají IKE SA a tak se vytvoří bezpečný kanál pro vyjednání IPsec SA v druhém kroku. Pracuje v režimu, kdy chrání identitu komunikujících stran – tzv. main mode, nebo aggressive mode IPsec SA dohodne parametry komunikace a nastaví šifrovací algoritmus, používá režim quick mode

Pokud je IKE rozšířen o protokol XAUTH (Extended User Authentication), můžeme autentizovat uživatele vůči RADIUS serveru. Konfigurace VPN, je-li server VPN za NATem NAT-T (Network Address Translation – Traversal) IPsec chrání posílané pakety hashem, aby nemohlo dojít ke změně obsahu. Pokud je v cestě NAT, upraví se IP hlavička, takže hash nesouhlasí a paket je zahozen. Pro vyřešení tohoto problému byl využit NAT-T. Přijatý paket se zapouzdří do UDP a doplní o novou UDP hlavičku a ta může být cestou modifikována. Na druhé straně se hlavička odstraní a příchozí paket je beze změn. IKE může během vyjednávání domluvit UDP zapouzdření. Komunikace běží na UDP portu 4500 a je označena jako IPsec over UDP nebo IPsec over NAT-T.


27

Layer 2 Tunneling Protocol (L2TP) - tunelovací protokol pro podporu VPN. Neprovádí žádné šifrování, pouze vytváří tunel. Komunikuje na UDP portu 1701. Kombinuje se s IPsec, který zajišťujte důvěrnost (šifrování) a autentizaci. Komunikaci označujeme jako L2TP/IPsec. Proces navazování spojení probíhá ve třech krocích:  pomocí IKE se na UDP portu 500 vyjedná SA, používá certifikáty (klienta a serveru) nebo PSK  z parametrů SA se naváže na IP 50 šifrovaná komunikace pomocí ESP v transportním módu  vyjedná se a naváže L2TP tunel mezi koncovými body, komunikace probíhá přes UDP 1701, ale to je zabalené v IPsec, takže v paketu jde o IP 50 Split Tunneling – VPN zpracuje jen firemní rozsah adres, zbytek jde přímo do internetu (většinou je veškerá komunikace směrovaná do VPN tunelu). VPN client (pro Windows 7)

IPsec VPN klient je zabudován do většiny klientů Microsoft. Standardním klientem je L2TP/IPsec. Pro zabezpečení je podporováno ESP s šifrováním

DES a 3DES, integritou MD5 nebo SHA.. Není zde problém s využitím EAP smartcard, tedy autentizace uživatelským certifikátem. Podporuje i NATT se musí u klienta povolit v registrech. V příkazovém řádku spusť příkaz : regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameter s\"NegotiateDh2048"=dword:1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\"Assu meUDPEncapsulationContextOnSendRule"=dword:2

28


1.10 Instalace VPN na Windows Serveru 2008 Samotná instalace VPN Server na Windows Server 2008 je celkem jednoduchá. Ukažme si jednotlivé kroky s využitím prostředí Server Manager. 1. Otevřeme Server Manager a tlačítkem „Add Roles“ zobrazíme přehled rolí serveru

2. Vybereme “Network Policy and Access Services”


29

3. Ve vybrané roli zaškrtněte služby “Remote Access Services a Routing” a potvrďte instalaci

4. Aktivujte průvodce pro konfiguraci Routing a Remote Access

30


5. Ze zobrazených typů instalací vyberte “Custom Configuration” pokud máte na serveru jednu síťovou kartu

6. Vyberte“VPN access”


31

8. Průvodce ukončete postupně tlačítky „Finish“ a „Start service“. Služba VPN je připravena

32


9. Na záložce Dial in povolte přístup uživatelů v oddíle “Network Access Permission”.

10. Otevřeme příslušné porty ve Firewallu pro PPTP: 1723 TCP 47 GRE pro L2TP/ IPSEC: 1701 TCP 500 UDP (pro NAT-T 4500 UDP) pro SSTP: 443 TCP Pokud nemáte v síti DHCP server, ručně nastavte rozsah lokálních adres statických adres pool. 1. Klikni pravým tlačítkem na “Routing and Remote Access” a vybereme „Properties“


2. Vyberte záložku IPv4 and zaškrtnete “Static address pool” a přidáte rozsah statických adres

3. Na síťovou kartu serveru přidáte druhou IP adresu, která patří do zvoleného rozsahu.

33

34


VPN - se serverem za NATem Přenos L2TP/IP transport Mode s NAT-T (doplním text) Rámec před aplikací L2TP encapsulation

Rámec po aplikací L2TP encapsulation

Rámec po aplikacíESP/UDP encapsulation

IPSec Tunel s NAT-T Rámec před aplikacíESP/UDP encapsulation

Rámec po aplikacíESP/UDP encapsulation

Cvičení 2 Na virtuálním serveru Windows Server 2008 nainstalujte služby DHCP a VPN, nakonfigurujte klienty a vyzkoušejte úspěšnost komunikace.

Sítě v prostředí OS Linux

35

2. JAK SPRAVOVAT PŘIPOJENÍ K SÍTI V PROSTŘEDÍ OS

LINUX ‐ FEDORA

Pro správu OS můžete používat grafické prostředí nebo příkazovou řádku. Začneme grafickým rozhraním; zde existují pro správu sítě dva nástroje 1. Network - služba používaná k vložení statické adresy nebo dynamického přidělení adresy Takto nastavená konfigurace síťového rozhraní je aktivní ihned po startu systému. 2. Network Connections je služba poskytující přehled všech typů připojení k síti a umožňující jejich konfiguraci. Je vhodná především pro zařízení, která často mění typ připojení. Takto nastavené síťové připojení se aktivuje v okamžiku přihlášení uživatele na základě jeho voleb a nastavení. Nedoporučuje se používat současně obě služby, protože jejich nastavení mohou způsobit kolizi. Defaultně je ve Fedoře aktivní služba Network Connections a služba Network vypnutá. 2.1 Nastavení síťového připojení v grafickém rozhraní Služba Network (síť) Grafické rozhraní pro správu síťového připojení zobrazíme pomocí Activities → Applications → Systém Tools → Systém Settings → Network. Tato nabídka vyvolá okno pro Nastavení síťových připojení.

Zpět na Systém Settings

Zap/Vyp síť.

Editace síť. rozhraní

36


Výběr metody přidělení IP adresy

Aktivace vložení konfigurace IP

Mazání konfigurace IP

Konfigurace směrování

Služba Network Connections Grafické rozhraní pro správu síťového připojení zobrazíme pomocí Activities → Applications → Others → Network Connections. Tato nabídka vyvolá okno pro Nastavení síťových připojení.

Záložky pro konfiguraci jednotlivých typů síťového připojení


37

2.2 Nastavení síťového připojení v textovém rozhraní Ovládání operačního systému v textovém rozhraní je sice náročnější, protože si musíme osvojit potřebné příkazy. Pokud už je však umíme, je správa v tomto prostředí rychlejší a přehlednější. Nevyžaduje neustálé přepínání mezi okny a je téměř stejné v jednotlivých distribucích. Správce operačního systému, který se setkává s nastavováním IP adres často, určitě zvolí textový režim. Po nastartování operačního systému si otestujeme funkčnost použitím ping Do terminálového řádku napište: ping << IP adresa>>

Pokud jste získali reakci jako na výpisu, je vaše síťová karta funkční. IP adresu volíte podle nastavení sítě, ke které jsme připojeni Pokud odpověď nebude pozitivní, viz následující výpis, je vaše síťová karta nejspíš chybně nakonfigurována.

Vypište si konfiguraci síťových rozhraní : ifconfig (bez parametrů) Získáte výpis o konfiguraci všech síťových adapterů a localhosta (loopback) ; je to obdoba řádkového příkazu ipconfig v prostředí MS Windows.

38


V níže uvedeném výpisu vidíte výpis síťového rozhraní eth0 a loopback. Můžete si případně vypsat konfiguraci vybraného rozhraní – ifconfig eth0 Výpis všech rozhraní:

Výpis vybraného rozhraní:

Nastavení IP statické adresy Pro manuální nastavení IP adresy použijete opět příkaz ifconfig . Struktura příkazu vypadá takto: If config eth0 netmask <síťová maska> Příklad pro nastavení IP adresy 192.168.146.135 s maskou 255.255.255.0 : Ifconfig eth0 192.168.146.135 netmask 255.255.255.0 Zkontrolujte výpisem ifconfig.


39

Pozor! Pokud jste spustili síťové rozhraní s využitím služby DHCP a chcete zaměnit přidělenou adresu za statickou, pak postupujte takto:  Deaktivujte síťové rozhraní  Uvolněte přidělenou IP adresu  Síťové kartě přidělíme IP  Aktivujeme síťové rozhraní

ifconfig eth0 down dhcpd –d –k eth0 ifconfig eth0 192.168.146.133 netmask 255.255.255.0 ifconfig eth0 up

Pozor! Pokud používáme službu Network místo Network Connection, používáme pro aktivaci a deaktivaci síťového rozhraní příkazy: ifstart eth0

ifdown eth0

Aktivace automatického nastavení síťových adapterů Nastavení najdete v textových souborech ifcfg-eth0 a ifcfg-lo umístěných v adresáři /etc/sysconfig/network-scripts/

V případě statické IP: DEVICE = eth0 ONBOOT =yes BOOTPROTO = static IPADDR = 192.168.146.135 NETMASK = 255.255.255.0 GATEWAY = 192.168.146.1

Soubor jsou textové, takže je můžete sami upravit.

40


2.3 Nastavení statického směrování v prostředí Linuxu a) Směrování packetů do své vlastní sítě route add –net netmask <síťová maska> dev eth0 např. směrování pro PC s IP adresou eth0 192.168.146.135 / 24 připojeného do sítě třídy C route add –net 192.168.146.135 netmask 255.255.255.0 dev eth0 b) Vyhledání brány do jiné sítě (směrovače) route add default gw např. vyhledání brány s IP adresou 192.168.146.135 route add default gw 192.168.146.1 Vytvoření názvu počítače a) V příkazové řádce stačí příkaz hostname skolni.cz ALE!!! Po restartu se vytvořené jméno vymaže b) Trvalé nastavení jména vznikne vložením záznamu do souborů /etc/hosts

/etc/sysconfig/network

Pozn. Skutečné názvy podřídíme tomu, zda je počítač přiřazen do domény s daným jménem (např. localhost.localdomain)

2.4 Přiřazení serverů DNS Konfigurace protokolu TP/IP je vždy doplněno o nastavení DNS serverů minimálně pro komunikaci na internetu. Jak tedy přiřadit DNS server?


Do souboru /etc/resolv.conf přidejte řádek s IP adresou DNS serveru, který se má používat. nameserver například:

Cvičení 3 Shrnutí aktivace síťových adapterů a nastavení základních parametrů:   

Otestovat funkčnost síťových adapterů – ifconfig , vytvoření souboru /etc/sysconfig/networking-scripts/ifcfg-eth0 Vytvořit název počítače v /etc/sysconfig/network Přiřadit –DNS servery v souboru /etc/resolv.conf

Zapamatujte si pojmy a příkazy: /etc/resolv.conf /etc/hosts /etc/sysconfig/network ifconfig ifstart ifdown

41

42


2.5 Služba DHCP Pro správu síťových připojení je klíčovou službou, která podstatným způsobem zjednodušuje a optimalizuje adresaci v síti. Dynamické přidělování IP adres je velkou výhodou, problémem by mohla být přesná identifikace klienta v síti při překladu adres pomocí DNS. U malých sítí se tento problém řeší tak, že servery, které poskytují služby a jejich jména jsou překládána pomocí DNS, adresujeme staticky a dynamické přidělování je používáno zejména pro klienty, kteří služby nenabízejí. Ve větších sítích se tento problém řeší pomocí dynamické DNS (DDNS), která představuje jakousi koordinaci mezi DHCP a DNS. DHCP server může plnit celou řadu úloh; nepřiděluje jen IPadresu, ale může nastavit i celou řadu dalších parametrů – masku sítě, Gateway, adresy DNS serverů. Může klientům „upravit“ MAC adresu, time, aktivovat či deaktivovat směrování a pro bezdiskové stanice nastavit cestu k bootovacímu souboru. V případě potřeby je možno pomocí DHCP přiřadit určitým klientům IP adresu staticky Teorie služby DHCP je začleněna do jiného vzdělávacího materiálu. Jen pro opakování služba běží na portech 67 (na serveru) a 68 (klient) a komunikace mezi serverem a klientem je z velké většiny realizována všesměrovým vysíláním (broadcastem). Takovéto packety jsou při přechodu do jiné sítě směrovačem zahozeny. Takže chceme-li zabezpečit komunikaci s DHCP serverem také pro klienty z jiné sítě, je nutné nainstalovat kromě serveru, klienta také agenta pro přesměrování broadcastového požadavku na konkrétní IP adresu (relay agent). Nyní přejděme přímo k instalaci služby DHCP a k její konfiguraci.

Instalace služby DHCP Služba, jako každá aplikace v Linuxu, se instaluje z tzv. RPM balíčků. Pro zjednodušení použijme nástroj yum pro správu, který se spustí z příkazové řádky a dokáže požadovaný balíček vyhledat, rozbalit a nainstalovat. Takže stačí napsat: yum install DHCP*


43

Pozor: Pokud si nejsme jisti nastavením síťového rozhraní, zkontrolujeme si před samotnou instalací směrovací tabulku, a případně doplníme pravidlo, které zajistí správné směrování globálního broadcastu 255.255.255.255. Přesměrování na síťovou kartu eth0, zajistíme příkazem:

[alena@localhost]# route add -host 255.255.255.255 dev eth0

Po ukončení instalace serveru DHCP máme k dispozici základní soubory, bez nichž server nemůže běžet: dhcpd samotný program dhcpd.conf konfigurační soubor dhcpd.leases databázový soubor Další soubory pro konfiguraci: Skripty Dhclient.conf dhcrelay omshell dhcpd.leases

/etc/sysconfig/network-scripts /etc/dhcp/ nastavení klienta /etc/sysconfig/ nastavení agenta /usr/bin/ spouštěcí soubor /var/lib/dhcpd/ manuálové stránky

Konfigurace DHCP Po instalaci DHCP serveru je nutné nastavit základní parametry pro DHCP server – – – –

rozsah přidělovaných adres defaultní směrovač (bránu) DNS server případně další parametry (dobu zápůjčky, využití dynamického DDNS, apod.)

Konfiguraci zapíšeme do souboru dhcpd.conf option domain-name "skolni.cz";

název domény

option domain-name-server 192.168.146.132;

adresa doménového serveru

default-lease-time 604800;

defaultní doba zápůjčky IP adresy (s)

max-lease-time 604800;

maximální doba zápůjčky IP adresy (s)

# nepoužijeme dynamické DNS updates: ddns-update-style none; ddns-updates off; #

DHCP server je oficiálním DHCP serverem pro lokální síť

44


authoritative; # Využití posílání logovacích informací do syslog.conf log-facility local7; # popis sítě pro DHCP server subnet 192.168.146.0 netmask 255.255.255.0 { range 192.168.146.140 192.168.146.170; option subnet mask 255.255.255.0; option broadcast-address 192.168.146.255; option routers 192.168.146.1; } #rezervace IP adresy dle MAC adresy host mujpoc { hardware ethernet 00:0c:29:93:f3:78; fixed address 192.168.146.141; }

Z uvedeného dhcpd.conf vyčteme, že náš DHCP server přiřazuje IP adresy ze sítě 192.168.146.0/24 v rozsahu od 192.168.146.140 do 192.168.146.170, adresa brány je 192.168.146.1 a DNS server 192.168.146.132. Pro MAC adresu 00:0c:29:93:f3:78 je rezervována IP adresa 192.168.146.141 Server nevyužívá dynamické DNS a nabízená i maximální doba zápůjčky je 7 dní (604800 s) Spuštění DHCP serveru Při spouštění nainstalovaného serveru DHCP je důležité  nastavení parametrů při spuštění klienta dhcpd  nastavení konfigurace v souboru dhcpd.conf  použití souboru omshell dhcpd [-p port] [-f] [-d] [-q] [-t|-T] [-cf soubor] [-lf soubor] [-tf soubor] [-play soubor] seznam rozhraní Význam přepínačů: -p -f -d -q -t -T -cf -lf -tf,-play

určuje alternativní port spouští server na popředí posílá chybové hlášení na stderr místo implicitního syslogu nevypíše startovací hlášku otestuje syntaxi konfiguračního souboru otestuje databázový soubor alternativní konfigurační soubor alternativní databázový soubor napomáhají při nalézání chyb vytvořením souboru s chybovým výstupem

seznam rozhraní


45

na kterých rozhraních má dhcpd naslouchat jako služba; ze kterých mohou přicházet požadavky na přidělení adres, máme-li více síťovek a na každé jinou podsíť, musíme to DHCP serveru říct.

Pro zjednodušení startování služeb, tedy i DHCP, jsou v instalovaném serveru připravené skripty umístěné v /etc/rc.d/init.d Chceme-li zajistit automatické spouštění DHCP služby, vytvoříme odkaz pomocí příkazu ln –s /etc/rc.d/init.d/dhcpd /etc/rc.d/rc3.d/$65dhcpd

Pro ruční nastartování můžete použít příkaz service dhcpd start Pro ruční zastavení služby použijte meta příkaz service dhcpd stop Pro ruční zastavení a následné spuštění služby použijte meta příkaz service dhcpd restart

Vyzkoušejte se: Nakonfigurujte DHCP službu podle následujících parametrů.

„x zjistěte z konfigurace síťového adaptéru VMnet8 ve vašem PC Server DNS IP 192.168.x,3 /24 doména firma.cz

Síť

Server DHCP Přiděluje IP adresy ze sítě 192.168.x.0/24 Rozsah adres 192.168.x.10 – 192.168.x.50 Pro PC s MAC 00:A5:14:78:G4:10 rezervujeme adr. 192.168.x.20 Doba zápůjčky: nabízená 3 dny, maximální 5 dní 3PC, 1 server, 1 router (fa0/0 192.168.x.1)

46


2.6 Linuxový server jako směrovač Aby linuxový server mohl plnit i úlohu směrovače, musí mít více síťových rozhraní, ať už fyzických či virtuálních (viz kapitola o použití VLAN v Linuxu). Zaměříme se na fyzická rozhraní. Vypneme PC a vložíme další síťovou kartu. Po nastartování operačního systému si příkazem ifconfig ověříme, že nová karta je funkční: Následující výstup ukazuje, že karta byla detekována a byla nastavena z DHCP, jako karta z téže sítě.

Pokud chcete přiřadit kartu eth1 do jiné sítě, vypnete ji, nakonfigurujete ji a zapnete ručně


Po zvolení příkazu ifconfig získáte výpis:

Nastavíte směrování sítí na jednotlivá rozhraní Route add –net 192.168.146.0 netmask 255.255.255.0 dev eth0 Route add –net 193.168.0.0 netmask 255.255.255.0 dev eth1 Pakety ze sítě 192.168.146.0 směrujeme na kartu eth0 a pakety ze sítě 193.168.0.0/24 směrujeme na kartu eth1 Výpis směrovací tabulky : route - n

47

48


Aby server aktivně prováděl směrování, je nutné upravit parametr ip_forward z 0 na 1 Cat /proc/sys/net/ipv4/ip_forward 0

vypíšeme hodnotu parametru vypsaná hodnota parametru

echo > 1 /proc/sys/net/ipv4/ip_forward

do parametru ip_forward

vložíme 1

Cat /proc/sys/net/ipv4/ip_forward

pro kontrolu vypíšeme hodnotu

par. 1

vypsaná hodnota parametru

Případně upravíte hodnotu parametru ručně v souboru /etc/sysct1.conf

(výpis s využitím vestavěného programu MightCommander)


49

2.7 Filtrování paketů na linuxovém směrovači ‐ FIREWALL Pokud má linuxový server alespoň dvě aktivní síťová rozhraní připojená k různým sítím a plní funkci směrovače, je žádoucí nastavit pravidla pro průchod paketů a tím řídit provoz, který na tomto směrovači probíhá. Vhodnou kombinací pravidel se také můžeme bránit proti útokům na síť zvenčí, tedy linuxový server pak plní také roli firewallu; zejména tehdy, běží-li na tomto serveru služby, ke kterým chceme přistupovat prostřednictvím sítě Internet. IP paket obsahuje kromě přenášených dat také zdrojovou a cílovou IP adresu, zdrojový a cílový port, informace využitelné zejména pro směrování a k aktivaci programů, jimž jsou data určena. Firewall rozhoduje o příchozím paketu; zda má být přijat či zahozen, zda jej má předat ke zpracování vlastnímu serveru či aplikaci nebo zda jej má předat dalším zařízením (tedy přesměrovat). Rozhoduje se na základě pravidel (chainů), kterými paket prochází. Tato pravidla jsou v prostředí OS Linux uložena v IPtable Schéma pro průchod IP table

vstup

Směrovat?

ANO

FORWARDING

NE Určeno serveru?

ANO

INPUT

NE

OUTPUT

výstup

Pravidla v IPtable jsou zařazována do oddílů INPUT, OUTPUT, FORWARDING, jejichž význam je patrný ze schématu, případně PREROUTING a POSTROUTING související s překladem adres. Příklad: Vložíme pravidlo do oddílu INPUT iptables -A INPUT pravidlo

50


Příklady:  vyhovuje paket přijatý přes rozhraní eth1 z adresy 192.168.146.20 pro jakéhokoli příjemce s TCP portem 80 iptables -A INPUT -p TCP -i eth1 -s 192.168.146.20 --dport 80

do oddílu OUTPUT vložíme pravidlo – zahoď paket, který přijde z adresy 193.168.0.1 TCP port 3000 na adresu 193.168.0.2 TCP port 25 iptables -A OUTPUT -i eth1 -p TCP -s 193.168.0.1 --sport 3000 --d 192.168.0.2 --dport 25 -j DROP Význam jednotlivých přepínačů -A add – přidej -i interface -p protokol -s source-zdroj --d destination-cíl --sport zdroj. port --dport cíl.port -j co s paketem

drop accept reject

log

zahodit přijmout zahodit a odesílateli poslat zprávu pomocí chybového ICMP hlavičku paketu vložím do systémového logu

Pokud chybí část s přepínačem –j bere se automaticky ACCCEPT  zahoď všechno (do všech oddílů drop) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

 zpřístupnění služeb (www, email, dns) iptables iptables iptables iptables iptables iptables iptables

-N -A -A -A -N -A -A

pro zjednodušení pravidel vytvoříme jména (alias)

tcp_datagramy INPUT -p TCP -i eth0 -j tcp_datagramy tcp_datagramy -p TCP --dport 80 -j ACCEPT tcp_datagramy -p TCP --dport 25 -j ACCEPT udp_paket INPUT -p UDP -i eth0 -j udp_paket udp_paket -p UDP --dport 53 -j ACCEPT

 Nezapomeňte na pravidla pro tzv. servisní pakety Servisní pakety ICMP - používají se k přenosu chybových a diagnostických sdělení. Podle druhu přenášené zprávy existují různé typy. Je potřebné povolit typ 0 – „Echo reply“, 8 – „Echo request“ a 11 – „Time exceeded“ , aby fungovaly často využívané programy ping a traceroute. Dále je nutné akceptovat ICMP typu 3 – „destination unreachable, (viz REJECT) Ostatní ICMP zprávy můžete bez problému zahazovat.


iptables iptables iptables iptables

-A -A -A -A

INPUT INPUT INPUT INPUT

-p -p -p -p

ICMP ICMP ICMP ICMP

-i -i -i -i

eth0 eth0 eth0 eth0

--icmp-type --icmp-type --icmp-type --icmp-type

51 0 -j ACCEPT 3 -j ACCEPT 8 -j ACCEPT 11 -j ACCEPT

 pro směrování nastavíme neomezený výstup z vniřní sítě a do sítě pustíme packety z již vytvořené relace (takže jen odpověď na žádost z vnitřní sítě) iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m state --state \ ESTABLISHED,RELATED -j ACCEPT

 budeme sledovat zamítnutý provoz, abychom mohli evidovat případné útoky a diagnostikovat vzniklé problémy iptables -A INPUT -j LOG

Pozn. Oddíl OUTPUT nepředstavuje zvláštní riziko, protože tudy procházejí pakety, které vzniky v programech na našem serveru

2.8 Překlad IP adres v Linuxu – IP Masquarade Kromě filtrování paketu může být součástí firewallu pravidla pro nahrazování adres v paketech, a to jak zdrojových - SNAT(Source NAT), tak cílových – DNAT (Destination NAT). SNAT používáme většinou tehdy, pokud máme jednu veřejnou adresu a chceme připojit do internetu větší počet počítačů sítě s nesměrovatelnými adresami. (v oddíle POSTROUTING). Parametr –t nat znamená, že pravidlo bude zapsáno do NAT tabulky. iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2

varianta téhož pravidla (místo konkrétní adresy uvedeme název síťového rozhraní,což je výhodné zejména tehdy, je-li IP adresa získána z DHCP). iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

pokud máme více veřejných adres, můžeme pravidlo SNAT upravit takto: iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 193.168.0.2192.168.0.20

52

DNAT použijeme tehdy, když chceme např. zajistit přístup k webovému serveru umístěnému v lokální síti s nesměrovatelnými adresami. Předpokládejme, že jsme k vnější síti připojeni síťovým rozhraním eth1. iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \ -j DNAT --to 192.168.146.133:80

V jakémkoli paketu s TCP portem 80, který přijde na eth1, bude cílová adresa nahrazena 192.168.146.33 Nebo jinak : se stejným účinkem (-j REDIRECT zajistí přesměrování na daný port bez znalosti přesné IP) iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j REDIRECT -to-port 3128

Záznamy z NAT tabulky je nutné doplnit pravidly v iptable, aby byl zajištěn průchod paketů oběma směry: iptables -A FORWARD -i eth1 -p tcp -d 192.168.0.2 --dport 80 \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state \ --state ESTABLISHED,RELATED -k ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

Vhodně volená pravidla v NAT tabulce mohou zabezpečit ochranu proti IP spoofingu (nesmyslným IP adresám)např. iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

Stavový firewall Je součástí jádra řady 2.4 q přináší novou koncepci sledování toku dat. Nebere z datagramů jen údaje ze záhlaví, ale je schopen rozlišit od sebe datagramy, které zahajují novou relaci či které přenáší data v již navázané relaci Tato skutečnost poskytla nové možnosti ve filtrování datových toků. U sledovaného datagramu (a to nejen TCP segment, ale i UDP paket) rozlišíme jeden z následujících stavů:   

NEW –otevírá novou relaci ESTABLISHED, RELATED – patří k již navázanému spojení INVALID – nebylo nalezeno žádné spojení, k němuž by patřil


53

Ze zjištěného stavu se dají pakety třídit. Umožní nastavit firewall tak, aby ven z lokální sítě mohly procházet všechny pakety a dovnitř jen ty, které patří již k navázanému spojení; jinak řečeno zvenku se nedá navázat nové spojení. např. iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED \ -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT

2.9 Směrování mezi sítěmi Z předchozího textu umíte přiřadit jednotlivým rozhraním IP adresy přiřadit sítě k jednotlivým rozhraním. Nastavit pravidla pro průchod paketů. Nyní naučíte server směrovat packety s využitím směrovacího software ipchains ; do příkazové řádky napíšete následující příkazy

Modprobe ipchains Ipchains –P forward DENY Ipchains –A forward –j MASQ Echo > 1 /proc/sys/net/ipv4/ip_forward Ipchains ‐ nástroj pro vytvoření pravidel, která určují, co se má udělat

‐P – nastaví standardní politiku směrování, když jádro nenajde žádné vyhovující pravidlo, paket zahodí

‐A – nastaví pravidlo, které říká, že při předávání se pakety „MASKUJÍ“ za vnější lokální adresu (nahradí se původní zdrojová adresa) ‐ SNAT

Poslední příkaz aktivuje směrování – viz odstavec o nastavení směrování do jiných sítí. Abychom při každém spuštění nemuseli tyto příkazy opakovat,  vytvoříte v adresáři /etc/rc.d soubor rc.firewall  nastavíte oprávnění, aby byl spustitelným souborem (stane se skriptem) chmod 700 /etc/rc.d/rc.firewall  do souboru rc. firewall vložíte příkazy pro nastavení směrování a překlad  do souboru rc.local vložíme odkaz pro spuštění skriptu a uložíme ln /etc/rc.d/rc.firewall  server restartujeme a směrování je nastaveno

54

Pozn. Pokud potřebujete řešit překlady spojené s některými službami, musíte zavést do paměti příslušné moduly. Následující skript řeší překlady spojené se službami FTP, DHCP a s defragmentací paketů: depmod-a modprobe modprobe echo “1” echo “1” echo “1” ipchains ipchains

ip_maq_ftp ip_masq_raudio >/proc/sys/net/ipv4/ip_forward >/proc/sys/net/ipv4/ip_dynaddr >/proc/sys/net/ipv4/ip_ip_always_defrag –P forward DENY –A forward –s 192.168.146.0/24 –j MASQ


55

2.10 VLAN v prostředí OS Linux Úvodem si připomeňte trochu teorie. VLAN - virtuální LAN použijete k logickému rozdělení sítě na menší segmenty bez ohledu na to, jak máme fyzicky uspořádány síťové prvky. Oddělení sítí můžete dosáhnout použitím IP adres z jiných rozsahů, případně vytvářením podsítí (subnetů) v jednom přiděleném adresovacím rozsahu, změnou síťové masky. Tímto způsobem zajistíte oddělení komunikace na síťové vrstvě ISI/OSI modelu, ale komunikace na úrovni linkové vrstvy, která se orientuje podle MAC adres (IP adresy nečte) komunikace bude klidně pokračovat. Pokud chcete oddělit provoz i na této vrstvě, musíme počítače připojit k odděleným switchům. Použijete-li technologii virtuálních sítí vytvořených na úrovni linkové vrstvy (na switchi) budou spolu komunikovat pouze stanice připojené k portům ve stejné virtuální síti. Používá se technologie značkovaných rámců – protokol 802.1q. Pokud chcete virtuálním sítím komunikaci umožnit, budete je chápat jako dvě oddělené sítě s rozdílnou adresací a v síti je nutno použít router jako síťové rozhraní. Důležitým pojmem je trunk, kterým označujeme stav portu, kterým mohou procházet rámce zařazené do více VLAN. Umožňuje komunikaci stanic zařazených do jedné VLANy a fyzicky umístěných na různých switchích.

Pro zjednodušené vytváření VLAN ve složitějších sítích s větším počtem síťových prvků switch se využívá protokol VTP a pro vyjednávání nastavení trunku mezi porty na switchích protokol DTP (zopakujte si).

56

V tomto studijním materiálu se zaměříme na použití a konfiguraci VLAN v prostředí linuxového serveru, který bude sloužit k nastavení komunikace mezi virtuálními sítěmi. OS Linux podporuje protokol 802.1q již v jádře. Použijeme variantu propojení serveru k síti pomocí jednoho síťového rozhraní (tzv. router on the stick) kdy vytváříme virtuální síťová rozhraní:

Vytvoření virtuálního rozhraní Mějme VLAN ID 10 Kopírujete obsah souboru cp /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/networkscripts/ifcfg-eth0.10

Máte virtuální rozhraní ale!!!! rozhraní používá neznačkovaný přenos. Potřebujeme značkovaný přenos pro VLAN 10 Co uděláte?  Soubor /etc/sysconfig/network-scripts/ifcfg-eth0 neměníte  Otevřete soubor /etc/sysconfig/network-scripts/ifcfg-eth0.10  DEVICE = ifcfg-eth0; nahradíte DEVICE = ifcfg-eth0.10;  Přidám řádek VLAN = yes;  Nastavíte správnou IP z DHCP nebo staticky a soubor uložíte  Odstraníte bránu ze všech ostatních síťových konfiguračních souborů  Nastavíte bránu do souboru /etc/sysconfig/network  Restartujte síť příkazem: /etc/init.d/network restart Analogicky byste vytvořili a nakonfigurovali virtuální rozhraní eth0.20


57

VCONFIG V prostředí Linux- FEDORA (RED-HAT) můžete požít pro vytvoření virtuálního zařízení příkaz vconfig, např. Pro eth0 vytvoříte virtuální síťové rozhraní pro VLAN ID 10: vconfig add eth0 10

výsledkem je virtuální subinterface eth0.10 (analogie příkazu ifconfig eth0.10) Přiřadíte adresu k vybranému virtuálnímu rozhraní: ifconfig eth0.10 192.168.146.100 netmask 255.255.255.0 broadcast 192.168.146.255 up

Detailní informace o virtuálním rozhraní: cat /proc/net/vlan/eth0.10

Zrušení virtuálního rozhraní (2 varianty – ifconfig, vconfig) ifconfig eth0.10 down vconfig rem eth0.10

Další parametry příkazu vconfig Obecná syntaxe 

vconfig set_name_type VLAN_PLUS_VID | VLAN_PLUS_VID_NO_PAD | DEV_PLUS_VID | DEV_PLUS_VID_NO_PAD

tento příkaz určuje, jakým způsobem budou označována jednotlivá rozhraní pro ifconfig: označení rozhraní podle typu nastavení VLAN_PLUS_VID vlan0010 VLAN_PLUS_VID_NO_PAD Vlan10 DEV_PLUS_VID eth0.0010 DEV_PLUS_VID_NO_PAD eth0.10 

vconfig add [interface-name] [vlan-id]

vytvoří nové virtuální

rozhraní, na fyzickém rozhraní interface-name, např. vconfig add 10 vytvoří virtuální rozhraní, které bude přijímat a vysílat rámce označené číslem 10.

eth0

zruší virtuální rozhraní vlan-device



vconfig rem [vlan-device]



vconfig set_egress_map [vlan-device] [skb-priority] [vlan-qos]

nastaví mapování priority odchozích rámců podle skb-priority paketu do daných prioritních bitů v rámci. Priorita rámce je informace pro přepínač o tom, do které fronty Class of Service si má rámec zařadit.

58 

vconfig set_ingress_map [vlan-device] [skb-priority] [vlan-qos] -

obdobně jako předchozí, pro příchozí rámce.

Závěr: Virtuální rozhraní se nastaví v podstatě stejně jako normálních síťové rozhraní. Jen nesmíme zapomenout aktivovat příslušné fyzické rozhraní (např. příkazem ifconfig eth0 up). V souboru /etc/network/interfaces najdete: interface eth0.10 inet static pre-up vconfig add eth0 10 pre-up ip link set eth0 up post-down vconfig rem eth0.10 address 192.168.10.1 netmask 255.255.255.0 interface eth0.20 inet static pre-up vconfig add eth0 20 pre-up ip link set eth0 up post-down vconfig rem eth0.20 address 192.168.20.1 netmask 255.255.255.0

V adresáři /proc/net/vlan najdete soubory obsahující informace o stavu virtuálních rozhraní.


59

2.11 VPN Technologie VPN umožňuje organizacím vytvářet privátní sítě s využitím veřejné sítě internet. Firmy používají VPN ke vzdálenému připojení zaměstnanců firmy z prostředí domova. Použití metod virtualizace vychází z potřeby zabezpečení dat a oddělení určité komunikace od okolního světa, v odstíněně komunikaci jednotlivců či skupin. Podstatná je také finanční stránka věci, kdy je ekonomicky výhodnější vytvořit mnoho virtuálních sítí ve společném komunikačním prostředí. VPN mohou znamenat propojení celých lokálních subsítí ve vzdálených lokalitách či spojení uzel – uzel (uživatel – server). Existují různé typy VPN.  VPN na síťové vrstvě – vychází z filtrování směrovacích informací, šifrování a tunelování. Směrování je založeno na vytváření přímých spojení na úrovni spojové vrstvy – technologie ATM, Frame Relay.  VPN na spojové vrstvě – používá se pro spojení a fyzické a spojové vrstvě TCP /IP modelu. Používá se častěji. V prostředí Linux lze použít  proprietální VPN (např. fy Cisco), šifrování IPsec  open VPN, která požívá SSL/TLS Příklad konfigurace open VPN: Máme dva linuxové servery (s obligátními IP 4.3.2.1 a 6.7.8.9), mezi kterými normálně funguje IP komunikace. Vytvořte mezi nimi šifrovaný a komprimovaný tunel se sdíleným klíčem.

1. Na serveru 4.3.2.1 vygenerujeme sdílený klíč openvpn –genkey –secret /etc/openvpn/secret.key 2. Na serveru 6.7.8.9 vytvoříme soubor /etc/openvpn/vpn.conf: remote 4.3.2.1 ifconfig 192.168.0.2 255.255.255.0 port 5001 proto udp dev tap0 secret /etc/openvpn/secret.key ping 10 comp-lzo verb 5 mute 10 user openvpn group openvpn

Přeneseme ze serveru 4.3.2.1

3. Obdobně na serveru 4.3.2.1 vytvoříme soubor /etc/openvpn/vpn.conf: remote 9.7.8.6 ifconfig 192.168.0.1 255.255.255.0 port 5001 proto udp

60

dev tap0 secret /etc/openvpn/secret.key ping 10 comp-lzo verb 5 mute 10 user openvpn group openvpn

4. Na obou serverech aktivujeme vpn /etc/rc.d/init.d/openvpn start

Na obou počítačích se objeví nová virtuální TAP zařízení(lze vhodně přejmenovat)

Instalace a konfigurace VPN na serveru a klientu instaluj OpenVPN serveru yum install openvpn.$HOSTTYPE

kopíruj /usr/share/openvpn/easy-rsa/2.0 /home/root/

cp -ai /usr/share/openvpn/easy-rsa/2.0 /home/root/easy-rsa

Konfiguruj: cd /HOME/ROOT/easy-rsa . vars ./clean-all ./build-ca ./build-inter $( hostname | cut -d. -f1 ) ./build-dh mkdir /etc/openvpn/keys cp -ai keys/$( hostname | cut -d. -f1 ).{crt,key} keys/ca.crt keys/dh*.pem /etc/openvpn/keys/ cp -ai /usr/share/doc/openvpn-*/sample-config-files/roadwarriorserver.conf /etc/openvpn/server.conf

Edituj /etc/openvpn/server.conf ke konfiguraci and klíče a cesty, kde se klíč nachází /etc/openvpn/keys/.

Konfigurační nastavení je uloženo v /etc/openvpn/server.conf Vytvoř odkaz ln -s /lib/systemd/system/openvpn\@.service /etc/systemd/system/multi-user.target.wants/openvpn\@server.service systemctl enable [email protected] systemctl start [email protected]


61

Nastavte pravidla pro firewall , která povolují traffic in z tun+, out z LAN do tun+, in z prostředí outside na UDP port 1194. inside je eth0 a outside eth1 iptables -A INPUT -i eth1 -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -i eth0 -o tun+ -j ACCEPT iptables -A FORWARD -i eth1 -o tun+ -m state --state ESTABLISHED,RELATED -j ACCEPT

Nastavte OpenVPN klienta Potřebujete generovat nový klíč pro nového klienta username Na serveru cd easy-rsa . vars ./build-key username

62

Závěr Vážení čtenáři, pokud jste dospěli k této kapitole, umíte nakonfigurovat síť jak v operačním systému Windows, tak Linux. Nyní jsme se zaměřili především na textové rozhraní, a to nejen v Linuxu, kde by se to čekalo, ale také v operačním systému Windows. Seznámili jste se a snad také i pochopili základní síťové služby, jako je směrování, dynamické přidělování Ipadres, konfiguravivirtuálních sítí, a to jak na switchi – VLANY, tak i prostřednictvím internetu – VPN. Pokud se budete touto problematikou zabývat častěji, jistě si zafixujete potřebné metody práce a jistě přijdete na chuť i příkazové řádce, a to hlavně z hlediska úspory času. Přeji Vám v dalším studiu hodně vytrvalosti

63

Použitá literatura 1.

KABELOVÁ, Alena a Libor DOSTÁLEK. Velký průvodce protokoly TCP/IP a systémem DNS. 5., aktualiz. vyd. Brno: Computer Press, 2008, 488 s. ISBN 978‐80‐251‐2236‐5.

2.

KABELOVÁ, Alena a Libor DOSTÁLEK. Windows server 2008. 5., aktualiz. vyd. Brno: Computer Press, 2008, 488 s. ISBN 978‐80‐251‐2236‐5.

KONFIGURACE SÍŤOVÝCH PŘIPOJENÍ A SLUŽEB PRO WINDOWS A LINUX

Recommend Documents