Построение сети уровня предприятия на Linux это реально?
Предыдущую тему удалили потому повторю вопрос и чуть больше раскрою Сейчас у меня есть сеть на 1400 юзверей домен поднят на win, но шлюз, почта, внутренний сайт это все Linux И вот собственно назрел вопрос, а можно ли всю сеть на Linux Ну, бухов оставить в терминале конструкторов на винде со своими добром, но есть же еще куча народа, для которых комп это только корпоративная почта, работа в OpenOffice, ползанье по интернету и работа с внутренним сайтом.
Во потому и встал вопрос, а как перевести всех этих пользователей на Linux и забыть о вирусне и постоянным обновлениям винды. Но тут лично для меня встает вопрос консолидации управления привык уже к домену, к тому что можно одной политикой поставить софт на все машины или изменить настройки или прописать всем новую проксю или да много чего можно, да и с учетками и паролями опять же сейчас авторизация идет через LDAP на вин домен, а как потом когда домена не будет кто будет централизованно держать учетки, есть ли аналог удаленного помощника, что бы можно было посмотреть монитор пользователя и помочь найти ту самую заветную кнопку. А как быть скажем, с DFS с репликаций, да и много еще с чем. Просто как то раньше не задумывался над этими вопросами а вот сейчас что то проняло я понимаю что это может быть сложно и не просто все простроить но проблема в том что честно искал но так и не нашел вообще описания чего то подобного. Подскажите куда смотреть в какую сторону?
Оставайся на венде. Рекомендую Зверь Эдишн.
Если хочется разбираться — разбирайся. В линуксе всё это есть. Но в виде готового решения только коммерческие дистрибутивы вроде RHEL и SLES.
Разбей проблему на части, изучи каждый вопрос.
Кратко — всё решается безо всякой винды.
Да виньдюшечка это вещь, это крутЪ, я как попробовал оемочку с компом, так прямо и подсел, все так логично, а главное красиво и думать не надо.
samba
openLDAP
nagios
SNMP
Я не против но тогда киньте в меня линком где был бы описан пример такого построения пусть даже на комерческом дистре это не есть проблемма
По отдельности для каждой задачи существуют решения, но увязка их в единую систему ложится на плечи админа.
Универсальной парадигмы администрирования под Linux нет. Придется перезнакомиться с каждым экспонатом зоопарка лично. PolicyKit, sudo, TCP wrapper, samba, LDAP + конфиги конкретного приложения. Они и не задумывались работать сообща.
Это просто адов угар — пытаться мастерить из них работающую систему. Гарантий работоспособности — нуль, если только ты не подавленный опытом 40-летний спец.
ps Попробуй хотя бы заполнить PDF-форму кириллицей. А потом подумай, как научить таким трюкам свою бухгалтершу.
И парк аминов, что бы всем этим рулить на 1400 юзеров, ага. Я вот не понимаю мотивации топикстартера.
>но есть же еще куча народа, для которых комп это только корпоративная почта, работа в OpenOffice, ползанье по интернету и работа с внутренним сайтом.
Ну и ставьте все нужное из opensource на мастдай.
>>работа в OpenOffice
/0, если только в твои рабочие обязанности не входит совокупление с OpenOffice и постижение великого недокументированного Дао Uno.
Ну то что на плечи админа это понятно это всегда так было и в винде так же это только на поверхности пару кнопочек а глубже везде болото.
просто много смущает и самое плохое что не могу найти описания или примеров, примеров увязки Linux с Вин куча мала, а вот чисто Linux нету.
А по поводу PDF это у нас просто решается организовали курсы пользователям почитали им часов 40 лекций по опен офису сделали методичку раздали ее, и в один прекрастный день пользователи пришли и не нашли своего любимого MS офиса у всех стоял Опен и ничего уже года полтора полет нормальный. Главнео что есть волевое решение руководства.
Ну на винде нас 5-ро просто когда подсчитали сколько стоит полностью леголизовать домен вот ту и задумались, может стоит вести два домена один для бухов и инженеров на винде (тут никуда не денешся), а всех остальных перевести полностью на Linux но встал вопрос централизации управления
> Построение сети уровня предприятия на Linux это реально?
Нет, сынок, это — фантастика.
а как потом когда домена не будет кто будет централизованно держать учетки
LDAP, samba, хорошенько вкурить. Я использовал для вкуривания виртуальные машины из которых строил виртуальную сеть. Весь вопрос в том, что для тебя входит в понятие «учетка».
есть ли аналог удаленного помощника,
есть, и есть даже встроенные в гнум и KDE. Для помощи виндовым машинам можно установить RealVNC (или что-то подобное) и соединяться штатными средствами.
к тому что можно одной политикой поставить софт на все машины или изменить настройки или прописать всем новую проксю или да много чего можно
можно написать скрипт, который будет автоматически запускать какие-то действия на всех машинах одновременно.
насчет «прописать всем новую проксю» — фиг знает, у всех же разные браузеры, DE, настройки софта. Придется изобретать скрипты обновления для каждой мыслимой конфигурации.
Возможно! Но придется много читать и бегать между пользователями! Но это уже вторичный вопрос! Удачи тебе 🙂
Организация корпоративной сети на Linux
Модернизация корпоративной сети
Привет всем! Ввиду небольшого опыта администрирования сетей, хотел бы услышать ваших советов.
Создание Корпоративной сети
Добрый день, Меня, как «Веб Разработчика», которого поставили Системным Администратором.
Проектирование корпоративной сети на предприятии
Всем привет, меня интересует как правильно спроектировать, построить корпоративную сеть для.
Подключение к ресурсам корпоративной сети
Здравствуйте Рабочие компьютеры нашей компании объединены в сеть с адресами типа 10.ххх.ххх.ххх и.
Видимо нужен домен на базе линукса, тогда посмотри в сторону готовых решений. Когда поймешь как они организованы, то остальное сразу легче пойдет.
Почитай про squid, iptables, samba, vsftpd, shell, bash. Это то , без чего не обойтись для твоих задач.
сначала создай сеть 1 шлюз, и 2 клиента в сети 192.168.1.0/24
Установи virtualbox в него три виртуалки 2 клиента, 1 шлюз.
Какой дистрибутив не важно, т.к. все настраивается из консоли — у всех она одинаковая, т.к. linux один. Но лучше используй debian или ubuntu на них мануалов больше простых.
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Доступ к корпоративной сети из дома
Доброе утро! Подскажите как организовать доступ с домашнего пк к рабочего компьютеру. .
Чат для корпоративной сети
Посоветуйте, программу чат которая работала бы в локальной и глобальной сети, а также на мобильных.
Гостевой WIFI, отделенный от корпоративной сети
Доброго времени. Есть корпоративная сеть. теперь вот надо wifi сделать. как для сотрудников , так и.
Роутер для корпоративной сети и почтовика
Добрый день, Господа! Имеется некоторая проблема: Есть корпоративная сеть с двумя контроллерами.
Организация безопасности сети предприятия с использованием операционной системы Linux
Обзор устройств защиты, теоретические основы и основные этапы проектирования локальных сетей. Подбор топологии и технологии компьютерной сети, оборудования, поддерживающего технологию, планирование сетевой адресации. Конфигурация сервера безопасности.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 14.10.2010 |
| Размер файла | 499,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Организация безопасности сети предприятия с использованием операционной системы Linux
Компьютерная сеть — это система разделенного использования информации, которая заключается, как минимум, из двух компьютеров, которые взаимодействуют между собой. На первое место становится вопрос о защите информации или своего ПК. Защита один из важнейших вопросов, которую рассматривается при настройке ПК. Правильный подход к защите защитит вас от беды, сохранит час и деньги. Необходимо, чтобы злоумышленные пользователи не могли входить в систему, а данные и службы были доступны том, кто виноват мать к ним доступ. Поскольку большими сетями трудно управлять, разбивка сети на меньшие части, может полу как наилучшим средством для работы со всей системой. Для каждой системы, которая будет поддаваться угрозам, необходимо определить заходи защите, а также средства их осуществления. Нужно решить, какие части системы важнейшие. Необходимо защищать службы и сами данные.Система может быть атакована разными средствами, и защита как раз и является значением того, которое может состояться и как это предотвратить.
Атаки можно разделить на несколько категорий:
Физические атаки — могут состояться в любой момент часа, когда кто-то получает физический доступ к машине. Физическая атака может заключаться, например, в том, что кто-то, сидя за файловым сервером, перезагружает машину, копирует ваших начальных кодов.
Атаки на службы — бывают разные от закидывания сетевых портов запросами на подключение к засорению почтовому серверу бесполезными сообщениями. В обоих случаях конечный результат заключается в потому, что законные обращения к службам не обрабатываются через те, что атака вызывает проблемы возле самой службы или «Зависает» весь сервер. Организаторов таких атак очень сложно выследить, поскольку для атаки системы используют, как правило, поддельны IP-адреса или украдены учетные записи.
Атака на права доступа — когда кто-нибудь пытается получить права доступа или добраться до специальных учетных записей пользователей в системе, которыми ему не разрешено пользоваться. Это может быть рассержено пользователь, который пытается получить права доступа пользователя root (Администратор), чтобы притворить неприятности, или же кто-то из внешней сети, которая делает попытки получить доступ к файлам. Количество атак можно уменьшить, но Администратор, который заботится о защите, виновной предотвращать появление очевидных дыр в защите.
Есть газетная редакция «Интранатер Старра», который будет заниматься разработкой публикаций новостей, как в журналах и газетах, так и в Интернете с помощью своего веб сайта. На предприятии работатет около 70 человек. Из них двое будут следить за работоспособностью сети и компьютеров предприятия.
Создать проект компьютерной сети предприятия.
Обеспечить безопасность данным предприятия. В случае потери данных, сделать возможным их воссоздание.
Обеспечить организацию возможностью использования сети Интернет.
Рассчитать стоимость реализации проекта.
Выходные даны к проекту
Редакция расположатся в трех поверхностному дому. Дом после капитального ремонта, так же в доме была продумана проводка кабелей, зачет двойного пола. План дома приведен в дополнении “A>rdblquote
В доме не установлены компьютеры.
В каждый кабинет проведен сетевой кабель тип: «крученная пара».
Так же в дом будут размещаться помещения, в которых не будет установлено никакого вычислительного оборудования (например столовая).
Спроектировать локальную сеть. Подобрать топологию и технологию компьютерной сети.
Выбрать оборудование, поддерживающее эту технологию. Распланировать сетевую адресацию.
Организовать доступ к сети Интернет.
Определить устанавливаемое программного обеспечения на рабочие станции и сервера
Сконфигурировать сервер безопасности под управлением ОС Linux. Продумать настройку безопасности для рабочих станций.
Протестировать созданную конфигурацию
Выполнить расчет стоимости реализации проекта
Общие требования к проекту.
В процессе проектирования сети здания необходимо выполнить следующие востребования:
Выдержать пропускную способность от компьютеров от 5 Мбіт/сек до 25 Мбит/сек. к серверам.
Продумать безопасность сети предприятия.
Продумать установку серверов.
Обеспечить доступ к сети Интернета.
Распределить Интернет между работниками, по уровню потребности.
Предусмотреть рост локальной сети.
Разместить в помещениях здания:
— на первом этаже 3 кабинета: гостиная, кабинет охраны, и кабинет секретарей.
— на 2 этаже кабинеты: текстовых редакторов, графических редакторов, информационного отдела, бухгалтерия.
— на третьем этаже 5 кабинетов: директора, главного бухгалтера, главного редактора, помещения для коммутационного оборудования, библиотека.
Анализ существующих решении
Обзор устройств защиты
Существуют несколько специализированных устройств защиты. Это могут быть специализированы карты, например, Firewall PCI и 3Com Firewall PC Card, которые инсталлируются в стандартные шины PCI или PC Card и используются вместо привычных сетевых адаптеров Fast Ethernet. Выполнение операций по обеспечению безопасности передается процессору платы брандмауэра, позволяя увеличить производительность системы. Платы-брандмауэры могут функционировать независимо от операционной системы, установленной на клиентском компьютере, и практически неуязвимые для атак из Интернета, действий конечного пользователя или злоумышленных программ.
Межсетевой экран «Цитадель МЕ», версия 2.0
Межсетевой экран «Цитадель МЕ», версия 2.0, является аппаратно-программным комплексом, основанным на платформе Intel Pentium II/III и управляемый специально разработанной операционной системой. В типичной конфигурации экран «Цитадель МЕ» имеет 4 интерфейса 10/100BaseTX Ethernet. Возможна поддержка до 16 интерфейсов Ethernet в одном устройстве. Опциональной возможностью является установка интерфейсного модуля WAN (V.35 или X.21), поддерживающего SLIP, PPP, HDLC и Frame Relay. На передней панели комплекса расположен LCD дисплей и диагностические индикаторы. С их помощью можно получить информацию о диагностике, версиях программного и аппаратного обеспечения, IP адреса, статус, конфигурацию, загрузка интерфейсов и т.д. Это облегчает диагностику возможных проблем, а также позволяет не техническому персоналу обеспечить администратора информацией в случае возникновения проблем. Комплекс «Цитадель МЕ» обеспечивает безопасное, надежное и экономическая взаимодействие сетей Internet и Intranet благодаря могучему и гибкому механизму IP-маршрутизации со встроенными функциями пакетной фильтрации, механизмом адресной трансляции (NAT) и прикладными шлюзами. Использование платформы Intel Pentium и модульной архитектуры на базе шины PCI защищает ваши инвестиции, обеспечивая переход к новым технологиям путем замены интерфейсных модулей и версии управляючої операционной системы.
Комплекс межсетевого экранирования «фпсу-ip»
Программно-аппаратный комплекс ФПСУ-IP есть одновременно и организатором VPNs (виртуальных частных сетей) для информационных систем использующих стек протоколов TCP/IP. Имеет высокие характеристики производительности (в том числе за счет эффективной реализации проходного сжатия данных), которые выдвинули данный комплекс в разряд самих передовых решений как по отношению к отечественным, так и импортным продуктам в области VPNs-организаторов.
Если для других средств организации VPNs, выполненных на основе типичных алгоритмов (например, протокол SKIP) характерное достаточно существенное снижение скорости IP-взаимодействий за счет введения избыточности в каждый передач пакет, то при употреблении комплекса «ФПСУ-IP» обеспечивается минимальная избыточность передаваемой информации, которая обеспечивает даже прирост скорости передачи IP-потоков.
Cisco Pix Firewall
Продукты серии Cisco PIX
Аппаратным решением проблемы обеспечения сетевой безопасности являются продукты серии Cisco PIX (Private Internet eXchange). Программное обеспечение Cisco PIX является собственной разработкой компании Cisco Systems и не основано на каких-либо клонах Unix, что позволило обойтись минимальными востребованиями к дисковой (в Cisco PIX вместо дисковых накопителей используется флэш-пам’ять) и оперативной памяти, а употребление уникального алгоритма ASA (Adaptive Security Algorithm) обеспечило производительность свыше 64000 одновременные сессии, какая недосягаемая на сегодняшний момент ни одним из брандмауэров на базе Unix или Windows NT.
защита на основе технологии контроля заключается защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам
технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS
поддерживает больше 16,000 одновременных соединений
удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX
поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании микрософтвер для реализации виртуальных корпоративных сетей (VPN)
поддержка протокола Oracle SQL*Net для защиты дополнений клиент/сервер
командный интерфейс, свойственный CISCO IOS системе
высокая надежность благодаря возможности дублирования и горячего резерва
трансляция сетевых адреса (NAT) согласно RFC 1631
трансляция портов (PAT) позволяет расширить пул адреса компании — через одну IP адресу можно отображать 64000 адреса (16,384 одновременно)
псевдонимы сетевых адреса позволяют отобразить IP адреса, которые перекрываются, в одно адресное пространство
для зарегистрированных IP адреса можно отменить режим трансляции адреса, что позволяет пользователям использовать их настоящие адреса
прозрачная поддержка всех распространенных TCP/IP сервисов — WWW, FTP, Telnet и вторые
поддержка мультимедийных типов данных с использованием трансляции адреса и без нее, включая Progressive Networks’ RealAudio, Xing Technologies’ Streamworks, White Pines’ CuSeeMe, Vocal Tec’s Internet Phone, VDOnet’s VDOLive, Microsoft’s NetShow, VXtreme’s Web Theater 2
поддержка дополнений для работы с видеоконференциями, совместимыми из H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting
возможность фильтрации потенциально опасных Java апплетов
защищена система реального часа
поддержка нескольких уровней входа в систему
поддержка прерываний (trap) SNMP протокола
сбор аудита через syslog утилиту
поддержка Management Information Base (MIB) для syslog
аудит использования URL и обменов по FTP протоколе
поддержка удаленного вызова процедур (RPC)
программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового серверу в демилитаризованной зоне (DMZ)
защита от SYN атак защищает хост от атак типа «отказ в обслуживании»
трансляция NETBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов
Криптомаршрутизатор (КМ.), является комплексом программно технических средств, который обеспечивает защищенную передачу IP-потоков данных в internet/intranet-мережах и предназначенный для защиты данных Пользователя, которые содержат закрытую информацию.
КМ. является узлом криптографической обработки данных в IP-сетях и обеспечивает прием данных, которые отправляются Пользователями, которые работают на одной из рабочих станций (РС) ЛВС, шифровки этих данных и их защищенную передачу через открытую IP-сеть на аналогичный КМ., который выполняет расшифрование принятых данных и их доставку Пользователю-получателю, который работает на РС ЛВС.
Передача данных осуществляется криптомаршрутизатором по выделенным или коммутированным телефонным каналам связи согласно протоколам PPP, SLIP или CSLIP, а также по каналам ЛВС (по протоколе TCP/IP) и каналах сетей пакетной коммутации данных в соответствии с Рекомендациями X.25 ITU-T.
Криптомаршрутизатор обеспечивает шифровку потоков проходячих через него данных в соответствии с протоколом IPSec v.4, что позволяет скрыть на участке открытой IP-сети информацию о настоящих субъектах обмена и прикладных протоколах Пользователя, которые используются ими.
IP Firewall (ядра 2.0)
Первое поколение IP firewall для Linux появилось в ядре 1.1. Это была версия BSD ipfw firewall для Linux (автор Alan Сох). Поддержка firewall другого поколения появилась в ядрах 2.0 (авторы Jos Vos, Pauline Middelink и другие) и с этого момента стало возможным реально работать из firewall в Linux.
IP Firewall Chains (ядра 2.2)
Большинство аспектов Linux развиваются, чтобы удовлетворить запить пользователей, которые увеличиваются. IP не firewall исключения. Традиционная версия IP firewall прекрасна для большинства прикладных программ, но может быть неэффективный, чтобы конфигурировать сложные среды. Чтобы решить эту проблему, был разработан новый метод конфигурации IP firewall и связанных свойств. Этот новый метод был назван «IP Firewall Chains» и был впервые выпущен для общего использования в ядре Linux 2.2. 0.
IP Firewall Chains разработан Paul Russell и Michael Neuling. Paul описав IP Firewall Chains в IPCHAINS-HOWTO.
IP Firewall Chains позволяет Вам разрабатывать классы правил firewall, к которым Вы можете потом добавлять и удалять компьютеры или сети. Такой подход может улучшать эффективность firewall в конфигурациях, у которых есть большое количество правил.
IP Firewall Chains поддерживается серией ядер 2.2 и доступный как патч для серии 2.0. * ядер. HOWTO описывает, где получить патч и дает большое количество полезных советов относительно того, как использовать утилиту конфигурации ipchains.
Netfilter и таблицы IP (ядра 2.4)
При разработке IP Firewall Chains, Paul Russell решил, что IP firewall виноват проще. Он, став совершенствовать код фильтра и создал пакет, который оказался много проще и более могуче. Это netfilter.
Так, что было неправильно из IP chains? Они значительно улучшили эффективность и управление правилами firewall. Али они все одно обрабатывали пакеты очень длинным путем, особенное в связке с другими возможностями firewall, например, IP masquerade и другими формами трансляции адреса. Часть этой проблемы существовала потому, что IP masquerade (маскировка IP) и Network Address Translation (сетевая трансляция адреса) были разработаны независимо от IP firewall и интегрированы у него позже.
Однако были другие проблемы. В частности, набор правил input описывал весь входной поток уровня IP как одно целое. Этот набор влиял как на пакеты, которые предназначены для этого компьютера, так и на те, которые будут переданы им дальше. Это было неправильно потому, что такой подход попутав функцию цепочки input с функцией цепочки forward, который применялся только к вытекающим пакетам. Возникали весьма замысловатые конфигурации для разной обработки входных и транслируемых пакетов.
Еще одной проблемой было те, что механизм фильтрации находился прямо в ядре системы, и изменить логику его работы было невозможно без коренной перебоязкі всего ядра. Так возник netfilter, который позволяет встраивать в ядро дополнительные модули с другой логикой фильтрации и имеет более простую схему настройки.
Ключевыми отличиями стало удаление из ядра кода для маскировки IP то изменение в логике работы наборов правил input и output. Появился новый расширяемый инструмент конфигурации iptables.
В IP chains набор правил input применяется ко всем пакетам, полученным компьютером, независимо от того, назначены ли они для локального компьютера или направлены на другой компьютер. В netfilter набор правил input применяется только к пакетам, предназначенным для локального компьютера. Цепочка forward теперь применяется исключительно к пакетам, предназначенным для передачи другому компьютеру. В IP Сhains набор правил output применяется ко всем пакетам, вытекающим из компьютера, независимо от того, сгенерировали ли они на локальном компьютере. В netfilter этот набор применяется только к пакетам, которые сгенерировали на этом компьютере, и не применяется к пакетам, проходячим транзитом. Это изменение резко упростило настройку.
Еще одной новостью стало вынесение компонентов работы с маскировкой IP в отдельные модули ядра. Они были переписаны как модули netfilter.
Рассмотрим случай конфигурации, в которой по умолчанию для input, forward и output задана стратегия deny. В IP chains для пропуска всех пакетов было бы нужно шесть правил.
В netfilter эта сложность исчезает полностью. Для сервисов, которые должны проходить через firewall, но не завершаются на локальном компьютере, нужные только два правила: в одиночку для прямого и обратного прохода в наборе правил forward.
Обоснование выбора программного обеспечения