H.323 и SIP

Модули проверки протоколов компании Kerio помогают межсетевой защите правильно работать с VoIP телефонией или передачей видео. Kerio WinRoute Firewall работает с VoIP устройствами, использующими H.323 или SIP протоколы, включенными в защищенную сеть. То есть, нет нужды подключать VoIP оборудование в Интернет.

Cisco SCCP

Если компания хочет использовать VoIP оборудование в среде Cisco AVVID, для установки соединения между IP телефоном и Cisco CallManager используется Skinny Client Control Protocol (SCCP) компании Cisco. Конечно, межсетевая защита должна распознать его и понимать передаваемую информацию.

Kerio WinRoute Firewall автоматически распознает протокол SCCP и выполняет трансляцию сетевых адресов между IP телефоном и Cisco CallManager. Так как Kerio WinRoute Firewall выполняет трансляцию IP адреса динамически, администратору не нужно вручную настраивать IP адрес для каждого IP телефона.

Поддержка UPnP

Универсальный стандарт Plug and Play (UPnP), используемый в Windows, позволяет различным приложениям работать друг с другом без дополнительных настроек в межсетевой защите. Kerio WinRoute Firewall взаимодействует с технологией UPnP, так что такие приложения, как MSN Messenger могут работать без проблем.

Минимальные системные требования

Kerio WinRoute Firewall

Pentium III

256 MB RAM

20 MB HDD для установки

Дополнительное свободное место для журналов и кэш

Минимум 2 сетевых интерфейса (включая диалап)

Windows 2000/XP/2003/Vista

Kerio VPN Client

Pentium III

128 MB RAM

5 MB HDD

Windows 2000/XP/2003/Vista

Стоимость внедрения



Поскольку в нашей организации кол-во компьютеров составляет около 150, то под наш выбор попадает лицензия включающая 250 пользователей. Стоимость расчитывается так: (базовая на 5 польз.) + (дополнительная на 250 польз). Курс евро к рублю = 41,4

Kerio Control (ex. Kerio WinRoute Firewall): 241,9*41,4+5605*41,4 = 10014,66+ 232047= 242 061,66р

Возможность веб фильтрации так же необходима, тем более что в Trafic inspector данная возможность включена в стоимость программного обеспечения и не выделяется как отдельная опция.

Kerio Web Filter=28*41,4+250*443= 1159,2+ 10350= 11509,2р

Итого получаем: 11509,2 + = 242 061,66=253 570,86р за 255 лицензий!

1.3 Forefront Threat Management Gateway (TMG) 2010

описание

Forefront TMG -- это комплексное решение для обеспечения безопасности в сети, позволяющее защитить сотрудников от угроз из Интернета. Кроме того, Forefront TMG предлагает простой единый способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ

Защита от вредоносных интернет-программ предусмотрена службой подписки на веб-защиту Forefront TMG. Средства защиты от вредоносных интернет-программ проверяют веб-страницы на наличие вирусов, вредоносных программ и других угроз.

Фильтрация URL-адресов разрешает или запрещает доступ к веб-сайтам, основываясь на категориях URL-адресов (например, порнография, наркотики, пропаганда насилия или торговля). Организации могут не только защищать сотрудников от посещения сайтов с известными вредоносными программами, но также предупреждать снижение производительности труда, ограничивая или блокируя доступ к сайтам, которые могут отвлекать внимание сотрудников. Фильтрация URL-адресов также предусмотрена службой подписки на веб-защиту.

Служба подписки на защиту электронной почты--Forefront TMG предоставляет службу подписки на защиту электронной почты на основе технологии, интегрированной из Forefront Protection 2010 для Exchange Server. Forefront TMG действует как ретранслятор SMTP-трафика и проверяет электронную почту на наличие вирусов, вредоносных программ, нежелательной почты и специфического содержимого (например, выполняемых или зашифрованных файлов), когда они проходят через сеть.

Проверка HTTPS обеспечивает проверку сеансов с шифрованием HTTPS на наличие вредоносных программ или попыток использования уязвимостей. Отдельные группы сайтов, например сайты банков, могут быть исключены из проверки по соображениям сохранения конфиденциальности. Пользователей клиента Forefront TMG Client можно уведомить о проверке.

Система проверки сети (NIS) обеспечивает проверку трафика на наличие попыток использования уязвимостей программ корпорации Майкрософт. На основе анализа протокола система проверки сети способна блокировать определенные категории атак при минимальном количестве ложных срабатываний. При необходимости средства защиты могут обновляться.

Расширенное преобразование сетевых адресов (NAT) позволяет указать отдельные серверы электронной почты, которые могут быть опубликованы на основе преобразования сетевых адресов в отношении один к одному.

Расширенная поддержка протокола VoIP предусматривает возможность обхода протокола SIP, что упрощает развертывание службы VoIP внутри сети.

Windows Server 2008 с поддержкой 64-разрядной архитектуры--Forefront TMG устанавливается на Windows Server 2008 с поддержкой 64-разрядной архитектуры.

МИНИМАЛЬНЫЕ СИСТЕМНЫЕ ТРЕБОВАНИЯ

Microsoft Forefront UAG имеет следующие системные требования:

Таблица 1: Системные требования Forefront UAG>

Компонент Требование

Процессор2,66 ГГц или мощнее, ЦП Dual Core

Память8 и более ГБ оперативной памяти рекомендуется

Жесткий диск30 ГБ

Требования к ПО и установке

Серверы

Forefront UAG можно установить на компьютеры под управлением Windows Server 2008 R2 Standard или Windows Server 2008 R2 Enterprise X64-bit.

Массивы

Если вы хотите установить массив нескольких Forefront UAG серверов, каждый сервер, присоединяемый к массиву, должен быть установлен в качестве члена домена перед началом установки Forefront UAG.

Сетевые адаптеры

Forefront UAG должен быть установлен на компьютер с минимум двумя сетевыми картами.

Прочие приложения

Компьютер, на который устанавливается Forefront UAG, должен иметь чистую установку Windows Server 2008, никаких иных приложений на него не должно быть установлено!

Установка по умолчанию

По умолчанию Forefront Threat Management Gateway (TMG) устанавливается во время процесса Forefront UAG Setup.

Разрешения

При установке Forefront UAG у вас должны быть права с разрешениями администратора локального сервера. Вы также должны быть пользователем домена, к которому принадлежит сервер Forefront UAG.

СТОИМОСТЬ ВНЕДРЕНИЯ

Microsoft Forefront Unified Access Gateway Server - 196 029,72 руб.

Forefront Unified Access Gateway Server CAL. 150шт. - 68 040,00 руб

Итого: 196 029,72+ 68 040р= 264 069,72р

1.4 Squid на базе операционной системы Linux Ubuntu

Описание

Squid - прокси сервер

Squid - это полнофункциональное приложение кэширующего прокси сервера, которое предоставляет сервисы кэширования и прокси для HTTP, FTP и других популярных сетевых протоколов. Squid может осуществлять кэширование и проксирование SSL запросов и кэширование результатов DNS поиска, а также выполнять прозрачное кэширование. Squid также поддерживает широкий набор кэширующих протоколов, таких как ICP (кэширующий интернет протокол), HTCP (гипертекстовый кэширующий протокол), CARP (протокол кэширования маршрутизации) и WCCP (кэширующий протокол перенаправления контента).

Прокси сервер Squid - это великолепное решение широких требований к кэширующему и прокси серверу, которое масштабируется для сетей от уровня регионального офиса до корпорации, когда обеспечивается расширяемый разделяемый механизм контроля доступа и отслеживания критических параметров через протокол SNMP. Когда выбираете компьютерную систему для использования в качестве Squid прокси или кеширующего сервера, убедитесь что ваша система оснащена большим количеством оперативной памяти, поскольку Squid поддерживает кэш в памяти для увеличения производительности.

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ

Proxy-сервер Squid поддерживает следующие возможности:

1. Кэширование запросов пользователя по протоколам HTTP, FTP

2. Работу с протокол HTTPS

3. Организацию иерархии proxy-серверов

4. Аутентификация

5. Прозрачное proxy (transparent proxy)

6. Контроль доступа к ресурсам (ACL)

7. Перенаправление запросов (redirect)

8. Ограничение ширины канала (delay pools)

9. Поддержка SNMP

МИНИМАЛЬНЫЕ СИСТЕМНЫЕ ТРЕБОВАНИЯ

Squid потребляет очень скромную часть ресурсов системы, что даёт возможность устанавливать его даже на самые посредственные конфигурации железа. Например, если вы имеете CPU 800Mhz, ОЗУ 512 Mb и жёсткий диск 20Gb, то этого вполне будет достаточно, чтобы он обслуживал >50 клиентов и предоставлять доступ в интернет.

Рекомендуемые минимальные требования (см. Таблица 3):



Таблица 3

Тип установки	Процессор	Оперативная память	Размер жесткого диска
			Базовая установка	Полная установка
Server	300 МГц	128 МБайт	500 МБайт	1 ГБайт

СТОИМОСТЬ ВНЕДРЕНИЯ

Программное обеспечение Squid интегрировано в операционную систему Linux Ubuntu который основан на открытом исходным кодом потому является бесплатным программным обеспечением и в свободном доступе распространяется по сети.

Итого: 0 рублей!

Выводы и сравнения

При выборе основы для proxy-сервера дирекция предприятия ознакомившись со всем функционалом различных программных продуктов и стоимостью для внедрения сделала выбор в пользу Squid и для выполнения роли proxy-сервера требовать больше функционала чем может позволить бесплатный Squid в планах на текущий год не намерена.



ГЛАВА II. ПРАКТИЧЕСКАЯ ЧАСТЬ

2.1 Установка Linux Ubuntu 12.04 LTS

Наш дистрибутив с длительной поддержкой «Ubuntu 12.04.2 LTS CD» для 64-битной версии был скачен с официального сайта (http://releases.ubuntu.com/12.04.2/ubuntu-12.04.2-server-i386.iso.torrent) для установки на наш сервер.

Почему Ubuntu? Потому что популярный дистрибутив, активно развивается и обновляется. У него большое сообщество и решения в релизах последних лет меня кидают в восторг. У него есть свой великолепный менеджер бинарных пакетов, при этом большинство служб работает из коробки и сама надстройка серверная в Ubunte несет в себе невероятно хорошие и удобные вещи.

В общем после того, как загрузилась установка, мы выбираем язык. (рис.1)

Рисунок 1



Нажимаем на энтер и смотрим дальше. Это надо для того, чтобы определить настройки Вашего времени. (рис 2)

Рисунок 2

Затем нам надо определить раскладку. Лучше выбрать ее из списка, поэтому жмем клавишу «нет» (рис 3).

Рисунок 3



И выбираем себе раскладку (рис. 4-5):

Рисунок 4

Рисунок 5

Теперь же можно определить и клавиши переключения раскладки. Я предпочитаю alt + shift (рис.6)



Рисунок 6

Потом пойдет установка различных служб в автоматическом режиме (рис 7).

Рисунок 7



Далее необходимо дать имя Вашему серверу. Можно оставить имя пустым и просто будете наблюдать localhost или ip, но рекомендую как-то нежно и ласково назвать его. Я в качестве примера назвал его serverok (рис. 8).

Рисунок 8

Потом выбираем страну-зеркало архива ubunt. В общем от выбора страны зависит ближайший сервер, с которого будут качаться программки и скорость работы, поэтому укажите наиболее близкое к серверу расположение. Т.к. сервер стоит в России, то это -- Россия (рис. 9).



Рисунок 9

После страны он найдет наилучшие варианты серверов. В РФ их не густо, поэтому жмем энтер (рис. 10):

Рисунок 10



После нам надо ввести данные о прокси серверах. Если в сеть Вы не выходите через другие пк, то оставляем все пустым, если выходите, указываем прокси (рис. 11).

Рисунок 11

Рисунок 12



После нам надо создать имя пользователя и учетную запись. Имена тут могут быть одинаковыми (рис. 12-14).

Рисунок 13

Рисунок 14



и также указываем пароль (рис. 15):

Рисунок 15

После нам остается ввести небольшие настройки. Сейчас у нас спрашивают надо ли шифровать домашний каталог. Если Вы храните невероятно важную информацию, то конечно же можно каталог зашифровать, тогда если пк украдут, никто не получит доступ к информации (пока не начнут пытать Вас паяльником и Вы не скажете пароль). Я каталог не шифрую (рис. 16).



Рисунок 16

Потом нас спрашивают о часовых поясах(рис. 17).

Рисунок 17

Потом изменения вступят в силу и какое-то время будет идти запуск программы разметки (рис. 18).



Рисунок 18

Затем необходимо разметить и разбить диск на разделы. Это можно сделать вручную или автоматически. Я предпочитаю делать ручками, хотя я предпочитаю всего два раздела.

Итак, выбираем в ручную (рис. 19):

Рисунок 19



Теперь надо определиться с разделами. Я всегда делаю два, один под своп подкачки (когда не хватает оперативной памяти, используется этот раздел жесткого диска для хранения временной информации) и корневой раздел. Многие отдельно выделяют boot раздел и ставя его в начало диска, чтобы система быстрее загружалась. Но эти милисекунды мне на постоянно всключенном сервере не нужны. Итак, выбираем жесткий диск для разметки (рис. 20).

Рисунок 20

Говорим да, весь диск я хочу затереть (рис. 21)



Рисунок 21

Видим свободное место, его теперь и разбиваем, жмем энтер! (рис. 22)

Рисунок 22



Выбираем «создать новый раздел» (рис. 23).

Рисунок 23

Вводим размер нового раздела, я выбираю 2 гб для раздела подкачки (рис. 24).

Рисунок 24



Вводим параметры как на картинке для раздела подкачки и сохраняем (рис. 25):

Рисунок 25

Делаем примерно тоже самое под основной раздел, занимающий все свободное место. В качестве точки монтирования указываем корень / . Файловую систему я предпочитаю ext4 (рис. 26).

Рисунок 26



В общем вся разметка диска, два раздела, файл подкачки и корень (рис. 27-28):

Рисунок 27

Рисунок 28



Ну теперь все пишется и настраивается и ставится дальше без нас, вот форматирование разделов (рис. 29):

Рисунок 29

А вот установка базовой системы, это довольно долго (рис. 30):

Рисунок 30



Видно, как устанавливается и настраивается менеджер пакетов apt. Apt великолепен, в нем есть информация о файлах и зависимостях. Если нам надо что-то поставить мы говорим что (командами), он сам скачивает, устанавливает и устанавливает дополнительные нужные программы-зависимости из бинарников. Т.е. все уже собрано и скомпилировано и занимает мало времени, удобно. В общем видно ,как он ставится тут (рис. 31):

Рисунок 31

Потом надо еще выбрать пару настроек. Я отмечаю, чтобы система обновлялась автоматически (ядро и все файлы программ рис. 32)



Рисунок 32

Дальше снова смотрим установку (рис. 33).

Рисунок 33

Все, после этого система готова и поставлена (рис. 34).



Рисунок 34

Перезагружаемся, логинимся и видим консоль с информацией о сети, памяти, логине и многом другом (рис. 35):

Рисунок 35

Теперь у нас есть свой сервер.



2.2 НАСТРАИВАЕМ СЕРВЕР

Отчет о падении ядра

Отчет о падении ядра является частью содержимого оперативной памяти (RAM), которая копируется на диск всякий раз, когда выполнение ядра прерывается. Следующие события могут стать причиной остановки ядра:

Критическая ошибка ядра (Kernel Panic)

Незамаскированное прерывание (NMI)

Фатальная ошибка проверки машины (MCE)

Отказ оборудования

Ручное вмешательство

Некоторые из этих событий (паника, NMI) ядро обрабатывает автоматически и запускает механизм сохранения отчета через kexec. В других случаях требуется ручное вмешательство для захвата памяти. Всякий раз как что-то из перечисленного происходит, важно найти основную причину с целью предотвращения такого события снова. Причина может быть определена с помощью инспектирования содержимого памяти.

Механизм отчета о падении ядра

Когда происходит критическая ошибка ядра, ядро полагается на механизм kexec для быстрой перезагрузки новой копии ядра в предварительно зарезервированную секцию памяти, которая выделяется при загрузке системы. Это позволяет существующей памяти остаться нетронутой с целью безопасного копирования ее содержимого в файл.

Установка

Утилита сохранения отчета о падении ядра устанавливается следующей командой:

sudo apt-get install linux-crashdump

После этого потребуется перезагрузка.

Проверка

Для подтверждения, что механизм отчета о падении ядра доступен, надо проверить несколько вещей. Во-первых, убедитесь, что указан загрузочный параметр crashkernel. (заметьте, что строка внизу разделена на две для сохранения форматирования документа):

cat /proc/cmdline

Ответ сервера:

«BOOT_IMAGE=/vmlinuz-3.2.0-17-server root=/dev/mapper/PreciseS-root ro crashkernel=384M-2G:64M,2G-:128M»

Параметр crashkernel имеет следующий синтаксис:

crashkernel=<range1>:<size1>[,<range2>:<size2>,...][@offset]

range=start-[end] 'start' is inclusive and 'end' is exclusive.

Таким образом с параметром crashkernel, найденным в файле /proc/cmdline мы имеем:

crashkernel=384M-2G:64M,2G-:128M

Значение выше означает:

1. если оперативная память меньше 384МБ, то ничего не резервировать (это вариант «спасения»)

2. если оперативная память между 384МБ и 2ГБ (привилегированная), то зарезервировать 64МБ

3. если оперативная память больше 2ГБ, то зарезервировать 128МБ

Во-вторых, убедитесь, что ядро зарезервировало требуемую память для kdump ядра, выполнив:

dmesg | grep -i crash

...

[ 0.000000] Reserving 64MB of memory at 800MB for crashkernel (System RAM: 1023MB)

Убедитесь, что механизм SysRQ включен, посмотрев значение параметра ядра /proc/sys/kernel/sysrq:

cat /proc/sys/kernel/sysrq

Если возвращается значение 0, свойство отключено. Включите его следующей командой:

sudo sysctl -w kernel.sysrq=1

Для реализации поставленной задачи будем использовать связку: Squid + Abills 0.54. Squid - будет маршрутизировать весь трафик, а биллинговая система Abills будет считать весь трафик, строить отчеты и предоставлять удаленный доступ через веб-интерфейс для удобства администрирования.

ABillS (~AsmodeuS~ Billing System) - надежная конвергентная биллинговая система, предназначенная для учета и тарификации всего спектра услуг предоставляемых операторами связи (Dialup, VPN, Hotspot, VoIP, IPTV). Система является многофункциональной, модульной ACP (Автоматической Системой Расчётов) с открытым программным кодом, в последующем будет называться Биллингом.

После установки обновляемся, ставим все самое последнее:

Код:

#apt-get update

#apt-get dist-upgrade

И перезагружаем сервер.

заходим под «рутом» - суперпользователем.

$ sudo -s -H

2. Устанавливаем необходимые пакеты одной строчкой:

#apt-get install mysql-server mysql-client libmysqlclient15-dev apache2 apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt libdbi-perl libdbd-mysql-perl libdigest-md4-perl libdigest-sha1-perl libcrypt-des-perl freeradius radiusclient1 radiusclient1 pptpd

Во время установки MySQL сервер 2 раза спрашивает пароль root для mysql server, скоро понадобится!

Запускаем установленные модули для апача:

#a2enmod ssl

#a2enmod rewrite

#a2enmod suexec

#a2enmod include

Перезапускаем apache:

#/etc/init.d/apache2 restart

#a2enmod rewrite - ОБЯЗАТЕЛЕН, иначе получите ошибку при входе в админку!

3. Скачиваем abills 0.50, с сайта http://abills.net.ua распаковываем в /usr/abills или воспользуемся cvs и скачаем стабильный релиз.

Ссылка на файлы: http://sourceforge.net/projects/abills/files/

4. Создаем недостающие каталоги и меняем права:

# mkdir /usr/abills/backup

# chown -R www-data:www-data /usr/abills/backup

# mkdir /usr/abills/cgi-bin/admin/nets

# chown -R www-data:www-data /usr/abills/cgi-bin/

# mkdir /usr/abills/var

# mkdir /usr/abills/var/log

# chown -R freerad:freerad /usr/abills/var

Далее редактируем /etc/sudoers добавляем строку. По этой команде убиваются vpn туннели.

www-data ALL=NOPASSWD: /usr/abills/misc/pppd_kill

5. Настраиваем freeradius, информация с сервера разработчика с правками под наш дистрибутив:

в /etc/freeradius/radiusd.conf в секции modules описываем секции:

#abills_preauth

exec abills_preauth {

program = "/usr/abills/libexec/rauth.pl pre_auth"

wait = yes

input_pairs = request

shell_escape = yes

#output = no

output_pairs = config

}

#abills_postauth

exec abills_postauth {

program = "/usr/abills/libexec/rauth.pl post_auth"

wait = yes

input_pairs = request

shell_escape = yes

#output = no

output_pairs = config

}

#abills_auth

exec abills_auth {

program = "/usr/abills/libexec/rauth.pl"

wait = yes

input_pairs = request

shell_escape = yes

output = no

output_pairs = reply

}

#abills_acc

exec abills_acc {

program = "/usr/abills/libexec/racct.pl"

wait = yes

input_pairs = request

shell_escape = yes

output = no

output_pairs = reply

}

в секции exec, фаил /etc/freeradius/modules/exec приведем к следующему виду:

exec {

wait = yes

input_pairs = request

shell_escape = yes

output = none

output_pairs = reply

}

Файл /etc/freeradius/sites-enabled/default - правим секции authorize, preacct, post-auth. Остальное в этих секциях комментируем или удалим.

authorize {

preprocess

abills_preauth

mschap

files

abills_auth

}

preacct {

preprocess

abills_acc

}

post-auth {

Post-Auth-Type REJECT {

abills_postauth

}

}

в /etc/freeradius/users

DEFAULT Auth-Type = Accept

Редактируем /etc/freeradius/clients.conf коментируем все, в конец добавляем (клиент/сервер на локальной машине, если будут на разных кодовое слово лучше поменять)

client localhost {

ipaddr = 127.0.0.1

secret = radsecret

shortname = shortname

}

Переходим к редактированию файла /etc/freeradius/dictionary, добавляем в конец

# Limit session traffic

ATTRIBUTE Session-Octets-Limit227integer

# What to assume as limit - 0 in+out, 1 in, 2 out, 3 max(in,out)

ATTRIBUTE Octets-Direction 228integer

# Connection Speed Limit

ATTRIBUTE PPPD-Upstream-Speed-Limit 230integer

ATTRIBUTE PPPD-Downstream-Speed-Limit231integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-1232integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-1 233integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-2234integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-2 235integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-3236integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-3 237integer

ATTRIBUTE Acct-Interim-Interval 85 integer

После этого перезапускаем радиус:

#/etc/init.d/freeradius restart

Если пишет ошибку, то команда freeradius -X выдает лог и служит для поиска онных.

6. Настраиваем radiusclient.

Редактируем /etc/radiusclient/servers

127.0.0.1 radsecret

dictionary.microsoft кладем в /etc/radiusclient/

эти файлы отвечают за поддержку mschap v2 и mppe

взять фаил можно с http://cakebilling.googlecode.com/files/etc.tar.bz2 без него mschap2 и mppe работать отказывается.

в фаил dictionary добавляем строки:

INCLUDE /etc/radiusclient/dictionary.microsoft

# Limit session traffic

ATTRIBUTE Session-Octets-Limit227integer

# What to assume as limit - 0 in+out, 1 in, 2 out, 3 max(in,out)

ATTRIBUTE Octets-Direction 228integer

# Connection Speed Limit

ATTRIBUTE PPPD-Upstream-Speed-Limit 230integer

ATTRIBUTE PPPD-Downstream-Speed-Limit231integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-1232integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-1 233integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-2234integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-2 235integer

ATTRIBUTE PPPD-Upstream-Speed-Limit-3236integer

ATTRIBUTE PPPD-Downstream-Speed-Limit-3 237integer

ATTRIBUTE Acct-Interim-Interval85integer

правим фаил /etc/hosts

127.0.0.1 localhost serverok

127.0.1.1 localhost serverok

serverok - это имя ВАШЕГО vpn-сервера, меняете на ваше усмотрение. Иначе радиус клиент не сможет соединиться с радиус-сервером.

7. Далее необходимо создать БД для AbillS

#mysql -u root -p

GRANT ALL ON abills.* TO abills@localhost IDENTIFIED BY "yourpassword";

CREATE DATABASE abills;

Вариант2: Можно поступить проще, установить пакет phpmyadmin и сделать все за 1 минуту включая генерирование стойкого пароля.

sudo apt-get install phpmyadmin

далее

http://ip-адрес-вашего-сервера/phpmyadmin/

вводим логин root и пароль, для управления сервером и

закладка «Привилегии» -> «Добавить нового пользователя»

Имя пользователя: abills

Хост: localhost

Пароль:нажать кнопку сгенерировать, пароль запомнить или записать.

Поставить галку: Создать базу данных с именем пользователя в названии и предоставить на нее полные привилегии.

Жмем Ок, база создана.

После импорта файла abills.sql, может возникнуть проблема с кодировкой базы, по этому желательно поправить добавив в него принудительно указанную кодировку. Например:

CREATE TABLE `nas_ippools` (

`pool_id` int(10) unsigned NOT NULL default 0,

`nas_id` smallint(5) unsigned NOT NULL default '0',

UNIQUE KEY `nas` (`nas_id`,`pool_id`)

) DEFAULT CHARSET=cp1251 ;

Заодно можно поправить секретный код, который шифрует пароли.

INSERT INTO admins (id, name, regdate, password, gid, aid, disable, phone, web_options) VALUES ('abills','abills','2005-06-16', ENCODE('abills', 'abills345678901234567890'), 0, 1,0,'', '');

INSERT INTO admins (id, name, regdate, password, gid, aid, disable, phone, web_options) VALUES ('system','System user','2005-07-07', ENCODE('test', 'abills345678901234567890'), 0, 2, 0,'', '');

Теперь дамп БД из каталога с abills нужно занести в БД

#mysql -u root -p abills < abills.sql

Настраиваем конфигурационный фаил Abills

В папке /usr/abills/libexec выполняем

#cd /usr/abills/libexec

#cp config.pl.default config.pl , затем его редактируем.

Указываем верные реквизиты доступа к БД, также меняем некоторые параметры:

Код:

$conf{dbhost}='localhost';

$conf{dbname}='abills';

$conf{dbuser}='abills';

$conf{dbpasswd}='SxTcBAx7dYfR7cG7';

$conf{dbcharset}='cp1251';

$conf{default_language}='russian';

$conf{periodic_check}='yes';

$conf{ERROR_ALIVE_COUNT} = 10;

$conf{secretkey}="abills345678901234567890";

$conf{RADIUS2}=1;

Отключаем лишние модули:

@MODULES = ('Dv',

#'Voip',

#'Docs',

#'Mail',

'Sqlcmd');

8.Правим конф /usr/abills/Abills/defs.conf

меняем только приведенные ниже строки

Код:

$SNMPWALK = '/usr/bin/snmpwalk';

$SNMPSET = '/usr/bin/snmpset';

$GZIP = '/bin/gzip';

$TAR='/bin/tar';

$MYSQLDUMP = '/usr/bin/mysqldump';

$IFCONFIG='/sbin/ifconfig';

Теперь будет работать backup

8. Создаем сертификат для Apache

Код:

#mkdir /etc/apache2/ssl

отвечаем на вопросы следующей команды:

Код:

#make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

#a2enmod ssl

Заменяем текст из /etc/apache2/sites-available/default-ssl на приведенный.

Код:

SSLEngine On

SSLCertificateFile /etc/apache2/ssl/apache.pem

DocumentRoot /usr/abills/cgi-bin/

Alias /abills "/usr/abills/cgi-bin/"

RewriteEngine on

RewriteCond %{HTTP:Authorization} ^(.*)

RewriteRule ^(.*) - [E=HTTP_CGI_AUTHORIZATION:%1]

Options Indexes ExecCGI SymLinksIfOwnerMatch

AddHandler cgi-script .cgi

Options Indexes ExecCGI FollowSymLinks

AllowOverride none

DirectoryIndex index.cgi

#Options ExecCGI

Order allow,deny

Deny from all

#Admin interface

AddHandler cgi-script .cgi

Options Indexes ExecCGI FollowSymLinks

AllowOverride none

DirectoryIndex index.cgi

order deny,allow

allow from all

ErrorLog /var/log/apache2/error-abills.log

# Possible values include: debug, info, notice, warn, error, crit,

# alert, emerg.

LogLevel warn

CustomLog /var/log/apache2/access-abills.log combined

Меняем кодироку на cp1251 здесь /etc/apache2/conf.d/charset

AddDefaultCharset cp1251

Создаем симлинк:

#ln -s /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled/default-ssl

Перезапускаем apache

Код:

#/etc/init.d/apache2 restart

Проверяем работу сервера, заходим по адресу:

https://ip-адрес-вашего-сервера/admin/

9. Настройка pptpd:

Код:

Редактируем /etc/pptpd.conf

ppp /usr/sbin/pppd

option /etc/ppp/pptpd-options

localip 192.168.160.1

Редактируем /etc/ppp/options, добавляем строку

+mschap-v2

Редактируем /etc/ppp/pptpd-options, добавляем строки:

Код:

ms-dns 192.168.160.1 # или любой удобный для вас днс сервер

asyncmap 0

lcp-echo-failure 30

lcp-echo-interval 5

ipcp-accept-local

ipcp-accept-remote

plugin radius.so

plugin radattr.so

По умолчанию конф настроен на mschap-v2+mppe.

Пишем скрипт шейпера и даем права запуска.

Код:

#touch /etc/ppp/ip-up.d/shaper

#chmod 744 /etc/ppp/ip-up.d/shaper

#nano /etc/ppp/ip-up.d/shaper

Код:

#!/bin/sh

if [ -f /var/run/radattr.$1 ]

then

DOWNSPEED=`/usr/bin/awk '/PPPD-Downstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`

UPSPEED=`/usr/bin/awk '/PPPD-Upstream-Speed-Limit/ {print $2}' /var/run/radattr.$1`

# echo $DOWNSPEED

# echo $UPSPEED >

/sbin/tc qdisc del dev $1 root > /dev/null

/sbin/tc qdisc del dev $1 ingress > /dev/null

##### speed server->client

if [ "$UPSPEED" != "0" ] ;

then

#/sbin/tc qdisc add dev $1 root handle 1: htb default 20 r2q 1

/sbin/tc qdisc add dev $1 root handle 1: htb default 20

/sbin/tc class add dev $1 parent 1: classid 1:1 htb rate ${UPSPEED}kbit burst 4k

/sbin/tc class add dev $1 parent 1:1 classid 1:10 htb rate ${UPSPEED}kbit burst 4k prio 1

/sbin/tc class add dev $1 parent 1:1 classid 1:20 htb rate ${UPSPEED}kbit burst 4k prio 2

/sbin/tc qdisc add dev $1 parent 1:10 handle 10: sfq perturb 10 quantum 1500

/sbin/tc qdisc add dev $1 parent 1:20 handle 20: sfq perturb 10 quantum 1500

/sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip tos 0x10 0xff flowid 1:10

/sbin/tc filter add dev $1 parent 1:0 protocol ip prio 10 u32 match ip protocol 1 0xff flowid 1:10

/sbin/tc filter add dev $1 parent 1: protocol ip prio 10 u32 match ip protocol 6 0xff match u8 0x05 0x0f at 0 match u160x0000 0xffc0 at 2 match u8 0x10 0xff at 33 flowid 1:10

fi

##### speed client->server

if [ "$DOWNSPEED" != "0" ] ;

then

/sbin/tc qdisc add dev $1 handle ffff: ingress

/sbin/tc filter add dev $1 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate ${DOWNSPEED}kbit burst 12k drop flowid :1

fi

fi

10. Устанавливаем squid, делаем его прозрачным.

#apt-get install squid

меняем строки в файле /etc/squid/squid.conf

с http_port 3128 на http_port 3128 transparent

По умолчанию, в конфиге прописаны все возможные сети, убираем комментарий :

http_access allow localnet

перезапускаем сервис

# /etc/init.d/squid restart

11. Включаем нат и прописываем следущие строчки в фаил rc.local

правила фаервола:

ip адрес 192.168.1.10, смотрит в сторону adsl роутера.

Код:

# Сбросить правила и удалить цепочки.

iptables -F

iptables -t nat -F

iptables -t mangle -F

iptables -X

iptables -t nat -X

iptables -t mangle -X

#Правила для NAT

iptables -t nat -A POSTROUTING -s 192.168.160.0/255.255.255.0 -j SNAT --to-source 192.168.1.10

#Правило для прозрачного прокси, если таковой имеется.

iptables -t nat -A PREROUTING -p tcp -s 192.168.160.0/24 --dport 80 -j REDIRECT --to-port 3128

#Закрываем важные порты на Интерфейсах

iptables -A INPUT -p TCP -i eth0 --dport 3128 -j DROP #Порты proxy

iptables -A INPUT -p TCP -i eth1 --dport 3128 -j DROP

iptables -A INPUT -p TCP -i eth0 --dport 3306 -j DROP #mysql

iptables -A INPUT -p TCP -i eth1 --dport 3306 -j DROP

#Открываем Фовардинг

echo "1" > /proc/sys/net/ipv4/ip_forward

exit 0

Скрипт примитивный, но для начала хватит.

12. В /etc/crontab заносим следующее.

*/5 * * * * root /usr/abills/libexec/billd -all

1 0 * * * root /usr/abills/libexec/periodic daily

1 0 1 * * root /usr/abills/libexec/periodic monthly

#backup

1 3 * * * root/usr/abills/libexec/periodic backup

13. Настрока Abills

Открываем web-интерфейс админки по адресу https://ip-адрес-вашего-сервера/admin/

Логин/пароль abills/abills их можно будет потом сменить.

По умолчанию. NAS, пользователь и тариф уже создан. Мы изменим под свои условия.

Идем Система->Сервер доступа

Ip пишем 127.0.0.1

Выбираем тип pppd:pppd + Radius

Alive (sec.): 120

RADIUS Parameters (,): Acct-Interim-Interval=60

Теперь добавляем IP POOLs:

ставим 192.168.160.2-192.168.160.254

Заводим группы тарифов:

/ Система/ Internet/ Тарифные планы/ Группы/

добавил: безлимит, GID: 0

Идем в/ Система/ Internet/ Тарифные планы/

#: 1

Название: «безлимит»

Группа: «1:безлимит»

Дневная а/п: 10

добавить

Определяем скорости:

/ Система/ Internet/ Тарифные планы/

жмем на, выбранный тариф «Интервалы»

жмем кнопку добавить, затем Трафик

вписываем скорости, добавить.

Теперь заводим пользователя:

/ Клиенты/ Логины/ Internet/ Пользователи Добавить/

создаем клиента: пароль, логин, ФИО, кредит. И сразу можно положить деньги на счет.

Тут главное сначала создать группы тарифов, а потом сами тарифы.

Если нужно убрать шифрование, делаем так:

Убираем строчку "require-mppe-128" в файле /etc/ppp/pptpd-options Это даст бОльшую стабильность VPN туннелей и разгрузит ЦПУ.



ЗАКЛЮЧЕНИЕ

В заключении можно отметить следующее: в организациях среднего масштаба, которые не являются провайдерами главным при выборе программного обеспечения отвечающего за предоставление интернета сотрудникам предприятия является его себестоимость! Именно стоимость реализации в конечном счете отвечает за нас: хотим мы использовать весь огромный, потрясающий и удобный спектр услуг дорогостоящего программного обеспечения или же мы обойдемся узким набором инструментов или нет пусть и на администрирование которого уходит намного больше времени коммерческих конкурентов. На нашем предприятии победу одержал самый экономически выгодный, бюджетный проект по внедрению прокси сервера на предприятии, это связка: Linux Ubuntu 12.04 LTS Server +интегрированный Squid + Abbils 0.54 (биллинговая система) на стоимость которого ушло 0 рублей предприятия и около 6 часов администрирования. На самом деле реалити-жизни такова, что спрос на бюджетные IT-решения очень высок и тот кто знает как их реализовать всегда будет в выйграше:

1. Во первых с точки зрения квалификации, ведь на внедрения такого рода решений требуется вооружиться дополнительными значительные запасами знаний в области администрирования UNIX систем и дополнительных модулей, а значит и обслуживать такого рода IT-интеграции должен специалист с повышенными требованиями в квалификации. Высококвалифицированный специалист и зарплату достоин высокую к чему мы и стремимся.

2. Во вторых, если уж мы займемся предпринимательской деятельностью, тот в этом случае, себя поставить на место директора, который пытается уменьшить расходы своего бизнеса придется безоговорочно и при принятии решения как обеспечить безопасный и подконтрольный доступ к интернету сотрудникам предприятия, этот способ и опыт будет очень конкурентоспособен.

3. Наш способ интеграции прокси-сервера еще хорош тем, что он использует без интерфейсную Unix серверную платформу, значит он более безопасен от проникнования вирусов, программ-шпионов и хаккерских-атак нежели платные интрефейсные собратья на windows платформа, тем самым включая в свой бюджетный плюс еще и хороший уровень безопсности.

4. Наш способ интеграции прокси-сервера требует минимум вычислительной мощи от сервера используя все системные ресурсы. Наша Linux операционная система умеет работать с многоядерными процессорами, 64 битными командами, а значит и большим количеством оперативной памяти, выигрывая тем самым по мощи своих конкурентов - Windows собратьев.

В моем курсовом проекте у меня получилось выполнить поставленные задачи:

1. Обеспечить защиту информации с помощью прокси-сервера

2. Внедрить прокси-сервер с минимальными системными и финансовыми затратами

3. Обеспечить всех сотрудников предприятия интернетом

4. Внедрив биллинговую систему Abiils, мне удалось мониторить трафик по каждому сотруднику или определенной группе и строить отчеты на основе этой статистики.

5. Упростил задачу администрирования. Задачи по заведению пользователей, выдача паролей, аутентификационные данные теперь вводятся через дружественный веб-интерфейс Abills.



СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. http://www.securitypolicy.ru/index.php

2. http://www.smart-soft.ru/ru/

3. http://winroute.ru/kerio_winroute_firewall_stateful_firewall.htm

4. http://technet.microsoft.com/ru-ru/library/ff355324.aspx

5. http://store.softline.ru/microsoft/microsoft-forefront-unified-access-gateway-server/

6. Колисниченко, Д. Linux от новичка к профессионалу 2изд. [Текст] / Д. Колисниченко. -М., БХВ, 2010.-764с.

7. Колисниченко, Д. Ubuntu Linux.Краткое руководство пользователя [Текст] / Д. Колисниченко. -М., БХВ, 2007.-305с.

8. Котенок, Д. Ubuntu. Базовый курс [Текст] / Д. Котенок. Брянск, 2009. -55с.

9. Неворотин, В. Руководство по переходу на Ubuntu 10.04 LTS Lucid Lynx [Текст] / В. Неворотин. 2010.-180с.

10. Орлофф, Дж.Ubuntu.Бесплатная альтернатива Windows. [Текст] / Дж. Орлофф. Эксмо. 2009. -352с.

Размещено на Allbest.ru

...