Sada je: 18 ruj 2021, 00:05.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Daklem da ne duljim, imam fixnu IP adresu, registriranu domenu, imam cca 90-tak računala .... ne smijem još reći o kojoj se firmi radi ...

Trebao bih složiti zatvorenu mrežu koja može ići "van" preko proxy računala i nikako drugačije.
Sa interneta bi se trebalo moći pristupiti samo na VPN, http(s) lamp server, te mail (IMAP SSL, i SMTP SSL).

Mreža se sastoji od unutarnjeg database servera kojem se pristupa preko web sučelja (lamp), NAS za storage, LAMP za vanjski internet....
Ovih 90 računala dobija lokalnu IP adresu preko DHCP-a, pristupa na mail u lokalnoj mreži preko IMAP SSL...

1. Što mi treba od poslužitelja (gateway, DNS, proxy itd) dodatnog hardwera (switchevi, routeri, možda poslužitelj sa RouterOS-om (MikroTik i sl.) umjesto swicha/routera) i kojim redom to spojiti (nekakva topologija).

2. Proxy treba biti sa autentifikacijom, ... da li je moguće imati nekakav RADIUS server za autentifikaciju na proxy i računala, tj. da ovih 90-tak računala nemaju na sebi lokalni login, nego da se autentifikacija provjerava na vanjskom serveru .... (squid proxy).
Također mi treba logiranje internet prometa za svakog korisnika (vrijeme i što je otvoreno).

3. Da li je moguće ovih 90 računala podesiti tako da je home folder na NASu tako da svaki korisnik ima svoj home i ne može pristupiti u tuđe (može i enkriptiran home ako je to riješenje), nego samo u neki "shareani" i/ili da mogu sami podesiti folder koji će sherati....

Za poslužitelje bih koristio openSuse (Yast je tome presudio, a ako se skupi koja pinka mislim da bi ovako bilo lakše danas-sutra preći na SLES), ... onih 90-tak računala su također na linuxu (openSuse, Ubuntu, nešto Fedore, par XP-a .... ideja je sve prebaciti na openSuse).

Iskreno, u linuxu nisam novi, ali nisam imao iskustva sa zatvorenom mrežom.... do sada su uvijek svi imali pristup na net preko gatewaya na routeru, sada bi to trebalo zatvoriti, ali eto fali malko iskustva u tom dijelu.... para se nema za nekoga platiti da to napravi, .... a i ono što sam vidio je da naše firme nude uglavnom riješenja na MS tehnologijama, a plaćati licencu za AD za korištenje maila i dobivanje hrpe nepotrebnih stvari mi je glupo....

Može li mi netko u kratkim crtama objasniti kako "zatvoriti mrežu".... ili barem dati link na netu gdje to mogu naći (google me do sada nije previše usrećio sa rezultatima, uglavnom sam našao kako se podešavaju pojedine komponente (DNS, gateway, proxy, mail itd .... ali nigdje kako to sve "uskladiti").
Postovi: 23
Postovi: 23
Pridružen/a: 30 kol 2012, 14:31
Lokacija: Zagreb
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 4 puta
Spol: M
OS: Fedora 31
ako želiš zatvoriti mrežu da ljudi ne mogu na net, ili samo njegov dio, možeš na glavnom gatewayu (to bi trebao biti ruter) dodati ACL prava koja tako nešto definiraju (recimo, da ne mogu ići na facebook itd). Ruter možeš zamijeniti kompom koji ima ruterski os neki gore (ne preporučljivo) ali nije mi jasno kako bi zamijenio switch? Toplogija općenito ovisi i o tome što želiš postići, a ti to ovdje baš nisi točno definirao. Općenito bi bilo da je ruter za izlaz na net na vrhu, pa ispod njega switch na koji se spaja još nekoliko switcheva na koje se zapravo tek spajaju krajnji korisnici. Ti switchevi trebaju imati redundantne vezemeđusobno.

Home foldere možeš imati i preko NFS-a (više manje za to je i stvoren), a sa odgovarajućim user:group i rwx pravima svatko je zaključan u svoj folder. I da, radius server može držati autentikaciju za sve to (ukljućujući i servere i ruter/switch opcije).
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10187
Moderator
Postovi: 10187
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 176 puta
Primio/la zahvalu: 295 puta
Spol: Y
OS: utuntu 19.10
shrike je napisao/la:Toplogija općenito ovisi i o tome što želiš postići, a ti to ovdje baš nisi točno definirao. Općenito bi bilo da je ruter za izlaz na net na vrhu, pa ispod njega switch na koji se spaja još nekoliko switcheva na koje se zapravo tek spajaju krajnji korisnici.


Zahvaljujem, .... hoću postići da se na net može ići samo preko proxy servera sa autentifikacijom, ... te da se upotreba logira za svakog korisnika, .... a da je gledano sa interneta mreža zatvorena, tj, može se samo pristupiti na web server, VPN i mail server .... i to je to.
Postovi: 23
Postovi: 23
Pridružen/a: 30 kol 2012, 14:31
Lokacija: Zagreb
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 4 puta
Spol: M
OS: Fedora 31
Očito nisam bio dovoljno jasan pa evo crtež :zvizdi

slika

Nije linux problem, ... nego čisto kako posložiti mrežu, a da je izolirana sa neta..... a imam i par nejasnoća oko nekih servera (vidi se na slici) ....
Ako netko ima kakav savjet, ideju, primjedbu i sl. zahvaljujem ... jel fali što (neki poslužitelj, switch, router, gateway, DNS i sl.)..... ja sam malko glede mrežnog dijela zahrđao, .... kad već 15-ak godina radim samo kao admin, a za mrežu su se drugi brinuli... a sad bi trebao to ja napraviti :facepalm

PS .... zaboravih nacrtati radius server koji će možda biti vanjski (Carnet) ...
Postovi: 23
Postovi: 23
Pridružen/a: 30 kol 2012, 14:31
Lokacija: Zagreb
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 4 puta
Spol: M
OS: Fedora 31
uobicajebni setup je da su server i korisnici u odvojenim mrezama (pa i grupe korisnika/odjeli) jer u krajnjoj liniji ne vjerujes ni vlastitim korisnicima.

ovak na prvu, to bi se moglo podijeliti u nekoliko grupa/mreza:

- javni servisi (web, mail...), dakle sve sto mora biti dostupno sa interneta, ne vjerujem da imas takav load da ti treba neki proxy.. dakle to moze biti na javnim adresama iako dobar dizajn mreze za servere obicno ukljucuje odvojeni management interface na privatnim adresama, odvojeni backup interface na privatnim adresama i servisni interface na javnim adresama.

- interni servisi (radius, file serveri..), odnosno svaki server koji ne treba biti dostupan sa interneta svakako ne zelis ni da bude

- administratori mreze, ne zelis dozovoliti da ti korisnici imaju prostup na management uredjaja

- korisnici

proxy+radius - moguce, pogledaj squid
mrezni hardware - mikrotik nije losa opcija, pogledaj i vyattu i pfsense ili ako imas budzet za to, kupi cisco

inace, za sva tvoja pitanja bi se mogla napisati knjiga odgovora, ali ne vjerujem da ce ti to netko uciniti besplatno. :)
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
Ima jedna knjiga, Broadband Telecommunications Handbook, ima u njoj o VPN-u, nisam puno čitao, ali ako hoćeš zaštititi mrežu VPN je dobar izbor, ima sve u toj knjizi o VPN-u, neznam dali proxy koristiš samo kao zaštitu ili iz nekog razloga preko proxy-ja ideš na net, ali u slučaju zaštite staviš VPN, i da, korisnike odvojiš u taj VPN
I don't want to be a human. I want to see gamma rays, I want to hear x-rays and I want to smell dark matter. I want to reach out with something other than this prehensile paws and feel the solar wind of a super nova flowing over me.
Avatar
Postovi: 1975
Postovi: 1975
Pridružen/a: 19 srp 2011, 22:39
Lokacija: wonderland
Podijelio/la zahvalu: 8 puta
Primio/la zahvalu: 38 puta
Spol: M
OS: Debian 7 Wheezy
Proxy mi treba radi ispunjavanja zakonske obaveze za čuvanje logova onoga što su korisnici radili na internetu (sad toga nema i bila je prijava a bogme i kazna). Brojka od 90 računala je okvirna, ima ih puno više....
VPN treba da korisnici mogu pristupiti svojim datotekama i web aplikacijama od doma (samo neki korisnici).
Radius je tu jer se radi o obrazovnoj ustanovi pa bi iskoristio AAI (ili kak se vec zove) za login na proxy i na racunala.
Mail ne trebam posebno objasnjavati. To mora biti obavezno. Ista stvar je i sa Web serverom.

To su predefinirani uvjeti i ti servisi moraju biti.

Radi se o tome da je plan sadašnje stanje koje je na MS softwareu (2003 AD) prebaciti na nekomercijalni opensource software. Imam hrpu poslužitelja, imam mrežnu opremu (čak i jedan stariji Cisco), imam hrpu iskustva u postavljanju Unix i Linux servera, baze, izrade web aplikacija, administriranja, ali sam do sada imao gotovu situaciju glede mreže gdje sam ja trebao postaviti server određene namjene koja mi je bila predefinirana. Sadašnja mreža je puna rupa, pa imam slobodne ruke da to postavim kako treba. Imam osnovnu ideju... ali eto neke stvari mi fale u znanju (kad to do sada nisam trebao).

Trazio bih pomoć od HULKa ali sada ne primaju nove registracije, google je preopcenit i ne pomaže puno.... Snaći ću se ja, ali ako netko može pomoć savjetom da ja ne napipavam .... plaćam pivo i ćevape... ;-)

Ono što mene najviše muči je kombinacija proxyja, Maila, javnog weba i VPNa... Zatvorit mrežu i postaviti proxy nije nikakav problem, mene muče ostali narečeni servisi koji bi trebali raditi neovisno o proxyju... a da sigurnost mreže bude najveća moguća. Da li se ti servisi podešavaju na proxyju ? Squid mi ima malko preveliku dokumentaciju, no sad to trenutno čitam...
Zadnja izmjena: kmihalj; 19 tra 2013, 22:24; ukupno mijenjano 1 put/a.
Postovi: 23
Postovi: 23
Pridružen/a: 30 kol 2012, 14:31
Lokacija: Zagreb
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 4 puta
Spol: M
OS: Fedora 31
Za VPN sam rekao, u toj knjizi piše o VPN-u dosta, i baš to što ti treba, sigurna zatvorena mreža za tvrtku a da neki korisnici/zaposlenici mogu pristupiti mreži sa drugih uređaja ili sa računala kod kuće.
I don't want to be a human. I want to see gamma rays, I want to hear x-rays and I want to smell dark matter. I want to reach out with something other than this prehensile paws and feel the solar wind of a super nova flowing over me.
Avatar
Postovi: 1975
Postovi: 1975
Pridružen/a: 19 srp 2011, 22:39
Lokacija: wonderland
Podijelio/la zahvalu: 8 puta
Primio/la zahvalu: 38 puta
Spol: M
OS: Debian 7 Wheezy
pa no, savjet je stvari izdvajas u grupe po namjeni i kolicini sigurnosti koju bi odredjena grupa trebala imati, takozvane zone, koje ce i iz perspektive mreze biti odijeljene, pa cak ne moraju medjusobno biti ni dostupne sve sa svima, a ako vec jesu, mozes fino granulirati mogucnost pristupa.

jos nesto za razmisliti je kolicina prometa koju trebas osigurati na nekom dijelu mreze, tipa backupi i replikacije uglavnom jedu prilicno bandwitdha i ne zelis da idu kroz iste interfacee kao i servisni promet.

proxy ima odredjene sigurnosne mogucnosti, ali ako zelis sigurnost ona ogledaj u smjeru firewalla i IDS/IPSA, citaj iptables i snort.

nekakav VPN server se moze dici na svim ovim networking prilagodjenim distrama.

ono sto mi se cini je da si malo krivo krenuo, ne moze ti nitko objasniti te stvari na cevapima i pivi, to zahtijeva prilicno poznavanje i tematike opcenito i zahtjeva koji se postavljaju.
pa mi se nekak cini da ces se morati pomiriti sa citanjem prilicno dokumentacije. :)

ili, mislim da se drade ovdje na forumu bavi integracijama, pa si uplatis koji sat treninga i konzultacija. :)
...."Have you mooed today?"...
..It’s that time of the decade: I’m reinstalling Debian..
Avatar
Postovi: 5677
Postovi: 5677
Pridružen/a: 28 vel 2009, 16:36
Podijelio/la zahvalu: 1 puta
Primio/la zahvalu: 41 puta
OK, ovako, to što pitaš je stvarno za mnogo više od čevapa i pive. Što se mreže tiče, mogu ti ponuditi ono što mi daje ccna znanje, a najbolje je opisano u ove dvije slike što se tiče topologije:
Općenito:
slika
Ovo je ono što tebe zanima:
slika

očito ti treba brdo switcheva za 90+ računala, i ti bi trebali biti konfigurabilni (VAŽNO: redundantne konekciju su obavezne). Ako nisu, postavljanje VLAN-a (njima izoliraš recimo servere, staff i profesore tako da nema među njima nema komunikacije i da netko ne bi mogao prčkati po onome što ne bi trebao), možeš napraviti odvojene subnete za svaki od njih (mikrotik switchevi bi trebali biti konfigurabilni). subnet=vlan.

Dodatni sustav određivanja tko ne može, a tko može na net je tako da na ruteru koji ima pristup internetu staviš ACL prava tako da samo server sa proxyem može van (plus par drugih specifičnih servera) a ostalima je izlaz blokiran ACL prava po defaultu blokiraju sve, moraš eksplicitno dozvoljavati stvari). Sjeti se također da serveri i mrežna oprema moraju imati statičke IP adrese, a ne biti dio DHCP poola (doživio spomeuto jednom, nastalo brdo problema).

Jaka signurnost znači manju iskoristivost, i ako te toliko brine znači da češ morat investirati dosta vrmena u proučavanje stvari koje je bozanić spomenuo, plus stvari tipa selinux ili neki drugi MAC sustav.

Eto, kada mogu po čevape i pivo? 8-)
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 10187
Moderator
Postovi: 10187
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 176 puta
Primio/la zahvalu: 295 puta
Spol: Y
OS: utuntu 19.10

Na mreži
Trenutno korisnika/ca: / i 1 gost.