# Лабораторная работа №1. Построение защищенной корпоративной инфраструктуры ###### tags: `Организация сетевой безопасности` --- :::spoiler 1. Построение рабочей инфраструктуры ### Топология инфраструктуры  --- ### Установка Linux_serverNFS  #### Настройка Назначен ip = 192.168.10.100/24 Изменен hostname = serverNFS Добавлен пользователь alku/0000 --- ### Установка Linux_serverSMB  #### Настройка Назначен ip = 192.168.20.100/24 Изменен hostname = serverSMB Добавлен пользователь alku/0000 --- ### Установка Kali_Nmap_Wireshark  #### Настройка Назначен ip = 192.168.100.100/24 Изменен hostname = kali Добавлен пользователь alku/0000 --- ### Установка Linux_clientNFS  #### Настройка Назначен ip = 192.168.0.10/24 Изменен hostname = clientNFS Добавлен пользователь alku/0000 --- ### Установка Win_clientNFS  #### Настройка Назначен ip = 192.168.0.1/24 --- ### Установка Win_clientSMB  #### Настройка Назначен ip = 192.168.200.1/24 --- ### Настройка Main_Router Изменен hostname = Main_Router Включены необходимые интерфейсы = e0/0, e0/1 Созданы необходимые sub-интерфейсы (инкапсуляция + ip addr) Назначены ip addr > полный конфиг [Main_Router](https://disk.yandex.ru/d/WTNcU5ooiSD6CA) --- ::: :::spoiler 2. Настройка VLAN, Port Security на Switch_1, Switch_2 ### Настройка Switch_1 Изменен hostname = Switch_1 Включено тегирование трафика дефолтного vlan Включены необходимые интерфейсы, остальные выключены Включены только определенные vlan в trunk-портах Изменен native vlan с 1 на 993 Выключенные интерфейсы переведены в access-режим Настроен port-security на access-портах на определенный mac-addr > полный конфиг [Switch_1](https://disk.yandex.ru/d/dDsX1QrhlHXWOQ) --- ### Настройка Switch_2 Изменен hostname = Switch_2 Включено тегирование трафика дефолтного vlan Включены необходимые интерфейсы, остальные выключены Включены только определенные vlan в trunk-портах Изменен native vlan с 1 на 993 Выключенные интерфейсы переведены в access-режим Настроен port-security на access-портах на определенный mac-addr > полный конфиг [Switch_2](https://disk.yandex.ru/d/acXJwYDgjE_DjQ) ::: :::spoiler 3. Установка и настройка Linux_serverNFS ### Настройка NFS-сервера  ### Настройка NFS-клиента  ::: :::spoiler 4. Установка и настройка Linux_serverSMB ### Подготовка директории, пользователей и групп ``` sudo mkdir -p /smb/share sudo addgroup admins sudo adduser admin3 sudo adduser user3 sudo adduser user1 sudo adduser mirea sudo usermod -aG admins admin3 sudo usermod -aG users user3 sudo usermod -aG users user1 sudo chmod -R 0777 /smb/share sudo smbpasswd -a admin3 sudo smbpasswd -a user3 sudo smbpasswd -a user1 sudo smbpasswd -a mirea ``` ### Изменение конфигурационных файлов /etc/samba/smb.cond ``` [global] workgroup = WORKGROUP security = user map to guest = bad user wins support = no dns proxy = no invalid users = anon hosts allow = 192.168.20.100 192.168.200.1 192.168.200.10 192.168.0.1 host deny = 192.168.10.100 interfaces = 192.168.20.100 include = /etc/samba/share.conf deadtime = 5 max connections = 2 recycle:versions = yes recycle:touch = yes recycle:keeptree = yes recycle:repository = /samba/share/.trash vfs object = recycle ``` /etc/samba/share.conf ``` [share] path = /smb/share valid users = @users, @admins, mirea invalid users = user10 guest ok = no write list = @admins, mirea read list = @users browseable = yes ``` ### Правила iptables ``` #!/bin/bash case "$1" in -smb) sudo iptables -A INPUT -t tcp --dport 80 -j DROP sudo iptables -A INPUT -t tcp --dport 22 -j DROP sudo iptables -A INPUT -t tcp --dport 21 -j DROP sudo iptables -A INPUT -t icmp --icmp-type echo-request -j DROP sudo iptables -A INPUT -t tcp -m tcp --dport 445 -s 192.168.100.0/24 -j ACCEPT sudo iptables -A INPUT -t tcp -m tcp --dport 139 -s 192.168.100.0/24 -j ACCEPT sudo iptables -A INPUT -t udp -m udp --dport 138 -s 192.168.100.0/24 -j ACCEPT sudo iptables -A INPUT -t udp -m udp --dport 137 -s 192.168.100.0/24 -j ACCEPT sudo iptables -P INPUT DROP ;; -sv) sudo bach -c "iptables-save > /etc/iptables/rules.v4" ;; -rs) sudo bach -c "iptables-restore /etc/iptables/rules.v4" ;; esac ``` :::