Ebook - Zentyal 5.0.pdf 11g3r

:8443

..

C  Cuando se accede a la interfaz por primera vez aparecerá una pantalla de presentación mostrando los diferentes pasos del asistente.

20

Figura 1.17: Presentación de los pasos del wizard

Una vez autenticado por primera vez en la interfaz web comienza un asistente de configuración, en primer lugar podremos seleccionar qué funcionalidades queremos incluir en nuestro sistema. Algunos componentes dependen de otros, Zentyal istrara esas dependencias instalando automáticamente los modulos dependientes. Siempre se podrá instalar, desinstalar y actualizar mas adelante cualquiera de los componentes desde la interfaz del servidor. En este ejemplo instalaremos Domain Controller and File Sharing, Mail and Groupware y Firewall.

Figura 1.18: Perfiles y paquetes instalables

Zentyal te informará de la instalación de las dependencias que serán necesarias para el módulo selecionado anteriormente.

21

CAPÍTULO 1 INTRODUCCIÓN A ZENTYAL

Figura 1.19: Paquetes adicionales

El sistema comenzará con el proceso de instalación de los módulos requeridos, mostrando una barra de progreso donde además podemos leer una breve introducción sobre las funcionalidades y servicios adicionales disponibles en Zentyal Server y los paquetes comerciales asociados.

Figura 1.20: Instalación e información adicional

Una vez terminado el proceso de instalación se solicitará información sobre la configuración de red, definiendo para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas, o bien, si está conectada a la red local. Esta elección tendrá un impacto directo en las politicas del cortafuegos, mascaras de red, interfaces en escucha por defecto para otros módulos, etc.

22

Figura 1.21: Configurar los tipos de interfaces de red

Posteriormente, podemos configurar el método y paramétros de configuración (DH, estática, IP asociada, etc.). De nuevo, si nos equivocamos en cualquiera de estos parámetros no es crítico dado que los podremos modificar desde el interfaz de Zentyal en cualquier otro momento. La siguiente pantalla que nos aparecerá será para configurar las interfaces del sistema:

Figura 1.22: Configurar las interfaces de red

23


A continuación tendremos que elegir el dominio asociado a nuestro servidor y el tipo de servidor, tendremos dos tipos de servidor: Servidor stand-alone: El primer controlador de dominio. Controlador de dominio adicional: Unirse a un dominio existente como controlador de dominio adicional. Para simplificar, en este ejemplo solo usaremos el modo stand-alone. Para obtener mas informacion acerca de los otros modos de directorio ir a directory-ref. Para configurar este modo, tan solo hay que especificar el nombre de dominio para tus entidades de directorio. No debe confundirse con el dominio de nombres (DNS), que aunque esta relacionado, usa un contexto diferente.

Figura 1.23: Configurar dominio local del servidor

En el siguiente paso seleccionaremos el dominio de correo virtual. Ambos IMAP y MAPI (protocolo nativo por defecto de Microsoft Outlook®) están habilitadas por defecto como puerta de enlace para este dominio, pero podría ser un dominio diferente. Por defecto, se usará el nombre de dominio para autocompletar el formulario, pero podría no ser tu caso.

Figura 1.24: Dominio de correo electrónico

Finalmente se procederá a la configuración de cada uno de los módulos instalados.

24

Figura 1.25: Configuración inicial finalizada

El instalador nos avisará cuando se haya terminado el proceso.

Figura 1.26: Guardando cambios

Ya podemos acceder al Dashboard: ¡nuestro servidor Zentyal ya está listo!

25


Figura 1.27: Dashboard

..

R   Zentyal funciona sobre hardware estándar arquitectura x86_64 (64-bit). Sin embargo, es conveniente asegurarse de que Ubuntu Xenial 16.04 LTS (kernel 4.4) es compatible con el equipo que se vaya a utilizar. Se debería poder obtener esta información directamente del fabricante. De no ser así, se puede consultar en la lista de compatibilidad de hardware de Ubuntu Linux , en la lista de servidores certificados para Ubuntu 16.04 LTS o buscando en Google. Los requerimientos de hardware para un servidor Zentyal dependen de los módulos que se instalen, de cuántos s utilizan los servicios y de sus hábitos de uso. Algunos módulos tienen bajos requerimientos, como Cortafuegos, DH o DNS, pero otros como el Filtrado de correo o el Antivirus necesitan más memoria RAM y U. Los módulos de Proxy y Compartición de ficheros mejoran su rendimiento con discos rápidos debido a su intensivo uso de E/S. Una configuración RAID añade un nivel de seguridad frente a fallos de disco duro y aumenta la velocidad en operaciones de lectura. Si usas Zentyal como puerta de enlace o cortafuegos necesitarás al menos dos tarjetas de red, pero si lo usas como un servidor independiente, una única tarjeta de red será suficiente. Si tienes dos o más conexiones de Internet puedes tener una tarjeta de red para cada router o conectarlos a una tarjeta de red teniéndolos en la misma subred. Otra opción es configurar segmentos VLAN. Por otro lado, siempre es recomendable tener un SAI con tu servidor. Para un servidor de uso general con los patrones de uso normales, los requerimientos siguientes serían los mínimos recomendados:  http://www.ubuntu.com/certification/catalog

26

Figura 1.28: Tabla de requisitos hardware

Si se combina más de un perfil se deberían aumentar los requerimientos. Si se está desplegando Zentyal en un entorno con más de 100 s, debería hacerse un análisis más detallado, incluyendo patrones de uso, tras un benchmarking y considerando estrategias de alta disponibilidad.

. ..

P   Z L      Z Una vez instalado Zentyal, podemos acceder al interfaz web de istración tanto a través del propio entorno gráfico que incluye el instalador como desde cualquier lugar de la red interna, mediante la dirección: https:// :8443, donde direccion_ip es la dirección IP o el nombre de la máquina donde está instalado Zentyal. Dado que el es mediante HTTPS, la primera vez el navegador nos pedirá si queremos confiar en este sitio, aceptaremos el certificado autogenerado. ADVERTENCIA: Algunas versiones antiguas de Internet Explorer pueden tener problemas accediendo a la interfaz de Zentyal. Se recomienda usar siempre la última versión estable de nuestro navegador para mayor compatibilidad con los estándares y seguridad.

TRUCO: Para mayor comodidad en entornos virtualizados, suele ser recomendable configurar una interfaz sólo-anfitrión en nuestra solución de virtualización, de forma que podamos usar el navegador nativo de nuestro S.O. a pantalla completa para gestionar Zentyal.

La primera pantalla solicita el nombre de y la contraseña, podrán autenticarse como es tanto el creado durante la instalación como cualquier otro perteneciente al grupo sudo.

27


Figura 1.29:

Una vez autenticados, aparecerá la interfaz de istración que se encuentra dividida en tres partes fundamentales: MENÚ LATERAL IZQUIERDO: Contiene los enlaces a todos los servicios que se pue-

den configurar mediante Zentyal.

28

Figura 1.30: Menú lateral

MENÚ SUPERIOR: Contiene las acciones: guardar los cambios realizados en el con-

tenido y hacerlos efectivos, así como el cierre de sesión. Ver Aplicar los cambios de configuración mas abajo.

Figura 1.31: Menú superior

CONTENIDO PRINCIPAL: El contenido, que ocupa la parte central, comprende uno o

varios formularios o tablas con información acerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la sección a la que hemos accedido.

29


Figura 1.32: Contenido de un formulario

E Dashboard El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. Podemos reorganizarlos pulsando en los títulos y arrastrando con el ratón. Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets. Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina �uperior derecha de cada uno de ellos.

Figura 1.33: Configuración del Dashboard

Hay un widget importante dentro del Dashboard que muestra el estado de los módulos de Zentyal asociados a daemons.

30

Figura 1.34: Widget de estado de los módulos

La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre él. Los estados disponibles son los siguientes: EJECUTÁNDOSE: El servicio se está ejecutando aceptando conexiones de los clien-

tes. Se puede reiniciar el servicio usando Reiniciar. EJECUTÁNDOSE SIN SER GESTIONADO: Si no se ha activado todavía el módulo, se

ejecutará con la configuración por defecto de la distribución. DETENIDO: El servicio está parado bien por acción del o porque ha

ocurrido algún problema. Se puede iniciar el servicio mediante Arrancar. DESHABILITADO: El módulo ha sido deshabilitado explícitamente por el is-

trador. C      Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el módulo correspondiente desde Estado del módulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalación se habilitan automáticamente.

31


Figura 1.35: Configuración del estado de los módulos

Cada módulo puede depender de otros módulos para su funcionamiento. Por ejemplo, el módulo DH necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de las interfaces de red configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede habilitar tampoco el módulo. TRUCO: Es importante recordar que hasta que no habilitemos un módulo, este no estará funcionando realmente. Así mismo, podemos hacer diferentes cambios en la configuración de un módulo que no se aplicarán hasta que no guardemos cambios. Este comportamiento es intencional y nos sirve para poder revisar detenidamente la configuración antes de hacerla efectiva.

La primera vez que se habilita un módulo, se pide confirmación de las acciones que va a realizar en el sistema así como los ficheros de configuración que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros, habrá que guardar cambios para que la configuración sea efectiva.

Figura 1.36: Confirmación para habilitar un módulo

32

ADVERTENCIA: Si se modifican manualmente todos los archivos controlados por un módulo, por ejemplo /etc/dh/dh.conf para el módulo DH, se sobreescribira la proxima vez que hagas clic en Guardar Cambios. Si quieres modificar como se genera este archivo, comprueba el develop-ref.

A      Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendrá que Guardar Cambios en el menú superior. Este botón aparecerá en la esquina superior derecha para indicarnos que hay cambios sin guardar. Una excepción a este funcionamiento es la gestión de s y grupos, dónde los cambios se efectúan directamente.

Figura 1.37: Guardar Cambios

ADVERTENCIA: Si se cambia la configuración de las interfaces de red, el cortafuegos o el puerto del interfaz de istración, se podría perder la conexión teniendo que cambiar la URL en el navegador o reconfigurar a través del entorno gráfico en local.

C  Hay varios parámetros de la configuración general de Zentyal que se pueden modificar en Sistema → General.

33


Figura 1.38: Configuración general

CONTRASEÑA: Podemos cambiar la contraseña de un istrativo. IDIOMA: Podemos seleccionar el idioma de la interfaz mediante Selección de idio-

ma. PUERTO DEL INTERFAZ DE ISTRACIÓN: Por defecto es el 8443/HTTPS, pero si

queremos este puerto para el servidor web, habrá que cambiar la istración de Zentyal a otro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/. NOMBRE DE LA MÁQUINA Y DOMINIO: Es posible cambiar el hostname o nombre de

la máquina, así como el dominio asociado, estos parámetros corresponden con los que configuramos en la instalación. El hostname será usado como un registro A del dominio DNS local. ADVERTENCIA: Debemos ser cuidadosos si decidimos cambiar el nombre de máquina o dominio tras la instalación, ya que la configuración de autenticación (Kerberos) tendrá que ser reconfigurada, se recomienda reiniciar la máquina despúes de esta cambio para que todos los servicios de Zentyal arranquen con el dominio correcto.

..

C     Z A través de Red → Interfaces se puede acceder a la configuración de cada una de las tarjetas de red detectadas por el sistema y se pueden establecer como dirección de red estática (configurada manualmente), dinámica (configurada mediante DH), VLAN (802.1Q) trunk, PPPoE o bridged. Además cada interfaz puede definirse como Externa si está conectada a una red externa (esto se refiere generalmente a Internet) para aplicar políticas más estrictas en el cortafuegos. En caso contrario se asumirá interna, conectada a la red local. ADVERTENCIA: Zentyal solo permitirá el a Internet a los clientes de la red local si el módulo del cortafuegos esta instalado y activado.

34

I C  DH Cuando se configure como cliente de DH, no sólamente se configurará la dirección IP sino también los servidores DNS y la puerta de enlace. Esto es habitual en máquinas dentro de la red local o en las interfaces externas conectadas a los routers ADSL.

Figura 1.39: Configuración DH de la interfaz de red

I  Si configuramos la interfaz como estática especificaremos la dirección IP, la máscara de red y además podremos asociar una o más Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales. Estas direcciones adicionales son útiles para ofrecer un servicio en más de una dirección IP o subred, para facilitar la migración desde un escenario anterior o para tener diferentes dominios en un servidor web usando certificados SSL.

Figura 1.40: Configuración estática de la interfaz de red

35


PPPE Si se dispone de un router ADSL PPPoE  (un método de conexión utilizado por algunos proveedores de Internet), podemos configurar también este tipo de conexiones. Para ello, sólo hay que seleccionar PPPoE e introducir el Nombre de y Contraseña proporcionado por el proveedor.

Figura 1.41: Configuración PPPoE de la interfaz de red

VLAN  En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos Trunk (802.11q). Una vez seleccionado este método podremos crear tantas interfaces asociadas al tag definido como queramos y las podremos tratar como si de interfaces reales se tratase. La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sin la inversión en hardware físico que sería necesaria para cada segmento.  http://es.wikipedia.org/wiki/PPPoE

36

Figura 1.42: Configuración VLAN de interfaces de red

M  El modo puente o bridged consiste en asociar dos interfaces de red físicas de nuestro servidor conectadas a dos redes diferentes. Por ejemplo, una tarjeta conectada al router y otra tarjeta conectada a la red local. Mediante esta asociación podemos conseguir que el tráfico de la red conectada a una de las tarjetas se redirija a la otra de modo transparente. Esto tiene la principal ventaja de que las máquinas clientes de la red local no necesitan modificar absolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar el tráfico que efectivamente pasa a través de nuestro servidor con el cortafuegos, filtrado de contenidos o detección de intrusos. Esta asociación se crea cambiando el método de las interfaces a En puente de red. Podemos ver como al seleccionar esta opción nos aparece un nuevo selector, Puente de red para que seleccionemos a qué grupo de interfaces queremos asociar esta interfaz.

37


Figura 1.43: Creación de un bridge

Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración así como una interfaz real, por lo cual aunque el tráfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podría ser el propio interfaz de istración de Zentyal o un servidor de ficheros.

Figura 1.44: Configuración de interfaces bridged

B Es posible que queramos unir dos o más interfaces físicas para crear una interfaz virtual con la suma de ancho de banda de las interfaces individuales. La configuración inicial será similar a la del Bridge, creamos la interfaz virtual bond , configurando la primera interfaz como Bundled y tras ello, podemos añadir el resto de interfaces que deseemos al dispositivo virtual.

38

Figura 1.45: Dispositivo virtual para Bonding

El bonding se debe realizar sobre interfaces de red internas. Existen varios modos de Bonding disponibles: Estático: Envío en paralelo de los paquetes, en orden secuencial por cada una de las interfaces físicas. LA: Protocolo avanzado de control y negociación de enlaces físicos, necesita que ambos extremos soporten este estándar. Balanceo (alb): Balanceo de tráfico basado en la negociación de capacidad de red mediante ARP. Balanceo (tlb): Balanceo de tráfico basado en la carga actual y la capacidad proporcional de cada uno de los enlaces. Backup: Activar los enlaces adicionales únicamente ante el fallo del enlace principal. Broadcast: Transmite todos los paquetes de red a través de todos los enlaces físicos, protege frente a errores de transmisión al tener copias redundantes, pero no aumentaremos el ancho de banda en este caso. P    P   En el caso de configurar manualmente la interfaz de red será necesario definir la puerta de enlace de a Internet en Red → Puertas de enlace. Normalmente esto se hace automáticamente si usamos DH pero no en el resto de opciones. Para cada uno podremos indicar Nombre, Dirección IP, Interfaz a la que está conectada, su Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos. Además, si es necesario el uso de un proxy HTTP para el a Internet, podremos configurarlo también en esta sección. Este proxy será utilizado por Zentyal para conexiones como las de actualización e instalación de paquetes o la actualización del antivirus.

39


Figura 1.46: Configuración de las puertas de enlace

DNS Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno o varios servidores de nombres en Red → DNS. En caso de que tengamos un servidor DNS configurado en la propia máquina, el primer servidor estará fijado al local 127.0.0.1.

Figura 1.47: Configuración de los servidores DNS

D   Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red → Herramientas. ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (Internet Control Message Protocol) para comprobar la conectividad hasta una máquina remota mediante una sencilla conversación entre ambas.

40

Figura 1.48: Herramientas de diagnóstico de redes, ping

También disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta llegar a la máquina remota determinada.

41


Figura 1.49: Herramienta traceroute

La herramienta de resolución de nombres de dominio se utiliza para comprobar el correcto funcionamiento del servicio DNS.

42

Figura 1.50: Resolución de nombres de dominio

Por último, usando Wake On Lan podemos activar una máquina por su dirección MAC, si la característica se encuentra activada en la misma.

..

E  E  A Una vez hemos completado la instalación, si queremos que nuestro servidor Zentyal tenga utilidad y provea de servicios a las máquinas clientes ¡debemos conectarlo a la red!. La forma más sencilla de hacerlo es conectándolo a un router que normalmente tendrá un servidor DH que nos asigna dirección, servidores DNS y puerta de enlace automáticamente. Para ello: 1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar

para la interfaz de red eth0 el Método DH. Pulsar el botón Cambiar. EFECTO: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos introducidos. 2. ACCIÓN Entrar en Estado del módulo y activar el módulo Red, para ello marcar su

casilla en la columna Estado si no está activado. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros. 3. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y

otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios y algunos módulos que dependen de red ahora pueden ser activados.

43


4. ACCIÓN Guardar los cambios. EFECTO: Ahora Zentyal gestiona la configuración de la red. 5. ACCIÓN Acceder a Red → Herramientas. Hacer ping a zentyal.org. EFECTO: Se muestran como resultado tres intentos satisfactorios de conexión con el servidor en Internet. 6. ACCIÓN Acceder a Red → Herramientas. Ejecutar traceroute hacia zentyal.org. EFECTO: Se muestra como resultado la serie de máquinas que los paquetes recorren hasta llegar a la máquina destino.

. ..

A   L     Z Como todo sistema de software, Zentyal Server requiere actualizaciones periódicas, bien sea para añadir nuevas características o para reparar defectos. Zentyal distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT . Sin embargo, para facilitar la tarea ofrece una interfaz web que simplifica el proceso.  Mediante la interfaz web podremos ver para qué componentes de Zentyal está disponible una nueva versión e instalarlos de una forma sencilla. También podemos actualizar el software en el que se apoya Zentyal, principalmente para corregir posibles fallos de seguridad.

..

G    Z La gestión de componentes de Zentyal permite instalar, actualizar y eliminar módulos de Zentyal. Para gestionar los componentes de Zentyal debemos entrar en Gestión de Software→ Componentes de Zentyal.

Figura 1.51: Gestión de componentes de Zentyal  Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto Debian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo Linux http://wiki.debian.org/Apt  Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el capítulo al respecto de la documentación oficial https://help.ubuntu.com/16.04/serverguide/packagemanagement.html 44

Al entrar en esta sección veremos la vista avanzada del gestor de paquetes, que quizás ya conozcamos del proceso de instalación. Esta vista se compone de tres pestañas, cada una de ellas destinadas, respectivamente, a las acciones de Instalar, Actualizar y Borrar componentes de Zentyal. Desde esta vista disponemos de un enlace para cambiar al modo básico, desde el cual podemos instalar los perfiles, paquetes asociados por funcionalidad, tal y como vimos durante la instalación. Volviendo a la vista avanzada, veamos detalladamente cada una de las acciones que podemos realizar. I   Esta es la pestaña visible al entrar en gestión de componentes. En ella tenemos tres columnas, una para el nombre del componente, otra para la versión actualmente disponible en los repositorios y otra para seleccionar el componente. En la parte inferior de la tabla podemos ver los botones de Instalar y Actualizar lista. Para instalar los componentes que deseemos tan solo tendremos que seleccionarlos y pulsar el botón Instalar. Tras hacer esto nos aparecerá una ventana emergente en la que podremos ver la lista completa de las dependencias que se van a instalar.

Figura 1.52: Confirmar la instalación

El botón de Actualizar lista sincroniza la lista de paquetes con los repositorios. TRUCO: Es recomendable actualizar la lista de componentes si la máquina ha estado apagada varios días para que el sistema descubra las últimas versiones de los paquetes.

45


A   La siguiente pestaña, Actualizar, nos indica el número de actualizaciones disponibles. Aparte de esta característica, si visualizamos esta sección, veremos que se distribuye de una forma muy similar a la vista de instalación, con tan solo algunas pequeñas diferencias. Una columna adicional nos indica la versión actualmente instalada y en la parte inferior de la tabla vemos un botón que tendremos que pulsar una vez seleccionados los paquetes a actualizar. Al igual que con la instalación de componentes, nos aparece una pantalla de confirmación desde la que veremos los paquetes que van a instalarse. D   La última pestaña, Borrar, nos mostrará una tabla con los paquetes instalados y sus versiones. De modo similar a las vistas anteriores, en ésta podremos seleccionar los paquetes a desinstalar y una vez hecho esto, pulsar el botón Borrar situado en la parte inferior de la tabla para finalizar la acción. Antes de realizar la acción, y como en los casos anteriores, Zentyal solicitará confirmación para eliminar los paquetes solicitados y los que de ellos dependen.

..

A   Las actualizaciones del sistema actualizan programas usados por Zentyal. Para llevar a cabo su función, el servidor Zentyal necesita diferentes programas del sistema. Dichos programas son referenciados como dependencias asegurando que al instalar Zentyal, o cualquiera de los módulos que los necesiten, son instalados también asegurando el correcto funcionamiento del servidor. De manera análoga, estos programas pueden tener dependencias también. Normalmente una actualización de una dependencia no es suficientemente importante como para crear un nuevo paquete de Zentyal con nuevas dependencias, pero sí que puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad. Para ver las actualizaciones del sistema debemos ir a Gestión de Software → Actualizaciones del sistema. Ahí dispondremos de una lista de los paquetes que podemos actualizar si el sistema no está actualizado. Si se instalan paquetes en la máquina por otros medios que no sea la interfaz web, los datos de ésta pueden quedar desactualizados, por lo que cada noche se ejecuta el proceso de búsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha búsqueda se puede hacer pulsando el botón Actualizar lista situado en la parte inferior de la pantalla.

Figura 1.53: Actualizaciones del sistema

46

Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo de más información. Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la acción y pulsar el botón correspondiente. Como atajo también tenemos un botón de Actualizar todos los paquetes. Durante la actualización se irán mostrando mensajes sobre el progreso de la operación.

..

A  Las actualizaciones automáticas permiten al servidor Zentyal instalar automáticamente cualquier actualización disponible. Podremos activar esta característica accediendo a la pagina Gestión de Software → Configuración.

Figura 1.54: Gestión de las actualizaciones automáticas

Desde allí es posible también elegir la hora de cada día a la que se realizarán estas actualizaciones. No es aconsejable usar esta opción si el quiere tener un mayor seguridad y control en la gestión de sus actualizaciones.

..

E  E A Acceder a Gestión del software → Componentes Zentyal e instalar NTP Service. Comprobar que podemos activarlo en Estado del módulo. E B Desinstalar el componente NTP Service. Comprobar que se ha desinstalado correctamente, observando que no podemos introducirnos en la página del componente. Volver a la lista de componentes de Zentyal e instalar de nuevo el componente. Comprobar que ha sido instalado correctamente. E C Ir a la página de actualizaciones del sistema. Si hay actualizaciones disponibles, instalarlas. 47


. ..

R C    Z Zentyal proporciona una infraestructura para que sus módulos registren todo tipo de eventos que puedan ser útiles para el . Estos registros se pueden consultar a través de la interfaz de Zentyal y están almacenados en una base de datos para hacer la consulta, los informes y las actualizaciones de manera más sencilla y eficiente. El gestor de base de datos que se usa es MySQL . En Zentyal disponemos de registros para los siguientes servicios: OpenVPN (Servicio de redes privadas virtuales (VPN) con OpenVPN) SMTP Filter (mailfilter-sec-ref) Cortafuegos (firewall-ref) DH (dh-ref) Correo (mail-service-ref) Proxy HTTP (Servicio de Proxy HTTP) Ficheros compartidos (directory-ref) En primer lugar, para que funcionen los registros, al igual que con el resto de módulos de Zentyal, debemos asegurarnos de que éste se encuentre habilitado. Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtener informes de los registros existentes, podemos acceder a la sección Registros → Consultar registros del menú de Zentyal. Podemos obtener un Informe completo de todos los dominios de registro.

Figura 1.55: Pantalla de consulta de registros

En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo, para el dominio OpenVPN podemos consultar las conexiones a un  http://es.wikipedia.org/wiki/MySQL 48

servidor VPN de un cliente con un certificado concreto, por tanto, podemos realizar una consulta personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio.

Figura 1.56: Pantalla de informe completo

..

C    Z Una vez que hemos visto cómo podemos consultar los registros, es importante también saber que podemos configurarlos en la sección Registros → Configurar los registros del menú de Zentyal.

Figura 1.57: Pantalla de configuración de registros

Los valores configurables para cada dominio instalado son:

49


HABILITADO: Si esta opción no está activada no se escribirán los registros de ese

dominio. PURGAR REGISTROS ANTERIORES A: Establece el tiempo máximo que se guardarán

los registros. Todos aquellos valores cuya antigüedad supere el periodo especificado, serán desechados. Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determinado periodo mediante el botón Purgar de la sección Forzar la purga de registros, que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 días.

..

R     Adicionalmente a los registros proporcionados por los distintos servicios de Zentyal, se ofrecen otros dos registros que no están vinculados a ningún servicio sino al de istración de Zentyal en sí. Esta característica es especialmente útil para servidores istrados por distintas personas, ya que quedan almacenados los cambios en la configuración y acciones ejecutadas por cada , junto a la hora a la que fueron realizados. Por defecto esta funcionalidad se encuentra deshabilitada, pero para habilitarla basta con acudir a Registros → Configurar los registros y habilitar el dominio Cambios en la configuración y Sesiones de , como se detalla en el apartado anterior.

Figura 1.58: Configurar auditoría de registros

Una vez hecho esto, en Registros → Consultar registros podremos consultar las dos tablas siguientes: Cambios en la configuración: Indica el módulo, sección, tipo de evento, y valores actual y anterior en caso de que proceda de todos los cambios de configuración producidos desde que se habilitó el registro. Sesiones del : Proporciona información sobre los inicios de sesión correctos o incorrectos, los cierres de sesión y las sesiones expiradas de los distintos s. Añadiendo también la dirección IP desde donde se produjo la conexión.

Figura 1.59: Consultar registros de la auditoría

Dado que en Zentyal hay acciones que toman efecto de forma instantánea, como es el caso de reiniciar un servicio, y otras como los cambios de configuración no se aplican hasta que no se han guardado dichos cambios, a la hora de registrarlas se tiene en cuenta y se tratan de distinta forma. Las acciones inmediatas quedarán registradas para siempre (hasta que se purguen los registros) y las que estén pendientes del 50

guardado de cambios, se mostrarán en la propia pantalla de guardar cambios, ofreciéndole al un resumen de todo lo que ha modificado desde el último guardado, y en caso de que los cambios se descarten, dichas acciones que no han llegado a ser aplicadas se borrarán del registro.

Figura 1.60: Registros al guardar cambios

..

E  E  A Habilitar el módulo de registros. Usar el mail-conf-exercise-ref como referencia para generar tráfico de correo electrónico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los resultados en Mantenimiento → Registros → Consulta Registros → Informe completo. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo regis-

tros, para ello marcar su casilla en la columna Estado. Nos informa de que se creará una base de datos para guardar los registros. Permitir la operación pulsando el botón Aceptar. EFECTO: Se ha activado el botón Guardar Cambios. 2. ACCIÓN Acceder al menú Mantenimiento → Registros → Configurar registros y com-

probar que los registros para el dominio Correo se encuentran habilitados. EFECTO: Hemos habilitado el módulo registros y nos hemos asegurado de tener activados los registros para el correo. 3. ACCIÓN Guardar los cambios. 51


EFECTO: A partir de ahora quedarán registrados todos los correos que enviemos. 4. ACCIÓN Volver a enviar unos cuantos correos problemáticos (con spam o virus)

como se hizo en el tema correspondiente. EFECTO: Como ahora el módulo registros está habilitado, los correos han quedado registrados, a diferencia de lo que ocurrió cuando los enviamos por primera vez. 5. ACCIÓN Acceder a Mantenimiento → Registros → Consulta Registros y seleccionar

Informe completo para el dominio Correo. EFECTO: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando distintas informaciones de cada uno.

..

E  E A A partir de los datos generados en el ejercicio anterior, obtener un informe de aquellos registros de correo que contengan ficheros prohibidos durante la última hora. Generar más tráfico de correo electrónico de tal manera que el informe crezca conforme pasa el tiempo. E B Purgar los datos obtenidos y comprobar que se han purgado correctamente.

. ..

C   D        La pérdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos. Fallos de hardware, fallos de software o errores humanos pueden provocar un daño irreparable en el sistema o la pérdida de ficheros importantes. Es por tanto imprescindible diseñar un correcto procedimiento para realizar, comprobar y restaurar copias de seguridad o respaldo del sistema, tanto de configuración como de datos. Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lógica adicional para la restauración de la copia de seguridad. La decisión más habitual es realizar copias incrementales y periódicamente hacer una nueva copia completa a otro medio físico. Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma máquina o sobre una remota. El uso de una máquina remota ofrece un nivel de seguridad mayor debido a la separación física. Un fallo de hardware, un fallo de software, un error humano o una intrusión en el servidor principal no deberían afectar a la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de copias debería estar exclusivamente dedicado a tal fin y no ofrecer otros servicios adicionales más allá de los requeridos para realizar las copias. Tener dos servidores no dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso en uno lleva a un compromiso del otro.

52

..

Backup     Z Zentyal ofrece un servicio de backups de configuración, vital para asegurar la recuperación de un servidor ante un desastre, debido por ejemplo, a un fallo del disco duro del sistema o a un error humano en un cambio de configuración. Los backups se pueden hacer en local, guardándolos en el disco duro de la propia máquina Zentyal. Tras ello se recomienda copiarlos en algún soporte físico externo, ya que si la máquina sufriera un fallo grave podríamos perder también el backup de la configuración. Para acceder a las opciones de la copia de seguridad de configuración iremos a Sistema → Importar/Exportar configuración. No se permite realizar copias de seguridad si existen cambios en la configuración sin guardar.

Figura 1.61: Realizar una copia de seguridad de la configuración

Una vez introducido un nombre para la copia de seguridad, aparecerá una pantalla donde se mostrará el progreso de los distintos módulos hasta que finalice con el mensaje de Backup exitoso. Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. Así mismo aparecen como datos informativos la fecha de realización de la misma y el tamaño que ocupa. En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior de un servidor Zentyal en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá confirmación, hay que tener cuidado porque la configuración actual será reemplazada por completo. El proceso de restauración es similar al de copia, después de mostrar el progreso se nos notificará el éxito de la operación si no se ha producido ningún error.

53


.

P   PREGUNTA 1 Fernando Montes quiere establecer una contraseña segura para la cuen-

ta de istración de Zentyal ¿Cuál de las siguientes opciones parece una contraseña segura? A ) X %L3 B ) BarcoAmarillo&75 C ) FernandoMontes D ) esternocleidomastoideo PREGUNTA 2 Deseamos instalar varios discos duros en Zentyal, de tal forma que se

repliquen entre sí. Para ello deberíamos... A ) usar la opción de ‘Borrar todo el disco’ en la instalación B ) usar la instalación en modo experto y configurar un RAID C ) arrancar desde el primer disco duro PREGUNTA 3 Tenemos dos interfaces en nuestra máquina virtual

El adaptador 1 se utiliza para salir a Internet. El adaptador 2 se utiliza para comunicarse con nuestros clientes virtuales en una red interna de VirtualBox ¿Cómo configuraríamos nuestras interfaces en VirtualBox para que nuestra máquina fuese visible para las demás máquinas en nuestra red real y podamos también alcanzar nuestros clientes virtuales? A ) adaptador 1 como NAT, Adaptador 2 como Red Interna B ) adaptador 1 como Red Interna, Adaptador 2 como NAT C ) adaptador 1 como Puente de Red, Adaptador 2 como Red Interna D ) adaptador 1 como Puente de Red, Adaptador 2 como NAT

54

Capítulo

2

ZENTYAL INFRASTRUCTURE

.

I En este capítulo se explican los servicios usados por Zentyal para gestionar la infraestructura de una red local y optimizar el tráfico interno. Estudiaremos las abstracciones de alto nivel que utilizaremos en el resto de módulos, la gestión de nombres de dominio, la sincronización de la hora, la auto-configuración de red, la gestión de la autoridad de certificación, así como los diferentes tipos de redes privadas virtuales. La definición de abstracciones nos facilitará la gestión de objetos y servicios de red. Estos objetos y servicios son entidades sobre las que podrán operar multitud de módulos de Zentyal, ofreciéndonos un contexto coherente y más resistente a errores. El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios utilizando nombres en lugar de direcciones IP, que son más fáciles de memorizar. El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sistema en las máquinas. Para la auto-configuración de red, se usa el servicio de DH que permite asignar diversos parámetros de red a las máquinas conectadas, como pueden ser la dirección IP, los servidores DNS o la puerta de enlace para acceder a Internet. La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones ha aumentado el interés por el despliegue de autoridades de certificación que permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayoría de los servicios así como la expedición de certificados para la autenticación de los s. Mediante VPN (Virtual Private Network), seremos capaces de interconectar a través de Internet distintas subredes privadas con total seguridad. Un típico ejemplo de esta funcionalidad es la comunicación entre dos o más oficinas de una misma empresa u organización. También utilizaremos VPN para permitir a los s conectarse de forma remota y con total seguridad a nuestra red corporativa.

.

A       Z En Zentyal existen dos métodos para abstraer los parámetros de configuración de servicios relacionados con la red. Estas abstracciones son los Objetos de red y los Servicios de red. Mediante objetos y servicios podemos realizar definiciones de conjuntos

55

CAPÍTULO 2 ZENTYAL INFRASTRUCTURE

de máquinas y puertos que podemos usar en diferentes módulos para aplicar políticas homogéneas, desde la configuración del cortafuegos hasta la del proxy HTTP.

..

O   Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red, pudiendo dotar de un nombre fácilmente reconocible al elemento o al conjunto y aplicar la misma configuración a todos ellos. Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP de una subred, simplemente bastaría con definirla para el objeto de red que contiene las direcciones.

Figura 2.1: Representación de los objetos de red

Un objeto está compuesto por cualquier cantidad de , cada uno de los cuales está a su vez compuesto por un rango de red o un host específico. TRUCO: Es muy habitual crear un objeto por cada subred interna en lugar de tener que recordar cuál es el rango asignado a cada una de ellas. Estos objetos tienen un nombre mediante el cual podemos reconocer la subred, por ejemplo subred de istración, Contabilidad, Profesores, Alumnos o DMZ. Además podemos agrupar en otro grupo todas estas, para definir una política que se aplique a toda la red interna. De la misma manera podemos crear un objeto asociado a un sitio externo, por ejemplo, un conjunto de servidores corporativos en la nube o todos los servidores de un sitio web. Así podemos dar prioridad al tráfico hacia los servidores corporativos o bloquear el a ese sitio web externo.

56

TRUCO: Para crear un objeto que contenga todas las direcciones IP de un sitio web externo, deberemos utilizar la herramienta de resolución de nombres de dominio. Obtendremos las direcciones IP para cada uno de los subdominios que conozcamos del sitio, por ejemplo, para Facebook: facebook.com, www.facebook.com y .facebook.com. Estas direcciones IP aparecen en la sección ANSWER SECTION de la salida producida por la herramienta de resolución de nombres de dominio. Añadiremos cada una de estas como un miembro al objeto, en este caso, de nombre facebook. Pero si además queremos estar seguros que este objeto incluye todas las direcciones asignadas a esta organización, haremos un whois sobre cualquiera de estas direcciones IP, fijándonos en la sección NetRange y CIDR que indican el rango asignado. Así, para facebook.com estas direcciones son: 69.171.224.0 69.171.255.255 o 69.171.224.0/19. Podremos incluir este rango en el objeto en lugar de especificar cada una de las direcciones, obteniendo una configuración más precisa y resistente a cambios.

G   O    Z Para empezar a trabajar con los objetos en Zentyal, accederemos la secc�ón Red → Objetos, allí podremos ver una lista inicialmente vacía, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que serán usados más tarde por otros módulos.

Figura 2.2: Objetos de red

Cada uno de estos objetos se compondrá de una serie de que podremos modificar en cualquier momento. Los tendrán al menos los siguientes valores: Nombre, Dirección IP y Máscara de red. La Dirección MAC es opcional y lógicamente sólo se podrá utilizar para que representen una única máquina (/32), se aplicará en aquellos contextos que la dirección MAC sea accesible.

57


Figura 2.3: Añadir un nuevo miembro

TRUCO: Para la máscara de red se utiliza notación CIDR (Classless Inter-Domain Routing). Esta notación permite designar grupos de direcciones IP de forma sencilla. Así, 192.168.0.0/24 comprende todas las direcciones IP entre 192.168.0.0 y 192.168.0.255, ambas inclusive.

Los de un objeto pueden solaparse con de otros, lo cual es muy útil para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos en el resto de módulos para obtener la configuración deseada y no sufrir solapamientos indeseados. En las secciones de la configuración de Zentyal donde podamos usar objetos (como DH o Cortafuegos) dispondremos de un menú embebido que nos permitirá crear y configurar objetos sin necesidad de acceder expresamente a esta sección de menú.

..

S   Los Servicios de red son la manera de representar los protocolos (T, UDP, ICMP, etc.) y puertos usados por una aplicación o conjunto de aplicaciones relacionadas. La utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre significativo, podemos así mismo identificar un conjunto de puertos por el nombre de la aplicación que los usa. Pongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP, 80/T. Pero además también tenemos que contar con el HTTPS 443/T y el alternativo 8080/T. De nuevo, no tenemos que aplicar una regla que afecte a la navegación web a cada uno de los puertos, sino al servicio que la representa que contiene estos tres puertos. Otro ejemplo puede ser la compartición de ficheros en redes Windows, donde el servidor escucha en los puertos 137/T, 138/T, 139/T y 445/T.

58

Figura 2.4: Ejemplo de servicio que comprende varios puertos

G   S    Z Para trabajar con los servicios en Zentyal se debe ir al menú Red → Servicios donde se listan los servicios existentes creados por cada uno de los módulos que se hayan instalado y los que hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre, Descripción así como acceder a su Configuración. Cada servicio tendrá una serie de , cada uno de estos tendrá los valores: Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, por ejemplo, para especificar servicios en los que sea indiferente el puerto origen, o un Rango de puertos. TRUCO: En el caso general de comunicaciones cliente/servidor, el cliente solicita conectar con un puerto determinado del servidor desde un puerto temporal aleatorio. Por tanto, cuando definamos un servicio de red para comunicaciones basadas en este modelo, lo más habitual es que seleccionemos Cualquiera como puerto origen.

TRUCO: Existe una lista de los puertos usados por los servicios de red más populares aprobada por el IANA a (Internet Assigned Numbers Authority).

El protocolo puede ser T, UDP, ESP, GRE o ICMP. También existe un valor T/UDP para evitar tener que añadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS. ahttp://www.iana.org/assignments/port-numbers

59


Figura 2.5: Servicios de red

..

E  E  A Tenemos dos redes internas pero solo queremos dar al protocolo SSH en una de ellas. para simplificar la configuración crearemos dos objetos de red, Sala1 y Sala2, cada objeto de red contendrá el rango de ips de una red interna. Sala1 tendrá SSH pero Sala2 lo tendrá bloqueado. Creación de los objetos de red:

Figura 2.6: Creación de los objetos de red

Cada objeto deberá tener creado al menos un miembro para especificar las direcciones de red que incluye. Para crear los hay que darle al botón del objeto:

60

Figura 2.7: Creación de los

Por último, creamos la regla en el cortafuegos que permitirá el por SSH a los s de la sala1

61


Figura 2.8: SSH a la Sala1

Ya tenemos definidos dos objetos de red que organizan a los s de nuestras redes internas. Los objetos nos servirán para simplificar y facilitar la gestión de la configuración de la red. E  B La infrastructura de nuestra red está creada pero ahora queremos permitir el correo electrónico a todos los s de la Sala1. En este caso utilizaremos los servicios de red que son otra forma de abstracción para representar los protocolos y puertos usados por una aplicación o conjunto de aplicaciones relacionadas. Como el correo electrónico usa varios puertos, entonces crearemos un servicio que los incluya todos para simplificar la regla en el cortafuegos. Creación del servicio:

62

Figura 2.9: Creación del servicio

Una vez creado, lo configuramos a través del botón de configuración.

Figura 2.10: Configuracón del servicio

Por último creamos la regla con el servicio en el cortafuegos:

63


Figura 2.11: Creación de la regla con el servicio de Correo

Añadimos la regla y guardamos los cambios para que tenga validez:

Figura 2.12: Creación de la regla con el servicio de Correo

64

La regla permitirá que todos los s de Sala1 puedan usar sus cuentas de correo en la red interna con normalidad, mas adelante veremos como configurar las cuentas de correo en el apartado Servicio de correo electrónico.

..

E  E A El departamento de contabilidad quiere empezar a utilizar IRC para mejorar la coordinación del trabajo de los empleados. Para ello, crea un servicio llamado irc para poder gestionarlo cómodamente (pista: IRC usa como protocolo T, puerto de destino 6667 y en ocasiones 6697 para conexiones seguras).

. ..

S       DNS I  DNS La funcionalidad de DNS (Domain Name System)  es convertir nombres de máquinas o servicios (por ejemplo www.zentyal.com) legibles y fáciles de recordar, en direcciones IP (para el ejemplo anterior, 164.177.148.119) con las que las computadoras pueden trabajar. Podemos buscar una analogía con la libreta de direcciones de un teléfono móvil, donde el almacena nombres, evitando tener que memorizar el número de teléfono. Adicionalmente, a partir de la dirección IP de una máquina podemos obtener el nombre asociado a ese ordenador, lo que se llama habitualmente resolución inversa. La misma analogía con la libreta de direcciones se aplica en este caso también: cuando recibimos una llamada, podemos ver el nombre asignado al teléfono que nos está llamando. El sistema de nombres de dominio está formado por servidores que siguen una arquitectura jerárquica con el objetivo de evitar la duplicación de la información y facilitar la búsqueda de dominios. En este sistema jerárquico se distribuye la responsabilidad de quién resuelve los nombres de dominio en direcciones IP designando servidores autoritarios para cada dominio. Un servidor autoritario de un dominio es el responsable final y de mayor autoridad para responder a qué dirección IP apuntan los registros de un dominio y sus subdominios, además opcionalmente puede designar otros servidores autoritarios para cada uno de los subdominios del dominio. ADVERTENCIA: Zentyal sólo dará a Internet a los clientes en las redes internas si el módulo de ‘Cortafuegos’ está instalado y activado. Es muy importante tener esto en cuenta para todos los escenarios que vamos a estudiar a partir de ahora.

En Ubuntu podemos configurar los servidores DNS haciendo clic derecho sobre el icono de Conexiones de red presente en la barra de tareas y en ese menú contextual, seleccionando Editar las conexiones → Seleccionar interfaz que deseamos configurar → Editar → Ajustes de IPv4 → Servidores DNS:  http://es.wikipedia.org/wiki/Domain_Name_System

65


Figura 2.13: Configuración DNS en Linux

En Windows iremos a Inicio → Configuración → Conexiones de Red → Conexión de área local → Protocolo Internet (T/IP) → Propiedades:

66

Figura 2.14: Configuración DNS en Windows

Esta configuración, necesaria para que el cliente pueda resolver nombres, puede ser suministrada o bien por el ISP que nos provee el servicio, por el de sistemas de nuestra red, o automáticamente configurada por el servicio DH. Como se puede ver en la figura, el sistema de nombres de dominio se organiza como una estructura jerárquica global, cuyo nivel superior es el dominio raíz. Un servidor de raíz es un servidor de nombres que pertenece a la zona raíz de la jerarquía DNS, desplegada específicamente para dar servicio global a Internet, la autoridad que gestiona esta zona es la IANA (Internet Assigned Numbers Authority) . A día de hoy, esta zona está formada por 13 servidores.  http://www.iana.org/

67


Figura 2.15: Estructura del sistema de nombres de dominio

La resolución de nombres se efectúa separando en grupos de derecha a izquierda, por ejemplo para el caso anterior el orden sería: com, zentyal, www. El primer componente (com en este caso, aunque puede ser org, edu, net, etc.) es conocido como el TLD (Top Level Domain) . Los servidores de nombres raíz o root de una determinada región, contienen entradas para todos los TLD. Cada entrada contendrá la dirección de otro servidor de DNS más específico al que se reenviará la petición. Este proceso se lleva a cabo recursivamente, hasta que un servidor de nombres contenga la respuesta (dirección IP asignada al nombre completo) a la petición. El servidor DNS autoritativo para un dominio, es aquél que se ha configurado por la entidad original asociada al dominio. Por ejemplo la compañía que ha registrado el dominio foobar.net, puede asociar ese dominio con una o varias direcciones IP. Al ser la fuente original de información sobre traducciones de nombres, juegan un papel central en la seguridad y coherencia del protocolo DNS. El servidor DNS autoritativo sólo responde a peticiones sobre los dominios que tiene configurados, indicando su status de respuesta autoritativa.

Figura 2.16: Ejemplo de una respuesta autoritativa

Un servidor de DNS esclavo, actúa como copia de un servidor maestro, manteniéndose actualizado aunque las modificaciones se realicen contra el maestro. Para registrar un dominio en Internet, se exige poseer al menos dos servidores autoritativos.  http://es.wikipedia.org/wiki/Dominio_de_nivel_superior 68

Para agilizar la resolución, los servidores de nombres implementan un sistema de cachés, almacenando las consultas DNS realizadas con anterioridad. De esta forma, si pedimos dos veces consecutivas la dirección de un dominio determinado, la segunda vez ya tendremos la respuesta correcta almacenada en un servidor DNS próximo y la respuesta será mucho más rápida que recorrer la jerarquía de DNS de nuevo. Por supuesto, un servidor que actúa de caché no puede almacenar el registro indefinidamente, ya que daría información obsoleta en caso de que alguno de los registros cambie en el servidor autoritativo. Por ello, las respuestas del servidor autoritativo llevan asociado un TTL (Time To Live), registro que nos indica el periodo de tiempo hasta que nuestro registro cacheado se vuelve obsoleto y debe ser consultado de nuevo. El TTL varía de un servidor autoritativo a otro, desde segundos hasta semanas. Aparte de la resolución de dominios, DNS también guarda otra información como qué servidores de correo aceptan correo para un dominio, qué servidores y en qué puertos escuchan determinados servicios, etc. La información contenida en la base de datos de un servidor DNS, se clasifica mediante los tipos de registros. Algunos ejemplos: Tipo A: Direcciones IP versión 4. Tipo AAAA: Direcciones IP versión 6. Tipo CNAME: Canonical name record, usado para indicar que este nombre es un alias del nombre original, un registro tipo A o AAAA. Por ejemplo, se usa para tener diferentes servicios alojados en el mismo servidor. Tipo MX: Lista de servidores de correo electrónico asociados al dominio. Tipo NS: Lista de servidores autoritativos del dominio. Tipo SOA: Información sobre el dominio: servidor NS primario, última actualización, frecuencia de actualización, direcciones de correo electrónico de los es, etc. Tipo SRV: Indica el servidor responsable y puerto dónde escucha para un determinado servicio. Por ejemplo, se usa para indicar el servidor LDAP asociado a un dominio. Tipo TXT: Permite al insertar una cadena de texto cualquiera. Por ejemplo, los registros TXT SPF se usan para definir qué servidores envían correo de cuentas de un dominio. Este servicio escucha en el puerto 53 de los protocolos de transporte UDP y T. Usualmente, se usa UDP para todos los mensajes del protocolo, aunque T está también permitido. Como excepción tenemos la transferencia de zona (copia de toda la base de datos desde un servidor maestro), que se debe realizar obligatoriamente usando T, dado el volumen de datos. Un caso particular, especialmente interesante y soportado por Zentyal, son los DNS dinámicos. Algunos ISPs cobran un extra adicional por poseer una IP estática, por lo que es posible que un en particular posea IP dinámica (La IP de WAN puede cambiar aleatoriamente dentro de un rango cada vez que se reconecta con la centralita del ISP). Esto plantea un problema para el funcionamiento básico de DNS. Para solucionar este problema, los servidores de DNS dinámicos son capaces de cambiar en tiempo real los nombres de host y direcciones IP entre otros registros. Para ello, el host cliente, dispone de un programa que detecta cambios en la IP de WAN y notifica al servidor de DNS dinámicas, con lo que conseguimos que estos cambios de IP efectiva sean transparentes.

69


TRUCO: Un concepto habitual en la configuración de muchos servicios de red es el FQDN (Fully Qualified Domain Name). Esto es, un nombre de dominio que contiene la localización exacta dentro del árbol de dominios, por lo tanto sólo puede ser interpretado de una forma independientemente del contexto. Por ejemplo, ‘servidor’ sería un nombre relativo, mientras que ‘servidor.ejemplo.com’ podría ser un FQDN.

Nuestra configuración de DNS es vital para el funcionamiento de la autenticación en redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores de tickets de autenticación. Como hemos comentado anteriormente, este dominio viene preconfigurado para resolver los servicios Kerberos a partir de la instalación. Para más información sobre los servicios de directorio de s consultar directory-ref. TRUCO: Es importante no confundir el cliente de DNS de Zentyal, que se encuentra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS está habilitado, nuestro cliente DNS lo usará siempre. En caso de que Zentyal no disponga de servidor DNS podremos consultar servidores externos. El servidor DNS, a su vez, puede ser configurado para reenviar las consultas para las que no tenga respuesta a otros servidores DNS externos.

BIND  es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS de Zentyal.

..

C    DNS cach  Z El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para las redes marcadas como internas en Zentyal, así que si solamente queremos que nuestro servidor realice caché de las consultas DNS, bastará con habilitar el módulo. En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN. Tras reiniciar el módulo DNS se aplicarán los cambios. Cuando el servidor DNS de Zentyal esta instalado y habilitado, la primera opción de resolución de cliente DNS de Zentyal (Red → DNS) apuntará al servidor local 127.0.0.1, en otras palabras, siempre consultará las zonas de DNS locales primero si están presentes. En caso de que no hayamos configurado Redireccionadores DNS en Infrastructure → DNS, el servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz por el servidor autoritario al tiene que preguntar la resolución de cada petición DNS y las almacenará localmente durante el período de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexión de red, aumentando la sensación de velocidad de los s y reduciendo el consumo real de tráfico hacia Internet.  http://www.isc.org/software/bind

70

Figura 2.17: Diagrama de una consulta DNS

TRUCO: Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a través de un fichero de configuración. Podremos añadir estas redes en el fichero /etc/zentyal/dns.conf mediante la opción intnets=: # Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes. # Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets =

El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de que sea imposible resolver con la cadena de texto que el ha pedido. El dominio de búsqueda se configura en los clientes, pero se puede servir automáticamente por DH, de tal manera que cuando nuestros clientes reciban la configuración inicial de red, podrán adquirir también este dato. Por ejemplo, nuestro dominio de búsqueda podría ser foocorp.com, el intentaría acceder a la máquina example; al no estar presente en sus máquinas conocidas, la resolución de este nombre fallaría, por lo que su sistema operativo probaría automáticamente con example.foocorp.com. En Red → Herramientas disponemos de la herramienta de Resolución de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red → DNS.

71


Figura 2.18: Resolución de un nombre de dominio usando el DNS caché local

..

P DNS  El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuración de los clientes. Cuando esta opción está activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargará de responder. Los clientes deberán usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta opción es necesario tener activado el módulo de cortafuegos.

Figura 2.19: Proxy DNS transparente

72

TRUCO: El proxy DNS es útil para entornos dónde los equipos están configurados sin DH y cambiar el DNS en todos ellos uno a uno no es una opción; también se puede usar para forzar la resolución de dominios a una IP distinta de la habitual sin importar el servidor DNS que estén utilizando los s, por ejemplo para bloquear facebook.com haciendo que resuelva a 127.0.0.1.

..

R DNS Los redireccionadores o forwarders son servidores DNS a los que nuestro servidor reenviará las consultas. Nuestro servidor buscará en primer lugar en su cache local, compuesta de los dominios registrados en la máquina y anteriores consultas cachedas; en caso de no tener respuesta registrada, acudirá a los redireccionadores. Por ejemplo, la primera vez que consultemos www.google.com, suponiendo que no tenemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de Zentyal consultará a los redireccionadores y almacenará la respuesta en el cache.

Figura 2.20: Redirector DNS

En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal usará los servidores raíz DNS  para resolver consultas no almacenadas. TRUCO: Es posible que los servidores raíz DNS tengan mayor latencia que los DNS suministrados por nuestro ISP, se recomienda configurar los DNS del ISP como redireccionadores siempre que nos sea posible.

..

C    DNS   Z Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responderá a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. El servidor caché responderá a consultas sobre cualquier dominio si la consulta procede de una red interna. La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadir cuantos dominios y subdominios deseemos.  http://es.wikipedia.org/wiki/Servidor_Ra %C3 %ADz#Direcciones_de_los_servidores_ra.C3.ADz

73


Figura 2.21: Lista de dominios

Podemos observar el dominio “local”, que se configuró durante la instalación o en el wizard de DNS más adelante. Este dominio empareja tu dominio de directorio, en sus entradas DNS se puede encontrar información acerca de anfitriones y puertos requeridos para la autenticación. Zentyal no nos permite eliminar nuestro dominio “local” directamente, para modificar este dominio tendremos que hacerlo desde Sistema –> General, y reiniciar el servidor tras esta operación. Podemos tener cualquier número de dominios DNS simultáneamente, estos dominios pueden ser eliminados o modificados sin las consideraciones aplicadas al dominio “local”. Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo. Desde éste se configurará el Nombre del dominio.

Figura 2.22: Añadiendo un dominio

Dentro del dominio nos encontramos con diferentes registros que podemos configurar, en primer lugar las Direcciones IP del dominio. Un caso típico es agregar todas las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del dominio. Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos dentro de él mediante la tabla Nombres de máquinas. Zentyal configurará automáticamente la resolución inversa. Además para cada uno de los nombres podremos definir cuantos Alias queramos. De nuevo, podemos asociar más de una dirección IP a nuestro nombre de máquina, lo cual nos puede servir para que los clientes sepan balancear entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la misma información.

74

Figura 2.23: Añadiendo un host

Normalmente, los nombres apuntan a la máquina dónde está funcionando el servicio y los alias a los servicios alojados en ella. Por ejemplo, la máquina amy.example.com tiene los alias smtp.example.com y mail.example.com para los servicios de mail y la máquina rick.example.com tiene los alias www.example.com o store.example.com entre otros, para los servicios web. TRUCO: Un hostname puede apuntar a varias direcciones IP, pero no a la inversa, la misma IP no puede estar asignada a varios hostname. Esta restricción existe para evitar respuestas ambiguas en la resolución inversa (de IP a host), si desea asignar la misma IP a diferentes nombres, puede usar alias como se explica en el párrafo anterior.

TRUCO: A la hora de añadir máquinas o alias de estas al dominio, se da por supuesto el nombre de dominio, es decir añadiremos la máquina ‘www’, no la ‘www.example.com’.

Figura 2.24: Añadiendo un alias

Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, de75


terminamos a cuál de estos servidores le intentarán entregar los mensajes otros servidores. Si el de más preferencia falla lo reintentarán con el siguiente.

Figura 2.25: Añadiendo un intercambiador de correo

También podemos configurar los registros NS para cada dominio mediante la tabla Servidores de nombres.

Figura 2.26: Añadiendo un nuevo servidor de nombres

Los registros de texto son registros DNS que suplementán un dominio o un nombre de maquina con información adicional en forma de texto. Esta información puede ser para consumo humano o, más frecuentemente, para uso de software. Se usa extensivamente para diferentes aplicaciones antispam (SPF o DKIM).

76

Figura 2.27: Añadiendo un registro de texto

Para crear un registro de texto, acudiremos al campo Registros de texto del dominio. Podremos elegir si el campo esta asociado a un nombre de maquina especifico o al dominio y el contenido del mismo. Es posible asociar más de un campo de texto, tanto al dominio como a un nombre de maquina. También se pueden añadir Servicios al dominio que informan sobre los servicios disponibles en el dominio y en qué máquinas residen. Podremos acceder a la lista de Servicios a través del campo Servicios de la lista de dominios. En cada Servicio se indicará el Nombre del servicio y su Protocolo. Identificaremos la maquina que proveerá el servicio con los campos Destino y Puerto destino. Para aumentar la disponibilidad del servicio y/o repartir carga es posible definir más de un registro por servicio, en este caso los campos Prioridad y Peso ayudarán a elegir el servidor a emplear. A menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos máquinas tienen el mismo nivel de prioridad se usará el peso para determinar cual de las máquinas recibirá mayor carga de trabajo. El protocolo XMPP que se usa para la mensajería instántanea hace uso extensivo de estos registros DNS. Kerberos también los necesita para la autenticación distribuida de s en diferentes servicios.

77


Figura 2.28: Añadiendo un registro de servicio

..

E P E  A En este ejemplo comprobaremos el correcto funcionamiento del servidor DNS caché. Primero instalaremos el modulo, si aún no estaba instalado tras la configuración inicial, lo activaremos y guardaremos los cambios:

78

Figura 2.29: Activar el módulo DNS

Una vez activo, en DNS habilitaremos el caché de DNS transparente.

Figura 2.30: habilitar el caché de DNS transparente

Ahora podremos comprobar el funcionamiento de la caché a través de la herramienta Resolución de Nombres de Dominio disponible en Red → Herramientas. Hacemos una primera consulta:

79


Figura 2.31: Primera resolución del dominio

Consecutivamente haremos una segunda respuesta comprobando como se reduce el tiempo de respuesta Query time tras la primera consulta:

80

Figura 2.32: Segunda resolución del dominio

E  B Otra característica del módulo DNS son los alias de hostnames.

81


Figura 2.33: Nombre de máquina del dominio

A la máquina Zentyal le añadimos el Alias development desde el botón de Alias:

Figura 2.34: Alias de la máquina del dominio ejemplo.com

Ahora podremos comprobar el funcionamiento del Alias a través de la herramienta Resolución de Nombres de Dominio disponible en Red → Herramientas. primero resolvemos el nombre de la máquina:

82

Figura 2.35: Resolución de nuestro alias

y después comprobamos el Alias de la máquina:

83


Figura 2.36: Resolución de nuestro alias

En la sección respuesta podremos observar como el alias se resuelve automáticamente a la máquina zentyal.ejemplo.com.

..

E  E A Comprobar que la resolución inversa asociada a la dirección de red del ejercicio anterior está funcionando correctamente. E B Añadir un alias al nombre de la máquina anterior. Repetir el proceso de comprobación, pero esta vez sobre el alias. E C Añadir un registro MX y un registro NS al dominio creado en el primer ejercicio. Desde otra máquina comprobar usando la herramienta dig que estos registros se han sido añadido correctamente.

.

S     NTP

84

..

I  NTP El protocolo NTP  (Network Time Protocol) sirve para sincronizar con precisión los relojes de los sistemas utilizando una red local e incluso Internet ya que está diseñado para resistir los efectos de la latencia variable (jitter). Sincronizar con exactitud los relojes de los sistemas es importante para el correcto funcionamiento de la autenticación centralizada, firma de certificados, así como para mantener la correlación de los logs en nuestra red y en general cualquier sincronización de datos entre varios sistemas. La correcta sincronización de todos los servidores y equipos de nuestra organización es esencial para el correcto funcionamiento de un dominio Samba4/AD. Existen 16 diferentes niveles (conocidos como stratus en el protocolo) que definen la distancia del reloj de referencia y la precisión del servidor NTP. El stratus 0 son los relojes atómicos que no se conectan directamente a la red sino mediante una conexión serie RS-232 a otro equipo. Este sistema a su vez, se considera stratus 1. Los servidores stratus 2 se sincronizan con sistemas de este nivel y además se sincronizan entre ellos para asegurar la precisión de su reloj. Estos servidores normalmente ya son accesibles públicamente. Una curiosidad a destacar es que éste es uno de los protocolos más antiguos de Internet todavía en uso (desde aproximadamente 1985). Zentyal integra ntpd  como servidor NTP. Este servicio NTP utiliza el puerto 123 del protocolo UDP. Se recomiendo configurar el servidor de NTP en los clientes a través del parámetro en dh-ref.

..

C    NTP  Z Zentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como para ofrecer este servicio en la red, así que es importante activarlo en la mayoría de despliegues. Una vez habilitado el módulo, en Sistema → General podemos comprobar que el servicio esta funcionando y que se ha deshabilitado la opción de ajustar el tiempo manualmente. Es necesario configurar correctamente en qué zona horaria nos encontramos.

Figura 2.37: Módulo de NTP instalado y habilitado

Si accedemos a NTP, podemos habilitar o deshabilitar el servicio, así como escoger los servidores externos con los que deseamos sincronizar. Por defecto, la lista cuenta  http://es.wikipedia.org/wiki/Network_Time_Protocol  http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

85


con tres servidores funcionales preconfigurados, pertenecientes al proyecto NTP .

Figura 2.38: Configuración y servidores externos para NTP

Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el servicio NTP, generalmente, a través de DH. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita sólo para redes internas.

..

E  E  A Uno de los servicios estrella de la agencia de viajes Travelia Fun, S.L., es la gestión de cambios de billetes en caso de incidencia, para lo cual en muchos casos cada minuto disponible puede ser crítico para la elección entre una alternativa u otra. La empresa cuenta con ocho puestos de trabajo, cada uno con su hora local y con desfases que pueden llegar a ser de hasta 15 minutos de un puesto a otro, dado que los s generalmente usan su reloj de pulsera para configurar la hora y, por lo tanto, dando un servicio deficiente o, por lo menos, mejorable. La empresa también cuenta con un servidor Zentyal que gestiona los servicios de DH y DNS. Se propone resolver el problema de Travelia Fun configurando Zentyal también como servidor NTP. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo NTP,

para ello marca su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar. EFECTO: Se ha activado el botón Guardar Cambios. 2. ACCIÓN Acceder al menú NTP. En la sección Activar sincronización con servidores

NTP externos seleccionar Activado y pulsar Cambiar. EFECTO: Aparecen una lista donde se puede introducir los servidores NTP con los que se sincronizará, preconfigurada para usar los del proyecto NTP. Desaparece la opción de cambiar manualmente la fecha y hora en Sistema → General 3. ACCIÓN Guardar los cambios. EFECTO: Zentyal ya está configurado como servidor NTP. 4. ACCIÓN Configurar los puestos de trabajo para que sincronicen su hora con el ser-

vidor Zentyal, tal y como se ha explicado previamente.  http://www.pool.ntp.org/en/

86

EFECTO: A partir de ahora, la empresa Travelia Fun gestionará los cambios de billetes de sus clientes conociendo exactamente el tiempo disponible e independientemente de qué trabajador atienda la incidencia.

. ..

S     DH I  DH DH  (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir y obtener diversos parámetros de configuración, normalmente configuración de red, como puede ser su dirección IP, máscara de red, puerta de enlace, servidores DNS, etc. De esta manera, se facilita el a la red sin la necesidad de una configuración manual por parte del , y adicionalmente se evita que dos máquinas intenten usar la misma dirección dentro de una red provocando colisiones. Cuando un cliente DH se conecta a la red envía una petición a la dirección de difusión (broadcast). El servidor DH responde a esa petición con la dirección IP asignada, el tiempo de concesión de esa dirección y demás parámetros de configuración. Existen dos métodos de asignación de direcciones: ESTÁTICA: La asignación se hace a partir de una lista de correspondencia entre

direcciones MAC y direcciones IP. El de la red se encarga de la definición de esta lista. Este método es útil para asignar siempre la misma dirección IP a un dispositivo. DINÁMICA: El de la red define un rango de direcciones IP de dón-

de se ceden (lease) a los dispositivos que envían una petición por un período de tiempo establecido en el que la IP concedida es válida. El servidor guarda una lista con las asignaciones actuales para intentar volver a asignar la misma dirección IP a un cliente en sucesivas peticiones. Para explicar el proceso de configuración usando DH, podemos distinguir cuatro fases: DH DISCOVERY : El cliente manda un mensaje de broadcast (sin destinatario con-

creto, legible por todos los dispositivos conectados) a la subred física. Este mensaje inicial tiene el objetivo de descubrir el servidor de DH. Si no obtiene respuesta, dependiendo de la implementación, el cliente puede intentar mandar de nuevo el mensaje cada cierto intervalo de tiempo y abandonar su intento de conseguir la configuración tras varios intentos. DH OFFER: Cuando el servidor de DH detecta el anterior mensaje, reserva una

dirección IP del rango disponible y le comunica esta reserva al cliente. Este mensaje contiene la dirección MAC del cliente, la dirección IP asignada por el servidor, la máscara de subred, duración de la concesión y la dirección IP del servidor que está contestando. La asignación de la dirección, tiene asociado como ya hemos comentado, un tiempo hasta su expiración, cuando el cliente haya consumido una parte de ese tiempo, intentará renovar su reserva para conservar su dirección IP asociada. En caso de que el servidor original no responda, el cliente intentará conservar esa misma dirección IP, renovando con otro servidor DH de la red, si existiese. DH REQUEST: Un cliente puede recibir ofertas como las indicadas en el anterior

mensaje de varios servidores DH. El cliente emitirá un mensaje de broadcast con el identificador de la propuesta aceptada, permitiendo a los demás servidores de DH liberar la dirección propuesta para otras máquinas.  http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

87


DH ACKNOWLEDGEMENT: En esta fase el servidor de DH envía un mensaje in-

formativo al cliente conocido como DHACK, este paquete incluye información como la duración de la asignación, puerta de enlace, servidores de DNS, etc. Los entornos que permiten el arranque de clientes por red como PXE  (Preboot Execution Environment), se basan en una versión extendida del protocolo DH. El cliente envía un paquete DH discovery, con opciones extendidas para PXE. Si existe un servidor DH en la red, éste responderá con una versión extendida del DH offer, que contiene campos como la lista de direcciones IP de los servidores de arranque disponibles, el tipo de comunicación (multicast, broadcast o unicast) que se debe usar en esta red para ar con los servidores, así como otras opciones referentes al menú que se mostrará a los s. Con estos parámetros el cliente sera capaz de descargar el programa básico de arranque, usando el protocolo TFTP  (Trivial File Transfer Protocol). Para configurar el servicio de DH, Zentyal usa ISC DH Software , el estándar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.

..

C    DH  Z El servicio DH necesita una interfaz configurada estáticamente sobre la cuál se despliega el servicio. Esta interfaz deberá además ser interna. Desde el menú DH podemos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.

Figura 2.39: Interfaces sobre las que podemos servir DH

O  Una vez hagamos clic en la configuración de una de estas interfaces, se nos mostrará el siguiente formulario:  http://es.wikipedia.org/wiki/PXE  http://es.wikipedia.org/wiki/TFTP  https://www.isc.org/software/dh

88

Figura 2.40: Configuración del servicio DH

Los siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas: PUERTA DE ENLACE PREDETERMINADA: Es la puerta de enlace que va a emplear el

cliente para comunicarse con destinos que no están en su red local, como podría ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red → Routers o una Dirección IP personalizada. DOMINIO DE BÚSQUEDA: En una red cuyas máquinas estuvieran nombradas bajo

el mismo subdominio, se podría configurar este como el dominio de búsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin éxito (por ejemplo host), se intentará de nuevo añadiéndole el dominio de búsqueda al final (host.zentyal.lan). SERVIDOR DE NOMBRES PRIMARIO: Especifica el servidor DNS que usará el cliente

en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la dirección IP de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el módulo DNS  debe estar habilitado. SERVIDOR DE NOMBRES SECUNDARIO: Servidor DNS con el que ará el cliente

si el primario no está disponible. Su valor debe ser una dirección IP de un servidor DNS. SERVIDOR NTP: Servidor NTP que usará el cliente para sincronizar el reloj de su

sistema. Puede ser Ninguno, Zentyal NTP local o la dirección IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el módulo NTP  habilitado. SERVIDOR WINS: Servidor WINS (Windows Internet Name Service)  que el cliente

usará para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el módulo de Compartición de ficheros  tiene que estar habilitado.  Véase la sección dns-chapter-ref para más detalles.  Véase la sección ntp-chapter-ref para más detalles.  http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service  Véase la sección filesharing-chapter-ref para más detalles.

89


Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las asignaciones estáticas. Para que el servicio DH funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estáticas; en caso contrario el servidor DH no servirá direcciones IP aunque esté escuchando en todas las interfaces de red.

Figura 2.41: Configuración de los rangos de DH

Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una determinada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas. Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas en el apartado Asignaciones estáticas. Para ello tendremos que crear un objeto, cuyos sean únicamente parejas de direcciones IP de host (/32) y direcciones MAC. Podemos crear este objeto bien desde Red → Objetos, bien usando el menú rápido que se nos ofrece desde la interfaz de DH. Una dirección asignada de este modo no puede formar parte de ningún rango. Se puede añadir una Descripción opcional para la asignación. Podremos ver los clientes DH con asignaciones dinámicas (las estáticas no se mostrarán) gracias a un widget que aparecerá en nuestro Dashboard:

Figura 2.42: Cliente con asignación dinámica activa

90

TRUCO: Los rangos para las asignaciones dinámicas se suelen usar para los s de la red, mientras que las asignaciones estáticas son para dispositivos que ofrecen un servicio dentro de la red, tales como impresoras u otros servidores.

TRUCO: En una DMZ (Zona Desmilitarizada, el área de una red detrás de un cortafuegos de Internet y otro cortafuegos de segundo nivel, alojando aquellos servidores internos que deben dar un servicio al exterior, típicamente servidor web y de correo electrónico) donde únicamente hay servidores, éstos están configurados normalmente con IPs estáticas, con lo que no es necesario usar DH en estas áreas.

O  DNS  Las opciones de DNS dinámico permiten asignar nombres de dominio a los clientes DH mediante la integración de los módulos de DH y DNS. De esta forma se facilita el reconocimiento de las máquinas presentes en la red por medio de un nombre de dominio único en lugar de por una dirección IP que puede cambiar.

Figura 2.43: Configuración de actualizaciones DNS dinámicas

Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y para habilitar esta característica, el módulo DNS debe estar habilitado también. Se debe disponer de un Dominio dinámico y un Dominio estático, ambos se añadirán a la configuración de DNS automáticamente. El dominio dinámico aloja los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado es el que envía el cliente DH, normalmente el nombre de la máquina, si no envía ninguno usará el patrón dh- .<dominio-dinámico>. Si existe conflictos con alguna asignación estática se sobreescribirá la dirección estática establecida manualmente. Con respecto al dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático>. El nombre corresponderá con el nombre registrado en el objeto que se usa en la asignación.

91


O 

Figura 2.44: Opciones avanzadas de DH

La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo, se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía desde 1800 segundos hasta 7200. Esta limitación también se aplica a las asignaciones estáticas. TRUCO: En redes donde el número de clientes sea próximo al rango de IPs disponible se recomienda asignar un tiempo límite reducido. De esta forma, cuando un cliente se desconecta, su IP vuelve a estar disponible para otro cliente en un breve período de tiempo. Por el contrario, en redes donde el rango de IPs para DH sea muy superior al número de clientes en la red, se recomienda asignar un tiempo límite elevado. De esta forma se reduce el tráfico de peticiones DH en la red.

Zentyal soporta arranque de clientes ligeros o Thin Clients por DH. En la pestaña Opciones Avanzadas podemos configurar el cliente ligero que anunciaremos por DH. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionaremos la máquina remota y en Ruta del fichero la ruta para encontrar la imagen dentro del servidor.

..

E P E  A La empresa de importación Distribuciones Chinatown, S.A. ha decidido abrir una oficina en Valdemoro para gestionar las ventas y los pedidos de la zona centro de España. 92

Prevén que a corto y medio plazo la oficina no superará los 20 puestos de trabajo. Configurar Zentyal como servidor DH para esta nueva oficina. 1. ACCIÓN Entrar en Zentyal y acceder al de control. Entrar en Estado del módulo

y activar el módulo DH, para ello marcar su casilla en la columna Estado. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros. 2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y

otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios. 3. ACCIÓN Entrar en DH y seleccionar la interfaz sobre la cual se configurará el

servidor. La puerta de puede ser el propio servidor Zentyal, una dirección específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio de búsqueda (dominio que se añade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario). A continuación Zentyal nos informa del rango de direcciones disponibles, vamos a elegir un subconjunto de 20 direcciones, por ejemplo desde ‘192.168.1.10’ hasta ‘192.168.1.29’ y en Añadir nueva le damos un nombre significativo al rango que pasará a asignar Zentyal. 4. ACCIÓN Guardar los cambios. EFECTO: Ahora Zentyal gestiona la configuración del servidor DH. 5. ACCIÓN Comprobar desde el Dashboard que la dirección concedida aparece en el

widget IPs asignadas con DH .

..

E  E A Configurar el servicio de DH para que asigne siempre la misma dirección IP a una máquina. Comprobar desde esa máquina que funciona correctamente. E B Integrar los módulos de DH y DNS para servir nombres de los clientes DH. Dar ejemplos usando dominios estáticos y dinámicos usando rangos y asignaciones estáticos.

. ..

A   CA I    PKI Las tecnologías de encriptación permiten garantizar la autenticidad, privacidad e integridad en las comunicaciones de los datos transmitidos. Sin embargo, el principal problema de todos mecanismos de cifrado de clave compartida consiste en cómo distribuir esta clave entre los s sin que puedan ser interceptadas por terceros. Para solucionar este problema existe la infraestructura de clave pública  (Public Key Infraestructure - PKI). Esta tecnología nos permite compartir claves en un medio inseguro, sin que sea posible la suplantación, intercepción o modificación de los datos entre dos s.  Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DH.  http://es.wikipedia.org/wiki/Infraestructura_de_clave_pública

93


En la PKI cada genera un par de claves: una pública y una privada. La pública es distribuida entre los demás s y la privada guardada cuidadosamente. Cualquiera que quiera encriptar un mensaje debe hacerlo con su clave privada y la pública del destinatario. De esta manera el mensaje sólo puede ser descifrado con la clave privada de este y al haber sido encriptado con la clave privada del emisor, conociendo su pública, podemos garantizar su integridad.

Figura 2.45: Cifrado con clave pública

94

Figura 2.46: Firmado con clave pública

No obstante, esta solución tiene un nuevo problema: si cualquiera puede presentar una clave pública, ¿cómo garantizamos que un participante es realmente quien dice ser y no está suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certificados . Un certificado es un fichero que contiene una clave pública, firmada por un tercero. A este tercero en el que depositamos la confianza de verificar las identidades se le denomina Autoridad de Certificación (Certification Authority - CA) .  http://es.wikipedia.org/wiki/Certificado_de_clave_publica  http://es.wikipedia.org/wiki/Autoridad_de_certificacion

95


Figura 2.47: Expedición de un certificado

Zentyal integra OpenSSL®  para la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados expedidos por esta.

..

I      Para poder validar cualquier certificado emitido por una Autoridad de Certificación gestionada por Zentyal, hay que importar en el sistema el certificado de esta. En Windows 7 iremos a Inicio → de control, y en esta ventana seleccionaremos Conexiones de red e Internet:

Figura 2.48: de control

En esta seleccionaremos la opción Opciones de Internet:  http://www.openssl.org/

96

Figura 2.49: Conexiones de red e Internet

Aparecerá una nueva ventana Propiedades de Internet, seleccionaremos la pestaña Contenido: y pulsaremos en Certificados:

97


Figura 2.50: Propiedades de Internet

En esa ventana Certificados podemos ver diferentes pestañas donde se clasifican los diferentes tipos de certificados almacenados. Para importar el nuestro pulsaremos Importar...:

98

Figura 2.51: Certificados

Comenzará un asistente para la importación de nuevos certificados. Continuaremos con el Siguiente paso:

99


Figura 2.52: Asistente para importación de certificados 1

En Nombre de archivo seleccionaremos donde se encuentra el fichero con el certificado utilizando Examinar.... Una vez seleccionado el certificado a importar seguimos hacia el siguiente paso:

100


En la ventana Almacén de certificados marcamos la opción Seleccionar automáticamente el almacén de certificados en base al tipo de certificado y continuaremos una vez más hacia el siguiente paso:

101



Se mostrará un resumen de las acciones a ejecutar y ya solo quedará Finalizar:

102


Si todo fue bien, un diálogo informará consecuentemente:


Podemos ya verificar que el certificado de nuestra CA aparece en la lista de certificados:

103



Podemos añadir el certificado para todo el sistema o también en una aplicación específica como el navegador Mozilla Firefox® . Veamos como hacerlo en este caso sobre Ubuntu. Lo primero es ejecutar el navegador e ir a Editar → Preferencias. En esta ventana seleccionaremos la pestaña Avanzado, luego la pestaña Cifrado y pulsaremos en Ver certificados: 

104

Figura 2.58: Preferencias avanzadas

De manera muy similar al caso anterior, se muestran los distintos tipos de certificados clasificados en diferentes pestañas. Seleccionaremos la de Autoridades:

Figura 2.59: Certificados de Autoridades

Procederemos a Importar el certificado de la CA seleccionando el fichero donde se encuentra. Entonces nos mostrará la siguiente ventana, para elegir en qué situaciones queremos confiar en esta nueva Autoridad de Certificación:

105


Figura 2.60: Importar nuevo certificado

Al hacer clic en Ver nos mostrará los detalles del certificado:

Figura 2.61: Detalles del certificado

Una vez verificado que el certificado es correcto y seleccionados los usos para los que vamos a confiar en esta CA, sólo queda pulsar Aceptar y verificar que el certificado aparece en la lista:

106


..

C   A  C  Z En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir que no necesita ser habilitado en Estado del Módulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán disponibles hasta que no hayamos efectuado esta acción. Accederemos a Autoridad de Certificación → General y nos encontraremos con el formulario para inicializar la CA. Se requerirá el Nombre de Organización y el número de Días para expirar. Además, también es posible especificar opcionalmente Código del País (acrónimo de dos letras que sigue el estándar ISO-3166-1 ), Ciudad y Estado.

Figura 2.63: Crear Certificado de la Autoridad de Certificación

A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se revocarán todos los certificados expedidos por esta CA, provocando la  http://es.wikipedia.org/wiki/ISO_3166-1 107


parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio hq.zentyal.org para acceder al interfaz de istración web de Zentyal, será necesario un certificado con ese Nombre Común. En el caso de que el certificado sea un certificado de , usaremos normalmente su dirección de correo como Nombre Común. Opcionalmente se pueden definir Subject Alternative Names  para el certificado. Estos sirven para establecer nombres comunes a un certificado, como una dirección de correo para firmar los mensajes de correo electrónico. Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponible para el y el resto de módulos. A través de la lista de certificados podemos realizar distintas acciones con ellos: Descargar las claves pública, privada y el certificado. Renovar un certificado. Revocar un certificado. Reexpedir un certificado previamente revocado o caducado.

Figura 2.64: Listado de certificados

El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de expiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido a que es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de la CA.  Para más información sobre los Subject Alternative http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

108

Names

véase

Figura 2.65: Renovar un certificado

Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo: unspecified: motivo no especificado, keyCompromise: la clave privada ha sido comprometida, CACompromise: la clave privada de la autoridad de certificación ha sido comprometida, affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización, superseded: el certificado ha sido renovado y por tanto reemplaza al emitido, cessationOfOperation: cese de operaciones de la entidad certificada, certificateHold: certificado suspendido, removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocación ha cambiado.

Figura 2.66: Revocar un certificado

Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.

109


C  S En Autoridad de Certificación → Certificados de Servicios podemos encontrar la lista de módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo genera sus certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existe un certificado con el nombre especificado, la Autoridad de Certificación lo creará automáticamente.

Figura 2.67: Certificados de Servicios

Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado. Como hemos comentado anteriormente, para la versión segura de varios protocolos ( como por ejemplo mail ) es importante que el nombre que aparece en el Nombre común del certificado coincida con el nombre que ha solicitado el cliente. Por ejemplo, si nuestro certificado tiene como Nombre común hq.zentyal.org y el cliente teclea mail.hq.zentyal.org, su cliente le mostrará una alerta de seguridad y considerará que el certificado no es válido. Lista de puntos a comprobar para desplegar un certificado: La autoridad de certificación ha sido creada, el módulo del servicio se ha instalado. Se ha creado un nombre en el DNS para el servicio (Registro A o CNAME), de tal forma que el cliente lo pueda resolver, por ejemplo ‘hq.zentyal.org’. Se ha creado un certificado para el servicio específico, por ejemplo, servidor web con un Common Name que coincide con el DNS ‘hq.zentyal.org’, después de activar el certificado, podremos verlo en Autoridad de Certificación → General. Se han configurado los protocolos seguros para el módulo de correo. Se ha importado el certificado de la CA (no el certificado del servicio específico) en el sistema o en la aplicación del cliente, por ejemplo el cliente de correo. El configura su cliente de correo apuntando a hq.zentyal.org. El es capaz de resolver la DNS a una dirección IP, el Common Name coincide perfectamente con su petición, y el certificado presentado por el servicio esta firmado por una autoridad de confianza. La aplicación del es capaz de comenzar una sesión segura sin mostrar ningún aviso de seguridad

110

TRUCO: Para utilizar certificados firmados por una Autoridad Certificadora comercial, deberemos seguir el procedimiento habitual para generar una clave privada y luego un CSR (Certificate g Request) para que ellos nos envien el certificado firmado que usaremos en el servicio. Veamos un ejemplo de cómo se haría para un servidor de correo: 1.- Generamos la clave privada: openssl genrsa -out dominio.tld.key 2048 2.- Usando la clave privada generamos el CSR: openssl req -new -key dominio.tld.key -out dominio.tld.csr 3.- Enviamos el fichero CSR a la Autoridad Certificadora que nos devolverá el certificado que guardaremos en un fichero como dominio.tld.crt. 4.- Miramos para cada servicio en sus ficheros de configuración dónde se guarda el certificado, en el caso de Postfix en /etc/postfix/sasl/postfix.pem así que procedemos a sobreescribir ese fichero con el certificado y la clave privada y le damos permisos de lectura exclusivamente para root: cat dominio.tld.crt dominio.tld.key > /etc/postfix/sasl/postfix.pem chmod 400 /etc/postfix/sasl/postfix.pem 5.- Es buena idea guardar una copia de seguridad de la clave privada y el certificado, y revisar que todos los ficheros que contienen la clave privada sólo los puede leer root y/o el con el que se ejecuta el servicio.

..

E  E  A En la empresa ContaFoo S.L. están implantando protocolos de seguridad en las comunicaciones internas para cumplir con la legislación vigente. Las distintas intranets van a funcionar bajo HTTPS y el correo electrónico usará SSL/TLS, pero para ello necesitan importar el certificado de la Autoridad de Certificación que gestionan con Zentyal. Crearemos la CA y luego importaremos su certificado en los clientes que usan Windows. 1. ACCIÓN En Autoridad de Certificación → General. En el formulario Expedir el Certifi-

cado de la Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificación. EFECTO: El par de claves de la Autoridad de Certificación es generado y su certificado expedido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la Autoridad de Certificación será sustituido por uno para expedir certificados normales. 2. ACCIÓN Desde el listado de certificados, descargaremos el de la CA, un archivo

con nombre CA-key-and-cert.tar.gz que dentro contiene la clave pública ca-publickey.pem y el certificado ca-cert.pem. Siguiendo el procedimiento descrito más arriba, importaremos el fichero del certificado ca-cert.pem en las máquinas Windows. EFECTO: El nuevo certificado aparecerá en el listado de certificados, y todo certificado emitido por esta CA será aceptado por las estaciones de trabajo de los s con Windows.

.

S     VPN  OVPN

111


..

I      VPN Las redes privadas virtuales  tienen como finalidad permitir el a la red corporativa a s remotos a conectados través de Internet y además conectar de manera segura subredes distintas, también a través de Internet. Nuestros s pueden necesitar acceder a recursos de nuestra red mientras se encuentran fuera de las instalaciones de la empresa, unidos a redes no confiables. Es un caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solución pasa por permitir la conexión de estos s a nuestras instalaciones a través de Internet, aunque ello puede implicar riesgos para la confidencialidad, disponibilidad e integridad de las comunicaciones. Para evitar esos problemas la conexión no se realiza de forma directa sino a través de redes privadas virtuales. Usando una red privada virtual o VPN (Virtual Private Network, de sus siglas en inglés) podemos crear un túnel seguro que sólo aceptará conexiones que provengan de s autorizados. El tráfico viaja encapsulado y sólo será posible leerlo en el otro extremo del túnel. Además, para facilitar su uso y configuración, las conexiones aparecen como si estuviesen dentro de las redes internas, aprovechando así todos los recursos y configuraciones dispuestas por el de sistemas para la red local. La utilidad de las VPN no se limita al remoto de los s; una organización puede desear conectar entre sí redes que se encuentran en sitios distintos, como por ejemplo, oficinas en distintas ciudades. De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidor para s individuales y también como nodo central para la conexión de otros servidores. Zentyal integra OpenVPN  para configurar y gestionar las redes privadas virtuales. En esta sección concreta veremos como configurar OpenVPN, el cual posee las siguientes ventajas: Autenticación mediante infraestructura de clave pública. Cifrado basado en tecnología SSL. Clientes disponibles para Windows, Mac OS y Linux. Más sencillo de instalar, configurar y mantener que IPSec, otra alternativa para VPNs en software libre. Posibilidad de usar programas de red de forma transparente.

..

C   OVPN Para configurar un cliente VPN sobre Windows, primeramente nuestro de sistemas nos deberá facilitar el bundle para nuestro cliente.  http://es.wikipedia.org/wiki/Red_privada_virtual  http://openvpn.net/

112

Figura 2.68: El de sistemas nos facilitará el bundle para nuestro cliente

Debemos descomprimirlo (botón derecho sobre el archivo y seleccionando Extraer aquí). Encontraremos todos los ficheros relativos a la instalación de VPN y los certificados asociados.

Figura 2.69: Archivos extraídos del bundle

Con el botón derecho elegimos ‘Ejecutar como ’, ya que OpenVPN necesita crear la interfaz virtual e instalar los drivers

113


Figura 2.70: Aceptamos la licencia de OpenVPN

Se recomienda instalar todos los módulos.

Figura 2.71: Listado de módulos a instalar

El software del adaptador de red no está certificado para Windows. Aun así, es completamente seguro continuar.

114

Figura 2.72: Pese a la advertencia se debe de continuar

TRUCO: Tendremos que copiar todos los ficheros que vienen en el bundle, excepto el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Programa (x86)\OpenVpn\config para que el daemon los localice automáticamente.

Una vez instalado, tenemos un directo en nuestro escritorio que nos permite conectar a la red VPN haciendo doble clic.

Figura 2.73: directo para conectar con la VPN

..

C    OVPN  Z Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos como Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN, que tiene varias redes de área local (LAN) detrás, permitiendo a clientes externos (los road warriors) conectarse a dichas redes locales vía servicio VPN.

115


Figura 2.74: Zentyal y clientes remotos de VPN

Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos (comercial y gerente) y estos últimos entre si. Para ello necesitamos crear una Autoridad de Certificación y certificados individuales para los dos clientes remotos, que crearemos mediante Autoridad de certificación → General. También se necesita un certificado para el servidor VPN, sin embargo, Zentyal expedirá este certificado automáticamente cuando cree un nuevo servidor VPN. En este escenario, Zentyal actúa como una Autoridad de Certificación.

Figura 2.75: Certificado del servidor (subrayado azul) y del cliente (subrayado negro)

Una vez tengamos los certificados, deberíamos poner a punto el servidor VPN en Zentyal mediante Crear un nuevo servidor. El único parámetro que necesitamos introducir para crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servidor VPN sea sencilla, ya que establece valores de forma automática.

Figura 2.76: Nuevo servidor VPN creado

Los siguientes parámetros de configuración son añadidos automáticamente, y pueden ser modificados si es necesario: una pareja de puerto/protocolo, un certificado 116

(Zentyal creará uno automáticamente usando el nombre del servidor VPN) y una dirección de red. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no entra en conflicto con una red local. Además, se informará automáticamente de las redes locales, es decir, las redes conectadas directamente a los interfaces de red de la máquina, a través de la red privada. TRUCO: Zentyal permite la configuración de VPN sobre el protocolo UDP o T. El primero tiene la ventaja de ser más rápido y eficiente pues hay que transmitir menos información de control por lo tanto hay más espacio para datos. El segundo, T, es más resistente a conexiones inestables o a proveedores de Internet que cortan conexiones de larga duración.

Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Por tanto, debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa para Internet. Si queremos que los clientes de VPN puedan conectarse entre sí usando su dirección de VPN, debemos activar la opción Permitir conexiones entre clientes. El resto de opciones de configuración las podemos dejar con sus valores por defecto en los casos más habituales.

Figura 2.77: Configuración de servidor VPN

En caso de que necesitemos una configuración más avanzada: DIRECCIÓN VPN: Indica la subred virtual donde se situará el servidor VPN y sus

clientes. Debemos tener en cuenta que esta red no se solape con ninguna otra y que a efectos del cortafuegos, es una red interna. Por defecto 192.168.160.1/24, los clientes irán tomando las direcciones .2,*.3*, etc. CERTIFICADO DE SERVIDOR: Certificado que mostrará el servidor a sus clientes. La

CA de Zentyal expide un certificado por defecto para el servidor, con el nombre 117


vpn- . A menos que queramos importar un certificado externo, lo habitual es mantener esta configuración. AUTORIZAR AL CLIENTE POR SU NOMBRE COMÚN: Requiere que el common name

del certificado del cliente empiece por la cadena de caracteres seleccionada para autorizar la conexión. INTERFAZ TUN: Por defecto se usa una interfaz de tipo TAP, más semejante a un

bridge de capa 2, podemos usar una interfaz de tipo TUN más semejante a un nodo de IP capa 3. TRADUCCIÓN DE DIRECCIÓN DE RED (NAT): Es recomendable tener esta traducción

activada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de enlace por defecto de las redes internas a las que podremos acceder desde la VPN. De tal forma que los clientes de estas redes internas respondan al Zentyal de VPN en lugar de a su puerta de enlace. Si el servidor Zentyal es tanto servidor VPN como puerta de enlace (caso más habitual), es indiferente.

Figura 2.78: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto

REDIRIGIR PUERTA DE ENLACE: Si esta opción no está marcada, el cliente externo

accederá a través de la VPN a las redes anunciadas, pero usará su conexión local para salir a Internet y/o resto de redes alcanzables. Marcando esta opción podemos conseguir que todo el tráfico del cliente viaje a través de la VPN. La VPN puede indicar además servidores de nombres, dominio de búsqueda y servidores WINS para sobrescribir los propios del cliente, especialmente útil en caso de que hayamos redirigido la puerta de enlace. Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor VPN está funcionando.

118

Figura 2.79: Widget del servidor VPN

Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN y otras redes conocidas por nuestro servidor. Dichas redes serán accesibles por los clientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido, ver abs-ref, en el caso más habitual, todas nuestras redes internas. Podremos configurar las redes anunciadas para este servidor VPN mediante la interfaz Redes anunciadas.

Figura 2.80: Redes anunciadas para nuestro servidor VPN

Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar un cliente VPN es utilizando los bundles de Zentyal, paquetes de instalación que incluyen el archivo de configuración de VPN específico para cada y, opcionalmente, un programa de instalación. Estos están disponibles en la tabla que aparece en VPN → Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se pueden crear bundles para clientes Windows, Mac OS y Linux. Al crear un bundle se seleccionan aquellos certificados que se van a dar al cliente y se establece la dirección externa del servidor a la cual los clientes VPN se deben conectar. Como se puede ver en la imagen más abajo, tenemos un servidor VPN principal y hasta dos secundarios, dependiendo de la Estrategia de conexión intentaremos la conexión en orden o probaremos con uno aleatorio. 119


Además, si el sistema seleccionado es Windows, se puede incluir también un instalador de OpenVPN™. Los bundles de configuración los descargará el de Zentyal para distribuirlos a los clientes de la manera que crea más oportuna.

Figura 2.81: Descargar paquete de configuración de cliente

Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN. Ahora tenemos al servidor de datos desde los dos clientes remotos. Si se quiere usar el servicio local de DNS de Zentyal a través de la red privada será necesario configurar estos clientes para que usen Zentyal como servidor de nombres. De lo contrario no se podrá acceder a los servicios de las máquinas de la LAN por nombre, sino únicamente por dirección IP. Así mismo, para navegar por los ficheros compartidos desde la VPN  se debe permitir explícitamente el tráfico de difusión del servidor Samba. Los s conectados actualmente al servicio VPN se muestran en el Dashboard de Zentyal. Tendremos que añadir este widget desde Configurar widgets, situado en la parte superior del Dashboard.

Figura 2.82: Widget con clientes conectados  Para más información sobre compartición de ficheros ir a la sección directory-ref

120

..

C    VPN       Z En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a través de una red privada. Para hacerlo, usaremos Zentyal en ambas como puertas de enlace. Una actuará como cliente VPN y otra como servidor. La siguiente imagen ilustra esta situación:

Figura 2.83: Interconexión de sedes con Zentyal mediante túnel VPN

Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redes internas, de tal forma que podemos crear una infraestructura única para nuestra empresa de forma segura a través de Internet. Para ello, debemos configurar un servidor VPN de forma similar al anterior punto. Sin embargo, se necesita hacer dos pequeños cambios, habilitar la opción Permitir túneles Zentyal a Zentyal para intercambiar rutas entre servidores Zentyal e introducir una Contraseña de túneles de Zentyal a Zentyal para establecer la conexión en un entorno más seguro entre las dos oficinas. Hay que tener en cuenta que tendremos que anunciar las redes LAN en Redes anunciadas. Otro diferencia importante es el intercambio de rutas, en el escenario de roadwarrior descrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor a servidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientes usando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPN del nodo central también es posible añadir las Redes Anunciadas que serán propagadas a los demás nodos.

Figura 2.84: Zentyal como cliente de VPN

Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN → Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puede establecer la configuración del cliente manualmente o automáticamente usando el  http://www.ietf.org/rfc/rfc1058 121


bundle dado por el servidor VPN. Si no se usa el bundle, se tendrá que dar la dirección IP y el par protocolo-puerto donde estará aceptando peticiones el servidor. También será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos certificados deberán haber sido creados por la misma autoridad de certificación que use el servidor.

Figura 2.85: Configuración automática del cliente usando el paquete VPN

Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN ejecutándose como cliente con la conexión objetivo dirigida a nuestro otro servidor Zentyal que actúa como servidor.

Figura 2.86: Dashboard de un servidor Zentyal configurado como cliente VPN

La propagación de rutas puede tomar unos pocos minutos.

122

.

P   PREGUNTA 1 Si deseamos crear un objeto que comprenda nuestra red de desarro-

lladores 192.168.20.0/24 y nuestra red de personal de marketing 192.168.21.0/24 usando un solo miembro A ) podríamos hacerlo añadiendo un miembro con notación CIDR 192.168.0.0/16 B ) podríamos hacerlo añadiendo un miembro con rango 192.168.20.1 192.168.21.254 C ) no es posible PREGUNTA 2 Si tenemos una máquina que ofrece los servicios de web y mail en el

dominio ejemplo.com, lo más conveniente sería... A ) crear el dominio ejemplo.com, asignar la IP a un nombre arbitrario que designemos para esta máquina, crear alias para los servicio (www y mail) y añadir el nombre de esta máquina como un registro MX. B ) crear un dominio para cada uno de los servicios: mail.ejemplo.com, www.ejemplo.com... C ) crear el dominio ejemplo.com y asignar la misma IP a varias entradas en la tabla de nombres de máquinas D ) crear el dominio ejemplo.com y asignar todos los alias de la máquina a nuestros registros MX PREGUNTA 3 Hemos activado DH para la red interna 192.168.200.0/24, ¿Qué di-

recciones se asignarán a las máquinas clientes? A ) de la 192.168.200.1 a la 192.168.200.255 B ) de la 192.168.200.0 a la 192.168.200.254 C ) ninguna hasta que no definamos explícitamente un rango o un objeto con direcciones estáticas D ) depende de la dirección MAC del cliente PREGUNTA 4 ¿Cuáles son los mínimos parámetros de configuración que necesitamos

para tene conectividad a Internet en nuestros clientes? A ) IP y google B ) IP, MAC, Cortafuegos instalado y habilitado en Zentyal y Gateways C ) IP, Máscara de red, servidor(es) DNS, Gateway, Cortafuegos instalado y habilitado en Zentyal D ) IP, Máscara de red, servidor(es) DNS, Gateway, NTP y WINS PREGUNTA 5 Necesitamos una Autoridad de Certificación para:

A ) expedir y validar certificados B ) asegurar que el tráfico de nuestra red viaja cifrado C ) evitar malware, virus y adware D ) asegurar el funcionamiento de nuestro esquema de clave asimétrica PREGUNTA 6 Podemos conseguir que los nombres de nuestras máquinas clientes se

agreguen automáticamente a uno de nuestros dominios... A ) añadiéndolos como alias en nuestro DNS

123


B ) configurando un dominio en nuestro módulo de DNS y más tarde asignándolo como dominio dinámico en la configuración de DH C ) no se puede D ) configurando un dominio DNS dinámico y agregando cada uno de los nombres como registros de texto PREGUNTA 7 Si deseamos que nuestro servidor Zentyal se conecte a otro Zentyal

maestro por medio de una VPN A ) se modificarán las rutas de nuestros clientes conectados a Zentyal B ) debemos especificar que el tipo de cliente es Linux cuando generemos el paquete de conexión C ) lo configuraremos a través de VPN –> Clientes D ) no es posible PREGUNTA 8 En caso de que no deseemos que una de nuestras redes locales sea vi-

sible para un cliente que conecta por VPN deberíamos... A ) no configurarla en las direcciones adicionales del servidor B ) borrarla de las redes anunciadas para ese servidor VPN C ) borrarla de la tabla de rutas del cliente

124

Capítulo

3

ZENTYAL GATEWAY

.

I En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y definir políticas de conexiones y contenidos. Uno de los apartados fundamentales está centrado en el funcionamiento del módulo de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la red interna. Para simplificar la configuración del cortafuegos, dividiremos los tipos de tráfico dependiendo de su origen y destino y haremos uso de los objetos y servicios definidos. A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra dependiendo del tráfico. Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servicio permite acelerar el a Internet, almacenando una caché de navegación y establecer diferentes políticas de filtrado de contenidos.

. ..

C I     Un cortafuegos  es un sistema que permite definir una serie de políticas de control de entre distintos segmentos de una red. Para ello utiliza un conjunto de reglas que filtran el tráfico dependiendo de distintos parámetros como el protocolo, la dirección origen o dirección destino, los puertos de origen o de destino o la conexión a la que pertenecen los paquetes. El escenario más habitual es un servidor con dos o más interfaces de red conectadas a distintas redes, al menos una con a Internet (la red externa) y otra con a la LAN (la red interna). El cortafuegos establece unas políticas de entre las redes externas y las redes internas y viceversa, entre las propias redes internas y entre el cortafuegos y las redes tanto internas como externas. Además también se encarga de activar los mecanismos de redirección necesarios para permitir a las máquinas de la red acceder a Internet a través del servidor o a las máquinas de Internet a los servicios de la red interna.  http://es.wikipedia.org/wiki/Cortafuegos_(informatica)

125

CAPÍTULO 3 ZENTYAL GATEWAY

Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter , que proporciona funcionalidades de filtrado, marcado de tráfico y redirección de conexiones.

..

C     Z El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevo servicio. Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.

Figura 3.1: Interfaz externa

La política por defecto para las interfaces externas es denegar todo intento de nueva conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el . La configuración predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones. La definición de las políticas del cortafuegos se hace desde Cortafuegos → Filtrado de paquetes.  http://www.netfilter.org/

126

Figura 3.2: Esquema de los diferentes flujos de tráfico en el cortafuegos

Cada una de las secciones que podemos ver en el diagrama controla diferentes flujos de tráfico dependiendo del origen y destino: Reglas de filtrado de redes internas a Zentyal (por ejemplo: permitir acceder al servidor de ficheros de Zentyal a los clientes de la red interna). Reglas de filtrado para las redes internas (por ejempo: restringir el a Internet a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmentos de la LAN). Reglas de filtrado desde la redes externas a Zentyal (por ejemplo: permitir que cualquier cliente en Internet acceda a un servidor web desplegado en Zentyal) guilabel:Reglas de filtrado para el tráfico saliente de Zentyal (por ejemplo: conexiones desde el propio servidor hacia el exterior o interior). Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes servicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las implicaciones en la seguridad antes de modificar el tercer conjunto de reglas. Estudiando el esquema, podemos determinar en que sección se encontraría cualquier tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indican origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es la puerta de enlace para esa máquina. Zentyal provee una forma sencilla de definir las reglas que conforman la política de un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los network-services-ref para especificar a qué protocolos y puertos se aplican las reglas y los network-objects-ref para especificar sobre qué direcciones IP de origen o de destino se aplican.

127


Figura 3.3: Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas. Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera T o Cualquiera UDP para seleccionar cualquier protocolo T o UDP respectivamente. El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: Aceptar la conexión. Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión. Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta manera, a través de Mantenimiento → Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones que se están produciendo. Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta una conexión, no se sigue evaluando el resto. Las reglas de REGISTRAR generan el registro, pero siguen procesando. Una regla genérica al principio, puede hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación de de una regla con Coincidencia Inversa para la definición de políticas más avanzadas.

128

Figura 3.4: Creando una nueva regla en el firewall

Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente, si queremos restringir la salida a Internet, primero denegaremos explícitamente los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden daría a todos los sitios a todos los hosts. Por omisión, la decisión es siempre denegar las conexiones y tendremos que añadir reglas que las permitan explícitamente. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir una primera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también se permiten todas las conexiones desde las redes internas hacia las externas (en Tráfico entre redes internas y de redes internas a Internet). Además cada módulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no son modificadas automáticamente en el futuro. Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la política global del cortafuegos. TRUCO: En cortafuegos con mucho tráfico, es importante poner las reglas que van a aceptar mayor tráfico al principio, ya que de esta manera no se evalúan las siguientes y se reduce el cómputo que realiza el servidor.

129


..

R    Z Una redirección de puertos mediante NAT (Network Address Translation)  permite que todo el tráfico destinado a un puerto (o rango de puertos) que atraviesa el servidor Zentyal se redireccione a otra máquina que está escuchando en un puerto (o rango de puertos) determinado haciendo traducción de la dirección IP de destino (y eventualmente del puerto o rango de puertos de destino). Las redirecciones de puertos sirven para exponer un servicio interno a otra red, normalmente Internet. Por ejemplo si queremos que las páginas web de un servidor HTTP interno sean accesibles desde Internet, necesitaremos una redirección del puerto 80 de nuestra interfaz de red externa al puerto 80 de la dirección del servidor HTTP en la red interna. Aunque normalmente el puerto o rango de puertos es el mismo, es posible que sea distinto si así son nuestros requerimientos. Por ejemplo podríamos redireccionar el puerto 22 del servicio SSH de un servidor interno a un puerto distinto para evitar los ataques automatizados. Las redirecciones de puertos de destino se configuran en Cortafuegos → Redirecciones de puertos. Para configurar una redirección hay que establecer la Interfaz donde se recibe el tráfico sobre el que se va a hacer la traducción, el Destino original (que puede ser el servidor Zentyal, una dirección IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen (que también puede ser Cualquiera, una Dirección IP o un Objeto). Además estableceremos la dirección IP de Destino y finalmente, el Puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original o no. Existe también un campo opcional de Descripción para aclarar el propósito de la regla. Adicionalmente también podemos hacer un Registro de las conexiones que son redirigidas por esta regla y Reemplazar la dirección de origen. Si activamos esta última opción la máquina interna verá a Zentyal como la fuente original de la conexión, lo que puede ser útil si Zentyal no es el gateway predeterminado de la máquina interna.

Figura 3.5: Ejemplo de redirección de puertos

 http://es.wikipedia.org/wiki/Network_Address_Translation

130

..

R     SNAT  Z Zentyal realiza una traducción de direcciones de origen por defecto cuando el tráfico viaja desde una red interna hacia una red externa. Imaginemos el caso de un cliente interno que accede a una página web. Este cliente tiene asignada una dirección LAN 192.168.2.33/24, naturalmente, el servidor web que se encuentra en Internet no va a saber responder a esa dirección de contexto local, por lo que al pasar la nueva conexión por nuestro gateway Zentyal, queda registrada en la tabla NAT y Zentyal asigna como origen del paquete la IP pública perteneciente a la red externa. La respuesta vuelve a esa misma IP y gracias al registro de la tabla NAT, es reenviada al host local original. Este mecanismo de las puertas de enlace hacia Internet es un ejemplo común de SNAT, pero podemos necesitar casos más complejos en cuanto a la traducción de direcciones origen. Supongamos que tenemos varios servidores en las redes internas (de correo, de web, etc.) y queremos que cada uno de ellos sea accedido desde Internet usando una IP diferente.

Figura 3.6: Funcionamiento del SNAT

Cuando el cliente ase desde Internet, estableceríamos una regla de reenvío de puerto, como hemos visto en la sección anterior, pero para la respuesta del servidor necesitamos que la IP pública sea la misma usada por este cliente para que lo identifique como la misma conexión. Así pues, crearíamos varias reglas SNAT, una por servidor.

131


Figura 3.7: Ejemplo de regla SNAT en Zentyal TRUCO: Como podemos deducir del ejemplo, es habitual combinar una redirección de puertos (DNAT) con una regla de SNAT, de tal forma que una de las IP externas de Zentyal (con varias puertas de enlace o bien virtual interfaces) quede asociada a uno de los servidores internos en ambos sentidos. En caso de que aceptemos Servicio: cualquiera en ambos sentidos, se denomina NAT 1:1.

..

E  E  A En este ejemplo se permitirá acceder a la interfaz de istración de Zentyal desde Internet. 1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas

en el apartado de Reglas de filtrado desde las redes externas a Zentyal. Pulsar Añade nuevo y rellenar el formulario con los siguientes valores: DECISIÓN ACCEPT ORIGEN Cualquiera SERVICIO istración de Zentyal

Pulsar Añadir. EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos de añadir. El botón de Guardar cambios se habrá activado. 2. ACCIÓN Guardar cambios. EFECTO: La regla añadida se hace efectiva. Se puede probar a acceder desde una máquina externa a la interfaz web de Zentyal.

132

E  B Partiendo del ejemplo anterior, se instalará una regla que también permita acceder por SSH y registrar cada conexión. 1. ACCIÓN Acceder a Cortafuegos → Filtrado de paquetes y pulsar Configurar reglas

en el apartado de Reglas de filtrado desde las redes externas a Zentyal. Pulsar Añade nuevo y rellenar el formulario con los siguientes valores: DECISIÓN ACCEPT ORIGEN Cualquiera SERVICIO SSH

Pulsar Añadir. EFECTO: Se muestra la lista de reglas, en la que aparecerá la regla que acabamos de añadir. El botón de Guardar cambios se habrá activado. 2. ACCIÓN Pulsar de nuevo Añade nuevo y rellenar el formulario con los siguientes

valores: DECISIÓN LOG ORIGEN Cualquiera SERVICIO SSH

Pulsar Añadir. EFECTO: Se muestra de nuevo la lista de reglas. 3. ACCIÓN Comprobar que la regla de registro aparece en la lista en una posición

anterior a la regla de aceptación. Si no, pulsar la flecha hacia arriba en la fila de la regla de registro hasta que lo esté. EFECTO: La regla de registro se ejecutará antes que la regla de aceptación de conexión. 4. ACCIÓN Activar los registros para el cortafuegos. Para ello acceder a Mantenimien-

to → Registros → Configuración de Registros y habilitar Firewall. EFECTO: Los registros para el cortafuegos han sido habilitados. 5. ACCIÓN Guardar cambios. EFECTO: Los cambios realizados se hacen efectivos. 6. ACCIÓN Iniciar una sesión de SSH desde una máquina en una red externa. EFECTO: Se ha iniciado (y registrado) una conexión SSH con el servidor Zentyal desde una máquina remota. 7. ACCIÓN Acceder a Mantenimiento → Registros → Consulta registros y pulsar en el

Informe completo de Firewall. EFECTO: Se mostrará una tabla con las conexiones realizadas.

..

E  E A Añadir una regla para permitir que una máquina de la red interna pueda navegar. Comprobar que puede hacerlo.

133


E B Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la máquina Zentyal. Añadir un servicio y una regla de cortafuegos para que una máquina externa pueda acceder al servicio. E C Añadir una redirección para que una máquina externa pueda conectarse por ssh a una máquina interna que se encuentre accesible a través de Zentyal. E D Usando los comandos de iptables, encontrar la regla del filtrado y de NAT que Zentyal ha añadido en los ejercicio anteriores.

. ..

E I     El encaminamiento (también llamado enrutamiento o routing) es la función de enviar un paquete de datos de un punto de la red a otro. Por ejemplo, cuando se envía un correo electrónico, el servidor debe enviar los paquetes de datos que contienen el mensaje. Para ello, éstos deben viajar por diferentes redes hasta alcanzar el servidor de correo del destinatario. Para un de redes es importante comprender el encaminamiento y configurarlo correctamente en la puerta de enlace de su red. El simple hecho de configurar un cortafuegos en la entrada de nuestra red hace que realmente tengamos que trabajar con dos redes: la red local e Internet. Los paquetes que se transmitan de una a otra tienen que ser redirigidos de la manera adecuada para que lleguen a su destino. La información sobre cómo se redirigen los paquetes está almacenada en la llamada tabla de encaminamiento, que mediante una serie de reglas, especifica la manera en la que se efectúa el encaminamiento. Cada una de estas reglas cuenta con diversos campos, de los cuales los tres más importantes son: dirección de destino, interfaz y router. La interpretación de estos campos es sencilla: para que un paquete llegue a una dirección de destino dada, tenemos que enviarlo hacia un determinado router, el cual es accesible a través de la interfaz indicada. Cuando llega un mensaje, se compara su dirección destino con las entradas en la tabla. La regla más específica de entre las que incluyan a la dirección de destino del paquete será la que decida la interfaz a utilizar para su transmisión. Por ejemplo, se ha especificado una regla en la que para alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra en la que para alcanzar la red B (10.15.23.0/24), una subred de A, debe ir por el router B. Si llega un paquete con destino 10.15.23.23, aunque cumpla las condiciones de ambas reglas, el sistema operativo decidirá que se envíe al router B ya que la segunda regla es más específica. Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback (127.0.0.0/8), una interfaz de red virtual que representa al propio dispositivo y que se utiliza para servicios locales y tareas de diagnóstico, además de reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente iproute2 .  http://www.policyrouting.org/iproute2.doc.html

134

..

C    Z P   La puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna de éstas coincide con una transmisión a realizar, ésta se hará a través de la puerta de enlace. Para configurar una puerta de enlace en Zentyal se utiliza Red → Puertas de enlace, que tiene los siguientes parámetros configurables.

Figura 3.8: Añadiendo una puerta de enlace

HABILITADO: Indica si realmente esta puerta de enlace es efectiva o está desacti-

vada. NOMBRE: Nombre por el que identificaremos a la puerta de enlace. DIRECCIÓN IP: Dirección IP de la puerta de enlace. Esta dirección debe ser directa-

mente accesible desde la máquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios. PESO Cuanto mayor sea el peso, más tráfico se enviará por esa puerta de enlace

si activamos el balanceo de tráfico. Por ejemplo, si una de las puertas de enlace tiene un peso de 7 y la otra de 3, se usarán 7 unidades de ancho de banda de la primera por cada 3 de la segunda, o lo que es lo mismo, el 70 % del tráfico usará la primera y el 30 % la segunda. PREDETERMINADO Si esta opción está activada, esta será la puerta de enlace por

defecto. 135


Si se tienen interfaces configuradas como DH o PPPoE  no se pueden añadir puertas de enlace explícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.

Figura 3.9: Lista de puertas de enlace con DH

Además, Zentyal puede necesitar utilizar un proxy para acceder a Internet. Para configurar este proxy externo iremos a Red → Puertas de enlace, allí podremos indicar la dirección del Servidor proxy así como el Puerto del proxy. También podremos especificar un y Contraseña en caso de que el proxy requiera autenticación. T    Si queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace determinada, tendremos que añadir una ruta estática.  http://es.wikipedia.org/wiki/PPPoE

136

Para realizar la configuración manual de una ruta estática se utiliza Red → Rutas estáticas.

Figura 3.10: Configuración de rutas

Estas rutas podrían ser sobreescritas si se utiliza el protocolo DH. TRUCO: Las rutas estáticas no deberían ser usadas para el enrutamiento hacia determinadas redes o destinos cuando tenemos varias puertas de enlace y el balanceo de tráfico activado ya que si se desactivase la puerta de enlace en un evento de WAN fail-over, el a ese destino quedaría inhabilitado. En este caso se deben usar las reglas multigateway.

TRUCO: Podría cuestionarse por qué se iba a usar una prueba que no sea de las del tipo Petición HTTP si estas ya incluyen a todas las anteriores. Existe una respuesta para esta pregunta, y es que con la petición más completa podremos saber que falla la conexión a través de la puerta de enlace, pero no sabremos por qué. Utilizando también el resto de pruebas podremos saber si lo que está fallando es la conexión con la puerta de enlace o simplemente el DNS. Lo más inteligente es planificar bien las pruebas a realizar dependiendo de nuestro escenario y teniendo en cuenta estos detalles.

Con la configuración predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro /var/log/zentyal/zentyal.log.

..

C    Z Como se ha comentado anteriormente, una misma máquina puede tener varias puertas de enlace, lo que conduce a una situación especial en la que hay que tener en 137


cuenta nuevos parámetros en la configuración de un servidor Zentyal. Las reglas de encaminamiento para múltiples puertas de enlace, conocidas también como reglas multigateway permiten que una red pueda usar varias conexiones a Internet de una manera transparente. Esto es muy útil para organizaciones que requieran más ancho de banda que el que ofrece una única conexión o que no puedan permitirse interrupciones en su a Internet; una situación cada vez más común. El balanceo de tráfico reparte de manera ponderada las conexiones salientes hacia Internet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma más simple de configuración es establecer diferentes pesos para cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades, podemos hacer un uso óptimo de ellas. Hay que tener en cuenta que la unidad mínima de balanceo es la conexión. Los paquetes pertenecientes a una misma conexión no van a ser balanceados entre varias puertas de enlace. TRUCO: Como regla mnemotécnica para tener un cálculo aproximado de la cantidad de tráfico que se enviará por cada una de las puertas, podemos calcular la suma de los pesos y el porcentaje del peso de cada puerta sobre el total. Por ejemplo, si tenemos 3 puertas de enlace, la primera con peso 3, la segunda con peso 7 y la tercera con peso 10, el total es 20. Por la primera puerta saldrá un 3/20 del tráfico, por la segunda 7/20 y por la tercera, la mitad del tráfico, 10/20.

Figura 3.11: Balanceo de tráfico y reglas multigateway 138

TRUCO: No todas las puertas tienen por que estar incluidas en el balanceo de tráfico. Podemos reservar algunas de las puertas para reglas estáticas, por ejemplo para videoconferencias.

Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se envíe siempre por un router específico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrónico o todo el tráfico de una determinada subred por un determinado router. Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red → Puertas de enlace, pestaña Balanceo de tráfico. En esta sección podemos añadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Dirección IP, un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Dirección IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo de tráfico especificado.

Figura 3.12: Regla de selección de puerta de enlace

..

C       Z Si se está balanceando tráfico entre dos o más puertas de enlace, se recomienda habilitar la característica de tolerancia a fallos. Supóngase que se está balanceando el tráfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta característica, una parte del tráfico seguiría intentando salir por el router fuera de servicio, causando problemas de conectividad a los s de la red.

139


En la configuración del failover se pueden definir conjuntos de pruebas para cada puerta de enlace que revisen si está operativa o si por el contrario está sufriendo algún problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace, a una máquina externa, una resolución de DNS o una petición HTTP. También se puede definir cuántas pruebas se quieren realizar, así como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptación, la puerta de enlace asociada a ella será desactivada. Las pruebas se siguen ejecutando, así que cuando estas se ejecuten satisfactoriamente, la puerta de enlace volverá a ser activada de nuevo. Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el tráfico salga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y también se consolidan las reglas de calidad de servicio. De esta forma, los s de la red no deberían sufrir problemas con su conexión a Internet. Una vez que Zentyal detecta que la puerta de enlace caída está completamente operativa se restaura el comportamiento normal de balanceo de tráfico, reglas multigateway y calidad de servicio.

Figura 3.13: WAN failover

Para configurar las opciones y pruebas del failover se debe acudir al menú Red → Puertas de enlace, pestaña WAN failover. Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones. Para añadir una regla sim140

plemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los siguientes campos: HABILITADO: Indica si la regla va a ser aplicada o no durante la comprobación de

conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de nuevo. GATEWAY : Se selecciona la puerta de enlace de la lista de previamente configura-

das. TIPO DE PRUEBA: Puede tomar uno de los siguientes valores: PING A PUERTA DE ENLACE: Envía un paquete de control desde el servidor Zent-

yal a su puerta de enlace y espera una respuesta de esta. De este modo, comprueba que existe conectividad entre ambas máquinas y que la puerta de enlace está activa. No comprueba que la puerta de enlace tenga conexión con Internet. PING A MÁQUINA: Como en el tipo anterior, esta prueba envía un paquete de

control y espera una respuesta, solo que esta vez se envía a una máquina externa a la red, por lo que ya no sólo se comprueba que se puede conectar con la puerta de enlace, si no que también se comprueba si esta tiene conexión con Internet. RESOLUCIÓN DNS: Intenta obtener la dirección IP para el nombre de máquina

especificado, lo que requiere que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero además, que los servidores de DNS sigan siendo accesibles. PETICIÓN HTTP: Esta prueba sería la más completa, ya que intenta descargar el

contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan. HOST: El servidor que se va a usar como objetivo en la prueba. No es aplicable en

caso de Ping a puerta de enlace. NÚMERO DE PRUEBAS: Número de veces que se repite la prueba. RATIO DE ÉXITO REQUERIDO: Indica que proporción de intentos satisfactorios es

necesaria para considerar correcta la prueba. TRUCO: Para evitar que las pruebas se solapen, hay que tener en cuenta la duración de la ejecución de cada conjunto de pruebas, y establecer el Tiempo entre revisiones a un tiempo mayor. En las redes más lentas, la prueba Petición HTTP que es la más lenta, no debería tardar más de 5 segundos en ejecutarse, así que si realizamos 10 pruebas, un valor adecuado para Tiempo entre revisiones sería 90 segundos pero nunca menor de 60 segundos.

..

E  E  A A lo largo de este y los siguientes ejemplos iremos desplegando una serie de escenarios que nos ayudarán a comprender mejor cada una de las opciones comentadas en este capítulo. Para empezar prepararemos un servidor Zentyal para actuar como puerta de enlace de otras máquinas de una red local. Para ello tan sólo necesitaremos que nuestra

141


máquina tenga dos interfaces de red, una conectada a la red local y la otra a un router configurado para salir a Internet. 1. ACCIÓN Acceder a la interfaz de Zentyal, entrar en Red → Interfaces y seleccionar

para el interfaz de red eth0 el método estático, marcarla como externa (WAN) y ponerle una dirección IP y una máscara de red acordes a la configuración del router, si por ejemplo el router tiene la IP 192.168.1.1 y una máscara de red 255.255.255.0, al servidor se le pondrá una IP diferente, por ejemplo 192.168.1.254 y la misma máscara de red. Pulsar Cambiar. EFECTO: La interfaz de red externa está configurada, se activa el botón de Guardar cambios, pero antes de hacerlo se configurará la otra interfaz de red y la puerta de enlace. 2. ACCIÓN Seleccionar la otra interfaz de red, eth1 y configurarla también con método

estático, pero esta vez no marcar externa (WAN), ya que se está configurando la interfaz con la red interna. Como dirección IP se puede elegir cualquier dirección válida para una máquina local, por ejemplo 192.168.100.254, y como máscara de red, utilizaremos 255.255.255.0. Pulsar Cambiar. EFECTO: La interfaz de red interna está configurada. 3. ACCIÓN Ahora ya sólo queda configurar la puerta de enlace del servidor, para ello

acceder a Red → Puertas de enlace y pulsar Añadir nueva. Se marca como habilitada, se le pone el Nombre que se desee, por ejemplo default-gw0-eth0, la dirección IP del router, que será el que haga de puerta de enlace para nuestro servidor, se selecciona la interfaz que hemos configurado anteriormente como externa, eth0, se le pone el peso que se quiera, como por ahora sólo hay una puerta de enlace este valor no tendrá efecto alguno; y finalmente se selecciona como Predeterminada. Pulsar Añadir. EFECTO: Se ha añadido una puerta de enlace predeterminada para el servidor. 4. ACCIÓN Finalmente se guardan los cambios, pero no sin antes comprobar en Esta-

do del módulo que Red está activado, una vez comprobado, pulsar Guardar cambios. EFECTO: Los datos se guardarán, configurando definitivamente las interfaces de red y preparando al servidor para actuar como puerta de enlace. Observar que si se ha configurado la máquina con los valores propuestos y, aunque todas las máquinas y routers de la red estén en el mismo segmento, se habrán creado dos subredes, la 192.168.1.0 y la 192.168.100.0. Otras máquinas de la red local podrán utilizar 192.168.100.254 como puerta de enlace.

TRUCO: En un servidor en producción, es muy posible que también se quieran configurar el dns-chapter-ref y/o el dh-ref en la máquina que actúe como puerta de enlace, pueden consultarse sus respectivos capítulos para ello, en estos ejemplos tan sólo nos centraremos en casos de enrutamiento.

E  B En este ejemplo configuraremos otra subred y haremos que todas las máquinas de ambas subredes puedan conectarse entre ellas, para ello partiremos del escenario anterior.

142

1. Acción: Configurar otro servidor Zentyal siguiendo los pasos del ejemplo ante-

rior, pero cambiando su dirección IP externa por una diferente de la misma red, por ejemplo 192.168.1.253 si se sigue con los valores del ejemplo anterior, y su dirección IP interna por una de otra subred nueva, por ejemplo 192.168.101.254. EFECTO: Habrá tres subredes, la red interna del servidor del ejemplo anterior, al que se le llamará A, la red interna del nuevo servidor, al que se le llamará B y la red externa en la que estarán ambos servidores y el router. 2. Acción: Diagnosticar el estado de los enrutamientos, para ello, en el servidor A

acceder a Red → Herramientas y probar a obtener las rutas hasta la dirección IP interna del servidor B (192.168.101.254) con traceroute. Observar que la herramienta no consigue obtener una ruta, los paquetes de control enviados pasan por la puerta de enlace predeterminada y quizás por algún otro enrutador, pero ya no continúan. Los paquetes son eviados por la puerta de enlace predeterminada por que no encuentran otra puerta de enlace que incluya la red del servidor B como posible destino. Si repetimos la prueba intentando trazar la ruta desde el servidor B al A veremos que ocurre lo mismo. EFECTO: Se ha observado como las subredes internas creadas por los servidores A y B no pueden verse entre si. 3. Acción: Añadir rutas estáticas para interconectar ambas subredes, para hacer es-

to entrar en Red → Rutas estáticas y pulsar Añadir nueva. Introducir como Red la subred interna del otro servidor, si se está configurando A, poner la subred de B que, siguiendo con los valores de estos ejemplos será 192.168.101.0/24. Como Gateway poner la IP externa del servidor B (192.168.101.254), a la que sí que puede acceder al tener una interfaz configurada para la misma subred. Finalmente, pulsar Añadir y Guardar cambios. EFECTO: Se ha añadido una ruta estática que indica al servidor A por donde enrutar los paquetes dirigidos a la subred interna del servidor B. 4. Acción: Repetir el diagnóstico realizado hace unos pasos, comprobar como apare-

ce la ruta completa. Si se configurara un cliente en cada una de las redes, podríamos ver como desde el cliente de la red del servidor A también se puede trazar la ruta hasta el cliente del servidor B. EFECTO: Hemos observado como añadiendo una ruta estática podemos interconectar dos subredes diferentes.

E  C Configurar un escenario multigateway con varias puertas de enlace y comprobar que funciona utilizando las herramientas de diagnóstico. Para ello: 1. ACCIÓN Dejar un servidor Zentyal con la configuración actual y añadir en el otro

una nueva puerta de enlace desde Red → Puertas de enlace con la dirección IP interna del primer servidor y con la interfaz eth1. Para poder usar esta interfaz, debe estar en la misma subred que la interfaz interna del primer servidor. Pulsar el botón Añadir. EFECTO: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de puertas de enlace con la puerta de enlace recién creada y la puerta de enlace anterior.

143


2. ACCIÓN Activar el balanceo activando Habilitar desde Red → Puertas de enlace

pestaña Balanceo de tráfico y pulsar Cambiar. Guardar los cambios. EFECTO: Tras guardar, Zentyal utilizará ambas puertas de enlace para sus conexiones. 3. ACCIÓN Entrar en Red → Herramientas y usar traceroute contra una máquina exter-

na o en Internet, como www.zentyal.com. Ejecutar esta herramienta varias veces con los mismos datos y comparar los resultados. EFECTO: El resultado de una ejecución de traceroute muestra los diferentes routers por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una máquina con configuración multigateway el resultado de los primeros saltos debería ser diferente dependiendo de la puerta de enlace elegida.

E  D En este ejemplo, sobre una configuración multigateway con balanceo como la desarrollada a lo largo de los ejemplos anteriores, se instalarán unas reglas de tolerancia a fallos y se desactivará una de las puertas de enlace para ver como deja de balancear. 1. ACCIÓN Añadir un par de reglas de failover. Para ello ir a Red → Puertas de enlace

pestaña WAN failover y pulsar Añadir nueva, seleccionar Ping to host como tipo de prueba, poner www.zentyal.com como máquina y pulsar en Añadir. Repetir el mismo proceso para añadir una regla con los mismos valores, pero seleccionando la otra puerta de en Gateway. EFECTO: Las dos reglas añadidas aparecen en la lista de Reglas de prueba. 2. ACCIÓN Guardar cambios. EFECTO: Los cambios se hacen efectivos. 3. ACCIÓN Provocar un fallo en una de las puertas de enlace, se puede hacer apagan-

do una de las puertas de enlace, o desconectando los cables. EFECTO: Una de las reglas de WAN failover tendría que activarse, deshabilitando la puerta de enlace afectada. Se puede comprobar con la herramientas de diagnóstico traceroute, ejecutándola varias veces y viendo que se envía siempre por la misma ruta de salida o también consultando los registros de Events en Mantenimiento → Registros, donde también podremos ver cual es la regla que se ha activado.

..

E  E A Añadir una regla multigateway para un determinado destino y comprobar que el escenario funciona correctamente utilizando la herramienta de diagnosis-tools-ref traceroute. E B En un escenario con dos puertas de enlace, activar el balanceo de tráfico y el WAN failover. Simular un problema de conexión con uno de los routers y comprobar que se generan los eventos correspondientes. Utilizar también la herramienta de diagnosistools-ref traceroute con distintos destinos para comprobar que el balanceo funciona cuando los dos routers tienen conexión y que no hay balanceo cuando uno de ellos está caído. 144

. ..

S  P HTTP I    P HTTP Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del tráfico web, aumentar la velocidad de navegación, definir la política de a la web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos. Se produce un ahorro de tráfico ya que las peticiones de las páginas web se hacen al proxy y no a Internet directamente. Aumenta la velocidad de respuesta ya que el proxy crea una caché de los contenidos accedidos de manera que no es necesario solicitar por segunda vez un elemento ya accedido anteriormente. Podemos definir además una política de y filtrado de los contenidos analizando dinámicamente cada página, usando listas blancas o listas negras, en base a horarios, s, grupos y direcciones IP. Estos contenidos pueden ser analizados, bloqueando contenidos peligrosos como virus. En contrapartida tiene como desventajas que algunas operaciones avanzadas del protocolo pueden no llegar a funcionar correctamente al no estar usando una conexión directa o que puede suponer en algunos casos una violación de la intimidad al inspeccionar el contenido accedido por los s. Para utilizar un proxy, los clientes pueden configurar los navegadores para ello, pero también podemos configurarlo como un proxy transparente. Con esta configuración los clientes no necesitan reconfigurar su navegador y tampoco es posible evadir el proxy cambiando la configuración de su navegador. En contrapartida, un proxy transparente no es compatible con la autenticación de los s contra el servidor proxy HTTP. El servicio de proxy HTTP escucha por defecto en el puerto 3128/T. Zentyal utiliza Squid  para proxy HTTP junto a Dansguardian  para el control de contenidos.

..

C      P HTTP Para configurar un proxy HTTP en Windows es necesario ir a Inicio → de Control, y en la ventana que se abre seleccionar Redes e Internet  http://www.squid-cache.org  http://www.dansguardian.org

145


Figura 3.14: Conexiones de red e Internet

Pulsamos en Propiedades de Internet y aparecera una ventana con varias pestañas, en nuestro caso nos interesa la pestaña Conexiones. Una vez allí pulsaremos Configuración de LAN:

146

Figura 3.15: Propiedades de Internet

Y se mostrará la ventana Configuración de la red de área local (LAN):

147


Figura 3.16: Configuración de la red de área local (LAN)

Para indicar que queremos usar un proxy HTTP debemos de marcar la casilla Utilizar un servidor proxy para su LAN. Esta configuración no se aplicará a conexiones de telefónico o de redes privadas virtuales (VPN). Debajo hay otra casilla No usar servidor proxy para direciones locales, es recomendable marcarla para evitar que las peticiones a direcciones dentro de la red local se realicen a través del proxy HTTP. Para configurar la conexión al proxy iremos a Opciones avanzadas...

148

Figura 3.17: Configuración de los servidores proxy

La ventana facilita introducir una dirección diferente para diversos protocolos, normalmente como usaremos la misma dirección para todos, es suficiente con marcar la casilla Usar el mismo servidor proxy para todos los protocolos. La dirección será la dirección IP del proxy HTTP o su nombre de dominio asociado, y el puerto normalmente el 3128. En el caso de que se quiera indicar alguna página que no pase por el proxy, basta con añadir la dirección al campo No usar proxy para las direcciones que comiencen por:. Una vez establecidos todos los parámetros bastará con aceptar los cambios para que el proxy HTTP quede configurado. En el caso de requerir autenticación, al acceder por primera vez a una página que pase por el proxy HTTP nos pedirá y contraseña. En la imagen se puede ver la ventana que muestra Internet Explorer® .  http://es.wikipedia.org/wiki/Internet_Explorer

149


Figura 3.18: El proxy requiere autenticación

Para configurar un proxy HTTP en Ubuntu accederemos al menú Configuración del Sistema, sección Red, allí elegimos la opción Proxy de la red. Aparecerá la ventana Preferencias del proxy de la red donde podremos configurar la conexión al proxy HTTP desde la pestaña Configuración manual del proxy.

Figura 3.19: Configuración del proxy

Para indicarle que use proxy, debemos marcar la opción Configuracion manual del proxy. Debajo tenemos varios campos donde podemos introducir los datos del proxy para diferentes protocolos. Si queremos que una misma configuración sirva para todos los protocolos es suficiente con marcar el campo Usar el mismo proxy para todos los protocolos, lo cual es el caso habitual. Una vez configurado el proxy basta con pulsar Aplicar a todo el sistema... y después Reiniciar.

150

En el caso de que el proxy requiera autenticación, al acceder a cualquier página no excluída del mismo, saltará un cuadro de diálogo, pidiendo que introduzcamos nuestro y contraseña. En la imagen se puede ver el cuadro de diálogo que aparece en Firefox® .

Figura 3.20: El proxy requiere autenticación

..

C   P HTTP  Z Para configurar el proxy HTTP iremos a Proxy HTTP → General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la política establecida o si por el contrario requerirá configuración manual. En cualquier caso, en Puerto estableceremos dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador. El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a cada decidir cuál es el tamaño óptimo teniendo en cuenta las características del servidor y el tráfico esperado. TRUCO: Cuanto mayor sea el tamaño, más contenidos estarán almacenados en la caché y menos contenidos nuevos tendrán que descargarse de Internet, mejorando por lo tanto la velocidad de navegación y reduciendo el uso de ancho de banda. Sin embargo, el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de espacio usado en el disco duro, sino también un aumento en el uso de la memoria RAM, ya que la caché debe mantener índices a los elementos almacenados en el disco duro.  https://www.mozilla.org/es-ES/

151


Figura 3.21: Proxy HTTP

Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores web locales, no se acelerará su usando la caché y se desperdiciaría memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché. A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de funcionamiento incorrecto o de privacidad de los s. En esos casos, podemos añadir una excepción en Excepciones del Proxy Transparente. La característica Activar Single Sign-On (Kerberos)  sirve para validar el automáticamente usando el ticket de Kerberos creado al inicio de sesión, por lo tanto nos puede ser útil si estamos usando proxy No Transparente, políticas de por grupos y, por supuesto, un esquema de autorizaciones basado en Kerberos. El funcionamiento del esquema mencionado se desarrollará en el capítulo directory-ref. ADVERTENCIA: Si vamos a usar autenticación automática con Kerberos, al configurar el navegador cliente tendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca por IP.

El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducirá distracciones e incluso riesgos de seguridad para los s. Para usar esta característica, debemos activar la opción Bloqueo de Anuncios.

..

R   Una vez hayamos decidido nuestra configuración general, tendremos que definir reglas de . Por defecto, la seccion Proxy HTTP → Reglas de contiene una regla permitiendo todo . Al igual que en el Cortafuegos, la política por omisión de regla siempre será denegar y la regla que tendrá preferencia en caso de que varias sean aplicacables será la que se encuentre más arriba.  http://es.wikipedia.org/wiki/Kerberos 152

Figura 3.22: Nueva regla de al proxy

Mediante el Período de tiempo podemos definir en que momento se tendrá en consideración esta regla, tanto las horas como los días. Por defecto se aplica en todo momento. El Orígen es un parámetro que nos permite definir si esta regla se aplicacará a los de un Objeto de Zentyal o a cualquier tipo de tráfico que atraviese el proxy. De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide con una de las reglas definidas, debemos indicarle una Decisión, en el caso del Proxy hay tres opciones: Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite aún así, seguir disfrutando de caché de contenidos web y registros de s. Denegar todo: Deniega la conexión web totalmente. Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no incumplen ninguno de los filtros definidos en el perfil, se desarrollarán los perfiles de filtrado en el siguiente apartado. Observemos el siguiente ejemplo:

153


Figura 3.23: Ejemplo configuración de al proxy

Cualquiera podrá acceder sin restricciones durante el fin de semana, ya que es la regla situada más arriba. El resto del tiempo, las peticiones que provengan del objeto de red ‘Marketing’ se tendrán que aprobar por los filtros y políticas definidos en ‘filtro_estricto’, las peticiones que provengan del objeto ‘Desarrolladores’ podrán acceder sin restricciones. Las peticiones que no estén contempladas en ninguna de estas tres reglas, serán denegadas.

..

F    Z Zentyal permite el filtrado de páginas web en base a su contenido. Se pueden definir múltiples perfiles de filtrado en Proxy HTTP → Perfiles de Filtrado.

Figura 3.24: Perfiles de filtrado para los diferentes objetos de red o grupos de s

Accediendo a la Configuración de estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaña podemos encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la opción de antivirus, el módulo Antivirus debe estar instalado y activado.

154

Figura 3.25: Configuración del perfil

Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser más o menos estricto, esto influirá en la cantidad de palabras inapropiadas que permitirá antes de rechazar una página. En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática que dominios estarán permitidos en este perfil. Podemos decidir Bloquear sitios especificados sólo como IP, para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. Así mismo con la opción Bloquear dominios y URLs no listados podemos decidir si la lista de dominios más abajo se comporta como una blacklist o una whitelist, es decir, si el comportamiento por defecto será aceptar o denegar una página no listada.

Figura 3.26: Reglas de dominios y URLs 155


Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios que queremos aceptar o denegar. Para usar los filtros por Categorías de dominios debemos, en primer lugar, cargar una lista de dominios por categorías. Configuraremos la lista de dominios para el Proxy desde Proxy HTTP → Listas por categorías. Una vez ahi seleccionaremos un archivo que contiene la lista de URLs agrupadas en categorias destinadas para el uso de filtros como SquidGuardian  o DansGuardian . Para este ejemplo descargaremos dos listas de URLs, una desde: http://www.shallalist.de/s/shallalist.tar.gz y la otra desde http://urlblacklist.com/cgi-bin/commercial.pl?type=&file=bigblacklist

Figura 3.27: Lista por categorías

Las dos listas añadidas:

Figura 3.28: Lista por categorías

Una vez hayamos configurado la lista, podemos seleccionar que categoría en concreto deseamos permitir o denegar desde la pestaña Categorías de dominios del filtro.  http://www.squid-cache.org  http://www.dansguardian.org 156

Figura 3.29: Denegando toda la categoría de redes sociales

En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que serán aceptados por este perfil, ya sea por tipo MIME o por extensión de fichero. Los tipos MIME  son un identificador de formato en Internet, por ejemplo application/pdf.

Figura 3.30: Filtro de tipos MIME  http://en.wikipedia.org/wiki/Mime_type

157


Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde podremos elegir si el comportamiento por defecto será denegar todos o aceptar todos los tipos. Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:

Figura 3.31: Denegando los ficheros con extension ‘exe’.

..

L     El Proxy nos permite implementar un límite flexible para controlar el ancho de banda que consumen nuestros s. Este límite está basado en los algoritmos de cubeta con goteo o Token bucket . En estos algoritmos tenemos una cubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La velocidad de vaciado dependerá de las descargas del . Si el hace un uso razonable de la conexión, la cubeta se rellenará más rápido de lo que la vacía, por lo que no habrá penalización. Si el empieza a vaciar la cubeta mucho más rápido de lo que esta se llena, se vaciará, y a partir de entonces se tendrá que conformar con la velocidad de llenado únicamente. TRUCO: Este tipo de algoritmos es útil para permitir descargas de cierto tamaño, si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumirá parte de la cubeta pero descargará a máxima velocidad. Sin embargo, si el utiliza una aplicación de P2P, consumirá rápidamente toda su reserva.

Por cada límite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tipos de cubetas: globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de los puestos consumirá de su cubeta por cliente y todos consumirán de la cubeta global.  http://es.wikipedia.org/wiki/Conformado_de_tr %C3 %A1fico#Token_Bucket

158

Figura 3.32: Limitación de ancho de banda

En el ejemplo de la captura de pantalla, cada uno de los s individuales del objeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexión web funcionará a 30KB/s como máximo hasta que dejen de descargar por un tiempo. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en volver a contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.

..

E  E  A En un instituto, queremos tener un umbral dinámico de contenidos estricto. A partir de las 8 de la tarde no se podrá navegar. Queremos que el proxy sea transparente. Para ello: 1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo Proxy

HTTP, para ello marcar su casilla en la columna Estado. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros. 2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y

otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios. 3. ACCIÓN Ir a Proxy HTTP → General, activar la casilla de Proxy Transparente. Ase-

gurarnos que Zentyal puede actuar como puerta de enlace, es decir, que haya al menos una interfaz de red externa y otra interna. Pulsar Cambiar. EFECTO: El proxy está configurado en modo transparente y deniega todo el tráfico. 4. ACCIÓN Guardar cambios para confirmar la configuración EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. 5. ACCIÓN Crear un perfil de filtrado. Para ello acudiremos a Proxy HTTP → Perfiles

de filtrado y pulsar el botón Añadir nuevo. Introduciremos un nombre explicativo, por ejemplo ‘alumnos’ y pulsaremos en Añadir. EFECTO: Aparecerá el perfil ‘alumnos’ en la lista de Perfiles de filtrado. 6. ACCIÓN Pulsar en el icono de Configuración en el apartado de Umbral selecciona-

mos Muy estricto en la lista y pulsar el botón Cambiar. EFECTO: Se ha activado el botón Guardar Cambios. 7. ACCIÓN Guardar cambios para confirmar la configuración 159


EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. 8. ACCIÓN Iremos a Proxy HTTP → Reglas de y pulsaremos en Añadir nueva.

Regla De 20:00 a 8:00 (todos los días) Origen: Cualquiera Decisión: Denegar todo Pulsaremos en Añadir. EFECTO: Se añadirá la regla a Reglas de . 9. ACCIÓN Pulsaremos de nuevo en Añadir nueva.

Regla Origen: Cualquiera Decisión: Aplicar perfil de filtrado ‘alumnos’. Pulsaremos en Añadir. EFECTO: Se añadirá la regla a Reglas de . Nos aseguraremos que la regla que hemos mencionado primero estará arriba en la lista. 10. ACCIÓN Guardar cambios para confirmar la configuración EFECTO: Se reiniciarán los servicios de cortafuegos y proxy HTTP. El Proxy denegará el de 8 de la tarde a 8 de la mañana, el resto del tiempo aplicara un umbral de contenidos muy estricto.

..

E  E A Desactivar el modo transparente. Establecer una política global que no permita navegar. Comprobar desde otro cliente que se nos prohibe el . E B Establecer una política global que incluya filtrado de contenidos. Prohibir el al dominio marca.es. Comprobar que no podemos acceder a este dominio. E C Crear un objeto para una máquina interna. Permitir navegar a este objeto. Establecer una política global que no permita la navegación. Comprobar que solo desde el objeto podemos navegar. E D Conecta a Internet desde un cliente a través de Zentyal. Comprueba las diferencias en una página con anuncios, por ejemplo http://www.barrapunto.com (anuncios en la derecha) antes y después de activar las capacidades de bloqueo de anuncios en el proxy.

160

.

P   PREGUNTA 1 Deseamos restringir el desde nuestro servidor Zentyal a un ser-

vicio web ofrecido en una red externa A ) configuraríamos una regla en la sección ‘Redes Internas’ con origen Zentyal y destino la máquina deseada, denegando el B ) configuraríamos una redirección de puertos, para que Zentyal no fuese capaz de alcanzar el destino C ) configuraríamos una regla en la sección ‘Tráfico de redes internas a Zentyal’, con idéntica configuración al punto ‘a’ D ) configuraríamos la regla en la sección ‘Tráfico saliente de Zentyal’ PREGUNTA 2 Deseamos permitir todo el tráfico desde las redes externas hasta Zent-

yal, excepto SSH que será registrado y descartado A ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una regla para registrar SSH, mas abajo una regla para descartar SSH y finalmente una regla que acepte todo el tráfico B ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’, agregaremos una regla para aceptar todo el tráfico, mas abajo una regla para descartar SSH y finalmente un regla que registre SSH C ) configuraremos la sección ‘Tráfico de redes externas a Zentyal’ , agregaremos una regla para aceptar todo el tráfico, mas abajo una regla para registrar SSH y finalmente una regla para descartar SSH D ) ninguna de las anteriores PREGUNTA 3 Suponiendo dos puertas de enlace, desearíamos no perder conectividad

si una de estas cae A ) configuraremos el Balanceo de tráfico con el mismo peso para las dos puertas de enlace B ) configuraríamos ambas puertas de enlace como predeterminadas C ) configuraríamos pruebas de conectividad (‘WAN failover’) para ambas puertas de enlace PREGUNTA 4 Si deseamos evitar que nuestros s accedan a páginas inapropia-

das, pero no disponemos de un listado suficientemente completo de las mismas A ) configuraríamos la política de objeto pertinente como ‘Denegar’ B ) estableceríamos un perfil de filtrado con umbral de contenidos C ) prohibiríamos las extensiones de fichero de tipo ‘jpg’ y ‘png’ D ) añadiríamos los nuevos dominios con una política de ‘Denegar siempre’

161


162

Capítulo

4

ZENTYAL DOMAIN & DIRECTORY

.

I En este apartado se explicarán varios de los servicios que ofrece Zentyal como servidor de oficina, en concreto su capacidad para gestionar los s de la red de forma centralizada, la compartición de ficheros, integración con Microsoft Active Directory, ya sea como controlador adicional o como “Operations Master”, así como configuración de la autorización única (single-sign-on) para varios servicios. Los servicios de directorio permiten gestionar los permisos de de una organización de forma centralizada. De esta forma, los s pueden autenticarse en la red de forma segura. Así mismo, se puede definir una estructura jerárquica con controles de a los recursos de la organización. Finalmente, gracias a la arquitectura maestro/esclavo que integra Zentyal, la gestión centralizada de s puede aplicarse a grandes empresas con múltiples oficinas. La integración de Samba4 y Kerberos convierte a Zentyal en un reemplazo nativo de Windows Server para la pyme, ofreciendo la posibilidad de integrarse en entornos mixtos (Servidores Windows y Zentyal) o en modo standalone, sirviendo a los clientes Windows. La compartición de ficheros, aplicando permisos de y modificación por y grupo, es una de las funcionalidades más importantes de un servidor de oficina y facilita enormemente el trabajo en grupo sobre documentos de forma intuitiva.

. ..

U, E  C   I       Un servicio de directorio  es una base de datos de información estructurada sobre los s, grupos, recursos y permisos en el contexto de una organización. El servicio de directorio permite al gestionar el a los diferentes servicios y recursos de forma unificada. Los servicios de directorio pueden ser de muy distintos tipos: locales para una organización o globales; con información abarcando desde nombres de empleados y números de teléfono hasta nombres de dominio y sus correspondientes direcciones IP; instaladas como servicios en una red local o como una serie de bases de datos dispersas geográficamente e interconectadas entre sí. Sin embargo, todos ellos comparten  http://es.wikipedia.org/wiki/Servicio_de_directorio

163

CAPÍTULO 4 ZENTYAL DOMAIN & DIRECTORY

características comunes, como tener la información estructurada con un esquema flexible y modificable, disponer de capacidades avanzadas de búsqueda y, en los casos de directorios distribuidos, replicar la información entre diversos servidores. Para facilitar la rápida extracción de los datos de un servicio de directorio se utiliza LDAP , un protocolo que permite la consulta de datos de servicios de directorio a través de conexiones T/IP estándar. LDAP se basa en un modelo de cliente-servidor, en el que múltiples clientes se conectan a un servidor para realizar consultas y filtrar resultados. En una pyme los servicios de directorio se utilizan principalmente para almacenar y organizar la información relativa a los s y grupos de la organización. Así, los servicios de directorio actúan como una autoridad central a través de la cual los s de una organización se pueden autenticar de manera segura. Además, permiten a los es de la red asignar permisos de a los recursos por parte de los s, facilitando la implantación de políticas de seguridad. La compartición de ficheros  es el proceso por el cual una serie de ficheros se ponen a disposición de los s de una red, dándoles para trabajar sobre ellos, descargarlos o modificarlos. Los principales sistemas existentes para ello son Network File System (NFS)  , Andrew File System (AFS) y Common Internet File System (CIFS) . Este último es el protocolo de archivos compartidos de Microsoft Windows y anteriormente era conocido como Server Message Block (SMB). Por ello, en muchos contextos se le denomina SMB/CIFS. Zentyal integra Samba4  como servicio de directorio, implementando la funcionalidad de un controlador de dominio Windows, además de compartición de ficheros. El dominio en este contexto consiste en una serie de servicios distribuidos a lo largo de todos los controladores, siendo los más importantes el directorio LDAP, el servidor DNS y la autenticación distribuida mediante Kerberos . El concepto de Dominio en Zentyal está muy relacionado con la implementación de Microsoft Active Directory®, es decir, servidores que replican la información del directorio y clientes unidos al dominio, aplicando las políticas asignadas a su Unidad Organizativa (OU). La compartición de ficheros es el proceso por el cual una serie de ficheros se ponen a disposición de los s de una red, dándoles para trabajar sobre ellos, descargarlos o modificarlos. En Zentyal usaremos el protocolo SMB/CIFS  para mantener la compatibilidad con los clientes Microsoft. SMB/CIFS está también soportado en la gran mayoría de Sistemas Operativos, incluidos móviles y diferentes dispositivos de red. Los servicios de compartición de ficheros y directorio activo incluidos en la versión 4 de samba utilizan los puertos: 88/T y 88/UDP Kerberos auth 135/T - DCE endpoint resolution 137/UDP - NETBIOS name service 138/UDP - NETBIOS datagram service 139/T - NETBIOS session service 389/T y 389/UDP - Lightweight Directory Access Protocol  http://es.wikipedia.org/wiki/LDAP  http://es.wikipedia.org/wiki/Distribucion_de_archivos  http://es.wikipedia.org/wiki/Network_File_System  http://es.wikipedia.org/wiki/SMB  http://es.wikipedia.org/wiki/Samba_ %28programa %29  http://es.wikipedia.org/wiki/Kerberos  http://es.wikipedia.org/wiki/SMB 164

445/T - Microsoft directory services 464/T y 464/UDP - Kerberos set/change 636/T - LDAP over TLS/SSL 3264/T - Microsoft global catalog 3269/T - Microsoft global catalog over SSL

..

S: L      SMBCIFS  L A partir de Windows NT, Microsoft evolucionó sus servicios de directorio a una nueva versión que llamó Active Directory (AD) . Ambos comparten características comunes, pero son al mismo tiempo muy diferentes desde el punto de vista de escalabilidad y funcionalidad. Uno de los cambios más importantes es la confianza en el servicio DNS, en contraposición con el servicio de nombres de internet (WINS) utilizado en Windows NT. Los controladores de dominio y los clientes del dominio confían en el servicio DNS para localizar aquellos equipos que proveen los servicios que demandan. Esto convierte al modulo DNS de Zentyal en parte indispensable de un dominio AD, y su correcta configuración condicionará el buen funcionamiento del dominio. Otro cambio importante es la eliminación de la distinción entre controlador primario y controlador secundario o de backup, de forma que en un dominio AD se utiliza replicación de múltiples maestros entre todos los controladores del dominio y todos ellos están al mismo nivel. Samba  es una implementación de los servicios de directorio activo y el protocolo de compartición de ficheros SMB/CIFS para Linux y Unix, facilitando de esta forma que ordenadores con Linux puedan colaborar en redes Windows como servidores o actúen como clientes. Samba4 puede actuar como Controlador de Dominio (DC) de un dominio activo, así como compartir directorios e impresoras en la red. Samba puede instalarse no sólo en servidores Linux, sino también en Solaris, BSD y Mac OS X Server. Zentyal integra Samba 4 para implementar la compartición de ficheros e impresoras y la autenticación de s en la red. Para más información sobre Samba se recomienda acceder directamente a la página web del proyecto (en inglés) . Para profundizar en el funcionamiento e implementación de CIFS se recomienda la lectura del libro on-line Implementing CIFS (en inglés) . Para saber cómo configurar el servidor Samba mediante línea de comandos en Linux se recomienda la lectura correspondiente a redes Windows en la documentación de Ubuntu Server (en inglés) .

..

C       Z O    LDAP En esta primera sección vamos a detallar las operaciones e información presentes en el directorio LDAP de Zentyal en cualquiera de los modos de operación del dominio. Más adelante se detallará como configurar y desarrollar dichos modos. Desde el menú s y Equipos → Configurar modo podemos comprobar cual es el modo de funcionamiento de nuestro servidor LDAP antes de activar el módulo. Si he http://es.wikipedia.org/wiki/Active_Directory  http://es.wikipedia.org/wiki/Samba_(programa)  http://www.samba.org/  http://www.ubiqx.org/cifs/  https://help.ubuntu.com/16.04/serverguide/samba.html

165


mos activado el módulo de s, Equipos y Ficheros, nuestro servidor funcionará como Servidor stand-alone por defecto. Una vez activado el módulo podemos acceder a s y Equipos –> Opciones de configuración de LDAP, en el bloque superior podemos ver la Información de LDAP

Figura 4.1: Configuración de ldap en Zentyal

DN BASE: Base de los nombres de dominio de este servidor, coincide con el domi-

nio local. Nuestro dominio local se configura desde Sistema → General Dominio y aparecerá como bloqueado (no es posible eliminarlo) en nuestro módulo de DNS. DN DE S: Nombre del contenedor de s por defecto. DN DE GRUPOS: Nombre del contenedor de Grupos por defecto.

En la parte inferior podremos establecer ciertas Opciones de configuración PAM

Figura 4.2: Configuración de PAM en Zentyal

Habilitando PAM (Pluggable Authentication Modules) permitimos que los s presentes en el directorio, sean a su vez s válidos de la máquina local. De esta forma podríamos, por ejemplo, crear un en el directorio y acceder el servidor Zentyal mediante SSH usando los credenciales de este .

166

G U, G  E Desde el menú s y Equipos→ Gestionar podremos ver el árbol de LDAP. Usando esta interfaz podemos crear y borrar nodos del árbol, gestionar los atributos de los nodos y modificar los permisos de los s para otros servicios que utilizan este directorio.

Figura 4.3: Árbol de nodos LDAP

TRUCO: Usando el comando ‘ldbsearch -H /var/lib/samba/private/sam.ldb’ podemos obtener un listado en texto plano del árbol LDAP. La información de LDAP se guarda en formato binario, por lo que es necesario un filtro para visualizarla.

En la parte izquierda se puede ver el árbol, la raíz del árbol toma el nombre de nuestro dominio “local”. Podemos ver las diferentes Unidades Organizativas creadas por defecto: Computers: Máquinas unidas al dominio, tanto servidores como clientes, esta sección es útil para gestionar el inventario y para aplicar reglas basadas en el equipo. Groups: Contenedor genérico para los grupos de la organización. s: Contenedor genérico para los s de la organización. Domain Controllers: Servidores que replican la información del directorio, pueden asumir los diferentes roles FSMO de un dominio Samba4/Active Directory.

167


Una Unidad Organizativa es un contenedor de otros objetos, como grupos, s o incluso otras OU anidadas. Es un concepto relacionado con la estructura de datos en árbol y las diferentes políticas aplicadas a cada nodo. Si no se usa los servicios de Samba4/Active Directory, es posible que no sea necesario crear Unidades Organizativas adicionales. Es posible borrar cualquier nodo usando el icono de cubo de basura, o podemos crear uno nuevo seleccionando un contenedor y usando el icono de añadir con la cruz verde.

Figura 4.4: Añadiendo un nuevo

Es importante tener en cuenta que cada vez que creamos un en el árbol LDAP, se genera el correspondiente directorio en /home/<nombrede> en el sistema de ficheros del servidor, si el directorio ya existía previamente, podemos tener problemas para crear el . Mueva o elimine el directorio antes de crear al si este es el caso. Los os son objetos con información personal no relacionados con el mecanismo de autorización. En otras palabras, los os no serán capaces de registrarse en los servicios del dominio. En el lado derecho podemos ver y modificar los atributos LDAP del nodo del árbol seleccionado, por ejemplo, el apellido de un . Seleccionando un , podemos modificar la pertenencia a los diferentes grupos, así como configurar los plugins de . En la parte inferior de la sección derecha, tenemos disponible la sección Configuración de los Módulos, esta sección tiene un número variable de subsecciones, dependiendo de los demás módulos instalados y configurados. Usando esta interfaz, podemos modificar los diferentes parámetros del módulo relacionados con el seleccionado. La configuración por defecto de los plugins de depende de la Plantilla de , explicada en la siguiente sección. 168

Figura 4.5: Plugin de para módulo de correo

Seleccionando un grupo, podemos también modificar los s que pertenecen a este grupo, crear listas de correo de distribución y cambiar el tipo del grupo. Los grupos de tipo Security Group (por defecto) contienen los s que serán capaces de registrarse en los demás servicios del dominio. El Grupo de Distribución contiene s que serán utilizados para otros propósitos, como listas de correo.

169


Figura 4.6: Editando un grupo

P   Accediendo a s y equipos –> Plantilla de podemos modificar la configuración por defecto de los servicios para los nuevos s, por ejemplo, el dominio por defecto de sus cuentas de correo. Es importante tener en cuenta que cualquier modificación solo se aplicará a los s creados después de modificar la plantilla. El número de secciones es variable, dependiendo de los módulos dependientes de s presentes en el sistema.

170

Figura 4.7: Plantilla del

..

C Z     D Standalone Antes de activar el módulo de s, Equipos y Ficheros tenemos que revisar ciertas configuraciones de nuestro servidor. Durante la activación del módulo el Dominio se provisiona. Esto quiere decir que las configuraciones para LDAP, DNS y Kerberos son generadas, creando los objetos de LDAP, los Principales de seguridad de Keberos, las zonas específicas de DNS y demás. Esta operación puede ser revocada, pero es más costoso que activar y desactivar el resto de módulos. Antes de activar s, Equipos y Ficheros por primera vez nos aseguraremos que: Hemos configurado el modo de operación, por defecto Controlador del Dominio, pero también podemos configurar el servidor para ser un controlador adicional unido a otros nodo. En este último caso, configuraremos el modo de operaciones y las credenciales antes de activar el módulo, y seguiremos las instrucciones para este supuesto en las siguientes secciones. Si el servidor va a funcionar como primer Controlador del Dominio, no es necesario modificar los datos por defecto.

171


Figura 4.8: Zentyal como controlador único del dominio

El dominio local y el hostname son correctos. Podemos comprobar esto desde Sistema → General. Si deseamos modificar estos datos, reiniciaremos el servidor antes de activar el módulo.

172

Figura 4.9: Comprobando nombre del host y dominio

En la configuración del módulo DNS tenemos un dominio “local” que coincide con el que tenemos en Sistema → General, el dominio contiene nuestro hostname como registro (A), sección Nombres de máquinas, este nombre debe estar asociado a, por lo menos, una IP interna. Añadiremos todas las IP internas donde deseemos proporcionar servicios del dominio a este Hostname.

Figura 4.10: zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las IP internas

El módulo de NTP está instalado y activado, y los clientes reciben esta sincronización NTP, preferentemente a través de DH. Una vez que hayamos activado s, Equipos y Ficheros podemos proveer carpetas compartidas, unir clientes Windows al dominio, configurar y enlazar las políticas GPO y aceptar conexiones de los nuevos controladores de dominio adicionales, tanto Windows Server® como Zentyal. Probablemente, una de las primeras operaciones que necesitas realizar en tu dominio es crear un en el directorio y unirlo al grupo de Domain s. Al unirlo, el tendrá todos los permisos efectivos sobre el dominio.

173


Figura 4.11: Incluyendo un usario al grupo Domain s

..

U   W   El proceso de unir un cliente Windows al dominio de Zentyal es idéntico a unirse a un servidor Windows. En primer lugar tendremos que usar la cuenta del con privilegios de creado anteriormente. Ahora, accediendo al cliente Windows Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse mutuamente a través de una red local Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfectamente sincronizada usando NTP Después de comprobar estas precondiciones, nos uniremos al dominio de la manera habitual

174

Figura 4.12: Uniéndose al dominio con Windows

Para los credenciales, usaremos el Domain que hemos creado previamente

175


Figura 4.13: Credenciales del Domain

Tras completar el proceso, nuestro cliente Windows aparecerá en el árbol de LDAP bajo la Computers OU, aplicará las GPO configuradas y obtendrá el ticket de Kerberos automáticamente al iniciar sesión (Ver la sección de Kerberos).

176

Figura 4.14: Cliente Windows en el árbol LDAP 177


Ahora ya podemos iniciar sesión en nuestro cliente Windows con los s creados en el LDAP de Zentyal.

..

A  K Kerberos es un sistema de autenticación automática que se integra con Samba4/Active Directory y con todos los demás servicios compatibles en el dominio. El cliente solo necesita introducir sus credenciales una vez para obtener el ticket “principal” de, Ticket Granting Ticket. Esta operación se realiza automáticamente en los clientes Windows unidos al dominio, las credenciales de inicio de sesión se envían al Controlador de Dominio (Cualquiera de ellos) y su el se verifica, el controlador envía el TGT junto con otros tickets necesarios para la compartición de ficheros al cliente. Puedes comprobar la lista de tickets activos en el cliente usando el comando klist

Figura 4.15: Tickets de Kerberos tras iniciar sesión

En sistemas Ubuntu/Debian también es posible obtener el ticket TGT de Kerberos instalando el paquete heimdal-clients

Figura 4.16: Obteniendo el TGT de Kerberos en Ubuntu

Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los demás servi178

cios compatibles con Kerberos del dominio aceptaran los tickets proporcionados por el cliente, que son obtenidos automáticamente cuando se solicita acceder al servicio. Este mecanismo de autenticación tiene dos ventajas principales: Seguridad: Los credenciales viajan seguros por la red local, el sistema es resistente al sniffing y a los ataques de replay. Comodidad: Los s sólo necesitan introducir sus credenciales una vez, los demás tickets de autorización se obtienen de forma transparente. Servicios de Zentyal compatibles con la autorización Kerberos en esta versión: Compartición de Ficheros (SMB/CIFS) Correo Electrónico

..

C     El de Zentyal puede cambiar la contraseña de cualquier desde la propia interfaz web. Sin embargo, en la mayoría de los casos es más conveniente si el es capaz de cambiar su contraseña sin necesitar la atención del . Si estamos usando un cliente de Windows unido al dominio de samba, podemos simplemente cambiar la contraseña después de habernos registrado como un del dominio, el cambio de contraseña se reflejará en el servidor. Desde un cliente linux, necesitaremos instalar el paquete heimdal-clients y después ejecutar: $ kinit <>@DOMAIN $ kwd

Por ejemplo: $ kinit [email protected] [email protected]'s : $ kwd [email protected]'s : New : - New : Success : changed

..

P  G GPO Las políticas de grupo o Group Policy Objects (GPO) son políticas asociadas a los contenedores del Dominio. Usando GPOs, podemos realizar configuraciones automáticas o comunicar restricciones a los clientes, tenemos políticas globales para todo el dominio, políticas para las Unidades Organizativas y también para los Sites (localizaciones físicas). Ejemplos típicos del uso de una GPO incluirían: Instalar y actualizar paquetes de software sin intervención del Configurar un Proxy HTTP de los navegadores e instalar la Autoridad de Certificación del dominio Enviar scripts que serán ejecutados al inicio y/o cierre de sesión Restringir partes de la configuración del cliente Windows al

179


Es posible crear GPOs usando cualquier cliente Windows unido al dominio. Para ello tendremos que instalar la herramienta RSAT de Microsoft e iniciar sesión con el que hemos configurado como del dominio, y usando la interfaz RSAT diseñaremos el GPO deseado.

Figura 4.17: Gestionando las GPO con la herramienta RSAT en un cliente Windows

Usando esta herramienta, las GPO serán añadidas automáticamente al SYSVOL del dominio y ejecutadas desde el servidor Zentyal en todos los demás clientes.

..

U Z S     Gracias a la integración con tecnologías Samba4, Zentyal es capaz de convertirse en un Controlador Adicional de un dominio existente, ya sea uniéndose a un servidor Windows o a otro controlador basado en Samba4, por ejemplo, otro servidor Zentyal. Tras unirse al dominio, la información de LDAP, DNS, Kerberos y el directorio SYSVOL serán replicados de manera transparente. Tenemos que verificar ciertos puntos antes de unirnos a otro controlador La información local del directorio LDAP de Zentyal será destruida, ya que se sobrescribirá la información de directorio del dominio Todos los controladores deben tener la hora perfectamente sincronizada, a ser posible usando NTP Cuando Zentyal reciba los s sincronizados desde el dominio, creará sus directorios de asociados /home/<nombrede>, comprueba que estos nuevos directorios no existen previamente para evitar colisiones La correcta configuración del sistema de DNS es crítica, los demás controladores de dominio enviarán la información a la IP proporcionada por el sistema de DNS Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo, zentyal.zentyal-domain.lan) podremos tener problemas de sincronización si alguno de los demás controladores intenta usar esa IP para enviar los datos. Incluso si tenemos varias IP internas, podemos sufrir el mismo problema, por que el sistema de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si este es su caso, puede ser recomendable descomentar el parámetro sortlist = yes en el fichero /etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS 180

ordenará las IP de la respuesta, poniendo primero la que coincida con la máscara de red de la máquina haciendo la petición. Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio desde Dominio → Configuración

Figura 4.18: Zentyal server uniéndose a un servidor Windows como controlador adicional

Guardar los cambios llevará más tiempo del habitual en este caso, dado que Samba4 se estará provisionando y todos los datos del dominio necesitan ser replicados.

181


Figura 4.19: Árbol LDAP de Zentyal replicado con el servidor Windows

Explorando el árbol LDAP desde el servidor Windows también nos mostrará el nuevo controlador de dominio

182

Figura 4.20: Árbol LDAP de Windows mostrando el nuevo controlador

Desde este momento la información de LDAP, dominio DNS asociado a samba (el dominio local) y Kerberos será sincronizada en ambas direcciones. Es posible gestionar la información de LDAP (s, grupos, OUs...) en cualquiera de los controladores y los cambios se replicarán en los demás. El proceso para unirse a otro servidor Zentyal es idéntico al descrito.

..

M T Todos los controladores de dominio poseen una réplica de la información de dominio comentada anteriormente, sin embargo existen roles específicos que pertenecen a máquinas concretas, llamados los roles FSMO o Operations Masters. Los Operations Masters son críticos para el funcionamiento del dominio, hay cinco roles FSMO: Schema master: a cargo de la definición del árbol LDAP, envía actualizaciones de este formato Domain naming master: Crear y borrar dominios en el bosque Infrastructure master: Provee de identificadores GUID, SID y DN únicos en el dominio Relative ID Master: ID relativas asignadas a los principales de seguridad PDC Emulator: Compatibilidad con máquinas Windows 2000/2003® hosts, servidor de hora principal Usando el script de Migración Total, podemos transferir estos roles a un servidor Zentyal unido al dominio. Desde el directorio /usr/share/zentyal-samba ejecutamos: @zentyal:/usr/share/zentyal-samba$ sudo ./ad-migrate WARNING: This script will transfer all FSMO roles from the current owners to the local server. After all roles has been successfully transferred, you can shutdown the other domain controllers.

183


Do you want to continue [Y/n]? Y Checking server mode... Checking if server is provisioned... Synchronizing sysvol share... syncing [SYSVOL] files and directories including ACLs, without DOS Attributes Transferring Transferring Transferring Transferring Transferring Transferring

FSMO roles... Schema Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default-First-S Domain Naming Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=DefaultPDC Emulation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=DefaultRID Allocation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default Infrastructure Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default

Migrated successfully!

De ahora en adelante, Zentyal será el único controlador crítico para el dominio y todas los servicios de dominio seguirán funcionando incluso si apagamos los demás controladores, exceptuando consideraciones de red y escalabilidad.

..

L  Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta versión antes de planificar el dominio: Sólo un dominio, en un único bosque, Samba no soporta múltiples dominios ni múltiples bosques El nivel funcional tanto del dominio como del bosque ha de ser mínimo 2003 R2 y máximo 2008 R2 El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS se genera a partir de la parte izquierda del nombre de dominio, por ejemplo, si el nombre de host es ‘zentyal’, el nombre de dominio no puede ser ‘zentyal.lan’, pero si ‘zentyal-domain.lan’ Las relaciones de confianza entre dominios y bosques no están soportadas Las GPO se sincronizarán automáticamente, pero puede configurarse a mano siguiendo este tutorial del proyecto Samba: https://wiki.samba.org/index.php/Rsync_based_SysVol_replication_workaround No se soportan s con nombres no-ASCII (tildes, eñes, guión)

. ..

E  E  A Crear un grupo en Zentyal llamado contabilidad. Para ello: A ) ACCIÓN Activar el módulo s y Equipos. Entrar en Estado de los módulos y activar el módulo en caso de que no esté habilitado. Efecto: El módulo está activado y listo para ser usado. B ) ACCIÓN Acceder a s y Equipos → Gestionar. Añadir contabilidad como grupo. El parámetro comentario es opcional. Pulsar Añadir.

184

Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato.

..

E  B Crear el pedro y añadirlo al grupo contabilidad. Para ello: A ) ACCIÓN Acceder a s y Equipos → Gestionar. Hacer clic en la OU de s y en el icono con la cruz verde. Rellenar los distintos campos para nuestro nuevo . Se puede añadir al pedro al grupo contabilidad desde esta pantalla. Pulsar Añadir. Efecto: El ha sido añadido al sistema y al grupo contabilidad. Se puede comprobar desde la lista de s.

.

C      Z Una vez que hayamos activado el módulo s, Equipos y Ficheros (ya sea como Controlador de dominio o como Controlador Adicional del dominio), el servidor podrá ofrecer la funcionalidad de un servidor de ficheros SMB/CIFS. Por defecto cada de LDAP tiene un directorio personal /home/<nombredelservidor> en el servidor. Si el módulo está activado, el directorio será accesible al (y sólo al ) usando SMB/CIFS. Adicionalmente, si es un cliente Windows unido al dominio, este directorio se montará automáticamente como el volumen H:. Para crear un nuevo directorio compartido, accederemos a Compartición de Ficheros, tab de Directorios compartidos y seleccionaremos Añadir nuevo.

185


Figura 4.21: Añadiendo directorio compartido

HABILITADO: Por defecto activado, se está compartiendo este directorio, Podemos

desmarcarlo para dejar de compartir. NOMBRE DEL RECURSO COMPARTIDO: El nombre de esta carpeta compartida para

nuestros s. RUTA DEL RECURSO COMPARTIDO: Ruta en el sistema de ficheros donde se encuen-

tra el recurso, por defecto dentro de /home/samba/shares, o especificar un directorio diferente usando Ruta del sistema de ficheros. COMENTARIO: Descripción más detallada del contenido del recurso. DE INVITADO: Activando esta opción será posible acceder al directorio sin

autenticación previa. Las demás políticas de asociadas a esta carpeta serán ignoradas. APLICAR LAS ACLS RECURSIVAMENTE: También reemplaza los permisos en todos los

subdirectorios del nuevo recurso compartido.

186

Figura 4.22: Lista de carpetas compartidas

Los directorios compartidos pueden ser gestionados accediendo a Control de . Usando el botón Añadir nuevo, podemos asignar permisos de lectura, lectura escritura o a s y grupos. Si un es el de un directorio compartido, puede leer, escribir y borrar cualquier fichero dentro de ese directorio. TRUCO: La diferencia entre el perfil de y “leer y escribir”, es que a este último se le pueden restringir posteriormente los permisos en las subcarpetas.

Figura 4.23: Añadiendo una nueva ACL (Lista de control de )

Si deseamos almacenar los ficheros eliminados en un directorio especial, llamado Papelera de Reciclaje, podemos marcar la opción Habilitar papelera de reciclaje desde el tab Papelera de reciclaje. Si no necesitamos activar esta característica para todos los recursos compartidos, podemos añadir excepciones con la lista Excluir de la papelera de reciclaje. Otras características de esta opción, como el nombre del directorio pueden ser modificadas desde el fichero /etc/zentyal/samba.conf.

187


Figura 4.24: Papelera de reciclaje

SMB/CIFS es un protocolo de compartición de ficheros que puede ser usado de forma nativa en cualquier cliente Windows, la mayoría de distribuciones de Linux, y usando aplicaciones dedicadas también en Android™ o iOS. Además de esto, el servicio de Compartición de ficheros está estrechamente integrado con el subsistema de Kerberos (Ver Autenticación con Kerberos más abajo), lo que significa que si los s se han unido al dominio o han conseguido el ticket principal de Kerberos de cualquier otro modo, las ACL explicadas más arriba se aplicarán sin necesidad de intervención del .

. ..

E  E A Crear el pedro y acceder a su directorio compartido.

..

E B Crear el raquel y añadirlo al grupo contabilidad. Crear un recurso compartido en el grupo contabilidad llamado contabilidad. Conectar a este recurso con el pedro y subir un fichero. Ahora conectar con el raquel y comprobar que se puede leer/escribir el fichero que ha subido pedro.

188

..

E C Unir un cliente Windows a tu dominio Zentyal, comprobar que el nombre de host aparece en el árbol de LDAP.

..

E D Crear un recurso compartido llamado prueba. Asignar permisos de lectura/escritura a pedro y de a raquel. Conectar como pedro y subir un fichero. Ahora conectar como raquel y comprobar que se puede borrar el fichero que ha subido pedro.

..

E E Unir el servidor Zentyal a un servir Windows, comprobar que es posible crear nuevos s y OU en ambos servidores y la información se replica en ambas direcciones.

..

E F Usando un cliente Windows unido al dominio, usar el comando ‘klist’ para ver los tickets de Kerberos, configurar un Proxy HTTP no transparente con soporte para Kerberos activables. Comprobar con ‘klist’ que se ha recibido el ticket de HTTPProxy.

189


.

P   PREGUNTA 1 Si deseamos crear una GPO para instalar software en nuestros clientes

Windows unidos al dominio A ) No es posible si sólo tenemos un servidor Zentyal B ) Instalaremos las herramientras RSAT en un cliente Windows, iniciaremos sesión como el del dominio y crearemos la GPO C ) Podemos sincronizar esta GPO desde un servidor Windows si nuestro Zentyal es un controlador adicional mediante configuración manual D ) a) y c) son opciones válidas PREGUNTA 2 Para que los s de Active Directory puedan conectarse por SSH al

servidor Zentyal habilitaremos A ) Keberos B ) PAM C ) LDAP D ) no es posible PREGUNTA 3 La ruta por defecto donde se almacenan los datos de las carpetas com-

partidas es A ) /var/lib/samba/shares B ) /home/samba/shares C ) /usr/share/samba D ) /usr/share/zentyal

190

Capítulo

5

ZENTYAL COMMUNICATIONS

.

I En este apartado se van a ver los diferentes servicios de comunicación integrados en Zentyal, que permiten una gestión centralizada de las comunicaciones de una organización. Con una misma contraseña, nuestros s podrán disponer de todos estos servicios. Primeramente se describe el servicio de correo electrónico, que permite una integración rápida y sencilla con el cliente de correo habitual de los s de la red, ofreciendo servicios para la prevención del correo basura y virus. El correo electrónico desde su popularización ha adolecido del problema del correo no deseado, enviado en masa, muchas veces con el fin de engañar al destinatario para extraer dinero de maneras fraudulentas, otras simplemente con publicidad no deseada. También veremos como filtrar el correo entrante y saliente de nuestra red para evitar tanto la recepción de estos correos no deseados como bloquear el envío desde algún posible equipo comprometido de nuestra red. Además de implementar los protocolos de correo estándar, se integra la solución de groupware SOGo, que proporciona tanto al correo, os y calendario via Web, como el protocolo ActiveSync para la sincronización con clientes móviles. Explicaremos finalmente el servicio de mensajería instantánea corporativa, usando el estándar Jabber/XMPP. Éste nos evita depender de proveedores externos o de la conexión a Internet y garantiza que las conversaciones se mantendrán confidenciales, sin que los datos pasen por manos de terceros. Este servicio ofrece salas de conferencia comunes y permite, mediante la utilización de cualquiera de los múltiples clientes disponibles, una comunicación escrita síncrona, mejor adaptada para ciertos casos en los que el correo electrónico no es suficiente.

. ..

S    SMTPPOP-IMAP I      El servicio de correo electrónico, o en inglés e-mail (electronic mail) es un servicio de red que facilita a sus s el envío o recepción de mensajes, con o sin documentos digitales adjuntos, mediante sistemas electrónicos de comunicación. Su conveniencia y bajo coste lo han convertido en uno de los principales medios de comunicación entre s de Internet.

191

CAPÍTULO 5 ZENTYAL COMMUNICATIONS

Originalmente, el email se mandaba directamente de una computadora a otra, lo que requería que ambas estuvieran encendidas al mismo tiempo para enviar el mensaje. De hecho el servicio de email es más antiguo que Internet en sí mismo, siendo usado en las primeras redes de computadoras. Los sistemas de email actuales almacenan temporalmente el contenido en servidores que reenvían a los clientes cuando estos se conectan. Los correos electrónicos se intercambian usando SMTP Simple Mail Transfer Protocol (ó protocolo simple de transferencia de correo). Existen multitud de programas clientes de correo electrónico disponibles en todos los sistemas operativos, como Thunderbird®  o Microsoft Outlook®. Al ser un sistema de comunicación tan extendido y tan antiguo, también ha sido frecuentemente objeto de software malicioso, como medio de infección de virus y gusanos, así como de propagación del conocido spam (Correo basura, conteniendo publicidad no deseada o estafas). Zentyal usa varios servidores de correo libres como PostFix, Dovecot o la utilidad Fetchmail, que se comentarán más adelante, junto con las referencias a las páginas principales de los proyectos. Existen varios tipos de protocolos de correo: POP3 (POST OFFICE PROTOCOL VERSION 3) : Es uno de los más comúnmente utili-

zados y el soportado por un mayor número de clientes y servidores. Básicamente define los mecanismos para la obtención y borrado de mensajes alojados en un servidor remoto. Está orientado a la gestión local del correo, mientras que el servidor simplemente se encarga de guardarlo hasta que el cliente lo solicita. Utiliza el puerto 110 y el 995 para conexiones seguras sobre SSL. IMAP (INTERNET MESSAGE ACCESS PROTOCOL) : Este protocolo también es amplia-

mente soportado por los clientes de correo. A diferencia de POP3, está orientado a la gestión remota de buzones de correo, haciéndolo bastante más complejo, pero permitiéndole ya no solo ofrecer servicios de descarga y borrado, si no que también guarda estados de los correos, permite tener varios buzones de correo por y que varios clientes gestionen simultáneamente el mismo buzón, entre otras muchas características. IMAP utiliza el puerto 143 y sus versiones seguras IMAPS el 993 SSL/TLS. SMTP (SIMPLE MAIL TRANSFER PROTOCOL) : Si los protocolos comentados ante-

riormente se encargaban de la comunicación de los clientes con sus correos alojados en los servidores, es decir, de la recepción final de los correos y su gestión, SMTP es el protocolo encargado del envío de correos hacia los servidores y de los servidores entre ellos. Es prácticamente el único usado para esta tarea y uno de los protocolos más antiguos todavía en uso. Utiliza el puerto 25 y su versión segura sobre SSL el 587/STARTTLS. Iremos hablando de estos protocolos y del software que los implementa a lo largo de todo el capítulo. F    Los agentes que intervienen en el correo electrónico son: El MUA Mail Agent: Cliente de correo electrónico del , capaz de comunicarse con el MDA y el MTA. El MTA Mail Transfer Agent: Software encargado de la retransmisión del correo entre máquinas, por ejemplo, la transmisión del correo electrónico entre el servidor de nuestra empresa y el servidor remoto que gestiona la cuenta del destinatario.  Mozilla Thunderbird :https://www.mozilla.org/es-ES/thunderbird/features/ 192

El MDA Mail Delivery Agent: Software encargado de la entrega de mensajes al MUA del cliente. El siguiente diagrama muestra una secuencia típica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail Agent con destino la dirección de correo de su destinatario, Bob.

Figura 5.1: Diagrama correo electrónico Alice manda un correo a Bob

Las acciones que se llevan a cabo son las siguientes: A ) Su MUA da formato al mensaje y usa el protocolo Simple Mail Transfer Protocol (SMTP) que envía el mensaje a su agente de envío de correos o Mail Transfer Agent  (MTA). B ) El MTA examina la dirección destino dada por el protocolo SMTP, en este caso [email protected], y hace una solicitud al servicio de nombres para conocer la IP del servidor de correo del dominio del destino (registro MX o Mail eXchanger record ). C ) El servidor smtp.a.org envía el mensaje a mx.b.org usando SMTP, el MDA almacena el mensaje en el buzón del bob. D ) Bob obtiene el correo a través de su MUA, que recoge el correo comunicándose con el MDA mediante el protocolo Post Office Protocolo 3 (POP3). Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail. Por tanto, podemos ver como el envío y recepción de correos entre servidores de correo se realiza a través de SMTP pero la obtención de correos por parte del se realiza a través de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. También existen protocolos propietarios como los que usan Microsoft® Exchange Server o Lotus Notes de IBM. POP  IMAP El diseño del protocolo POP3 para recoger los mensajes del servidor de correo suele ser la mejor opción para escenarios con recursos limitado, puesto que permite a los  http://en.wikipedia.org/wiki/Message_transfer_agent  http://en.wikipedia.org/wiki/MX_record

193


s recoger todo el correo de una vez para después verlo y manipularlo sin necesidad de estar conectado y sin que el servidor tenga que realizar ninguna acción. Estos mensajes, normalmente, se borran del buzón del en el servidor, aunque actualmente la mayoría de MUAs permiten mantenerlos. En cambio el protocolo IMAP, más complejo, permite trabajar en línea o desconectado además de sólo borrar los mensajes depositados en el servidor de manera explícita. Adicionalmente, permite que múltiples clientes accedan al mismo buzón o realicen lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, debido a su complejidad añade una carga de trabajo mayor en el lado del servidor que POP3. Las ventajas principales de IMAP sobre POP3 son: Dispone de modo de operación conectado y desconectado. Permite que varios clientes permanezcan conectados simultáneamente al mismo buzón. Posibilita la descarga parcial de correos. Proporciona información del estado del mensaje usando banderas (leído, borrado, respondido, ...). Gestiona varios buzones en el servidor (el los ve como simples carpetas) pudiendo configurarlos como buzones públicos. Facilita la realización de búsquedas en el lado del servidor. Dispone de mecanismos de extensión incluidos en el propio protocolo. Zentyal usa como MTA para el envío/recepción de correos Postfix . Así mismo, para el servicio de recepción de correos (POP3, IMAP) Zentyal usa Dovecot . Ambos con soporte para comunicación segura con SSL. Por otro lado, para obtener el correo de cuentas externas, Zentyal usa el programa Fetchmail  . Para profundizar en el conocimiento de los protocolos de correo comentados hasta ahora se recomienda la lectura de los enlaces de esta sección. Para aprender cómo configurar un servidor de correo mediante línea de comandos en Linux se recomienda la lectura correspondiente en la documentación de comunidad de Ubuntu Server (en inglés) .

..

C    SMTPPOP-IMAP  Z R    Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida, de otra manera los spammers podrían usar el servidor para enviar spam en Internet. Zentyal permite la retransmisión de correo en dos casos:  Postfix The Postfix Home Page http://www.postfix.org .  Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .  http://fetchmail.berlios.de/  https://help.ubuntu.com/community/MailServer

194

A ) s autenticados B ) Una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión permitida. C  En la sección Correo → General → Opciones del servidor de correo se pueden configurar los parámetros generales del servicio de correo:

Figura 5.2: Configuración general del correo

SMARTHOST AL QUE ENVIAR EL CORREO: Si se establece esta opción, Zentyal no en-

viará directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuará como un intermediario entre el que envía el correo y el servidor que enviará finalmente el mensaje. En el campo se especifica la dirección IP o nombre de dominio del smarthost. También se puede establecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto por defecto es el puerto estándar SMTP, 25. AUTENTICACIÓN DEL SMARTHOST: Determina si el smarthost requiere autentica-

ción y si es así provee un y contraseña. NOMBRE DEL SERVIDOR DE CORREO: Determina el nombre de correo del sistema;

será usado por el servicio de correo como la dirección local del sistema. DIRECCIÓN DEL POSTMASTER: La dirección del postmaster por defecto es un alias

del super (root) pero puede establecerse a cualquier dirección, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta está pensada para tener una manera estándar de ar con el de correo. Correos de notificación automáticos suelen usar postmaster como dirección de respuesta. 195


TAMAÑO MÁXIMO PERMITIDO DEL BUZÓN DE CORREO: En esta opción se puede indi-

car un tamaño máximo en MiB para los buzones del . Todo el correo que exceda el limite será rechazado y el remitente recibirá una notificación. Esta opción puede sustituirse para cada en la página s y Equipos -> Gestionar. TAMAÑO MÁXIMO DE MENSAJE ACEPTADO: Señala, si es necesario, el tamaño máxi-

mo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin importar la existencia o no de cualquier límite al tamaño del buzón de los s. PERIODO DE EXPIRACIÓN PARA CORREOS BORRADOS: Si esta opción está activada el

correo en la carpeta de papelera de los s será borrado cuando su fecha sobrepase el límite de días establecido. PERIODO PARA CORREOS DE SPAM: Esta opción se aplica de la misma manera que la

opción anterior pero con respecto a la carpeta de spam de los s. TRUCO: A la hora de configurar un servidor de correo es muy importante configurar el nombre o hostname del servidor. Este debe ser un FQDN (Fully Qualified Domain Name), es decir, un nombre de dominio completo, por ejemplo amy.zentyal.com. Si esto no se configura correctamente es muy probable que muchos servidores de correo electrónico rechacen nuestros emails pues en caso de fallo en el envío al buzón no sabrían ar con el servidor de origen para devolverlo.

Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de obtención de correo. Zentyal puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarán a partir de la sección fetchmail-sec-ref. También se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una política de reenvío con objetos de red de Zentyal a través de Correo → General → Política de retransmisión para objetos de red basándonos en la dirección IP del cliente de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier miembro de dicho objeto podrá enviar correos a través de Zentyal.

Figura 5.3: Política de retransmisión para objetos de red

ADVERTENCIA: Hay que tener cuidado con usar una política de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá en una fuente de spam.

Finalmente, se puede configurar el servidor de correo para que use algún filtro de

196

contenidos para los mensajes . Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A través de Correo → General → Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar Zentyal como servidor de filtrado. En caso de que el módulo de filtrado de Zentyal esté instalado y activado, no necesitaremos configurar esta sección, ya que se utilizará automáticamente por el módulo de mail.

Figura 5.4: Opciones del filtrado de correo

C          Para crear una cuenta de correo se debe tener un creado y un dominio virtual de correo. Desde Correo → Dominios virtuales de correo, se pueden crear tantos dominios virtuales como queramos, asignando un nombre de dominio a las cuentas de correo de los s de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.

Figura 5.5: Dominios virtuales de correo

Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros, acudimos a s y Equipos → Gestionar, seleccionaremos un y añadiremos una cuenta de correo.  En la sección mailfilter-sec-ref se amplia este tema.

197


Figura 5.6: Configuración del correo para un

Hay que tener en cuenta que se puede decidir si se desea que a un se le cree automáticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede ser configurado en s y Equipos -> Plantilla de , Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los s del grupo con cuenta de correo. Los alias de grupo son creados a través de s y Equipos → Gestionar, seleccionar el nodo del grupo y Crear un alias de cuenta de correo al grupo. Los alias de grupo están sólo disponibles cuando, al menos, un del grupo tiene cuenta de correo. Finalmente, es posible definir alias hacia cuentas externas, esto es, cuentas de correo en dominios no gestionados por el servidor. El correo enviado a un alias será retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo → Dominios Virtuales → Alias a cuentas externas. R      F En el caso de que nuestros s tengan cuentas de correo externas que quieran mantener, por ejemplo de algun trabajo anterior, en Zentyal existe una opción para usar Fetchmail  como cliente de correo adicional para los s de dominio. La opción para activar Fetchmail en Zentyal está disponible a través de Correo → General → Opciones del servidor de correo en el apartado de Servicios de obtención de correo, en la parte inferior se puede seleccionar la opción Recibir correo electrónico desde cuentas externas. Una vez activada la opción, se guardan los cambios, y después se configura la cuenta externa desde s y Equipos → Gestionar. Se selecciona el y al final de la configuración, en Características de la cuenta de correo, se incluyen los datos de la cuenta externa:  http://www.fetchmail.info/

198

Figura 5.7: Recibir correos desde cuentas externas

G   Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido enviados con la información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). También hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.

Figura 5.8: Gestión de cola

L S   MS El lenguaje Sieve  permite el control al de cómo su correo es recibido, permitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo  Para más información sobre Sieve http://sieve.info/ .

199


automáticamente con un mensaje por ausencia prolongada (o vacaciones). ManageSieve es un protocolo de red que permite a los s gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo . Para usar ManageSieve en Zentyal debes activar el servicio en Correo→ General → Opciones de servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los s con cuenta de correo. La autenticación en ManageSieve se hace con la cuenta de correo del y su contraseña. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve está activado o no. P  MS Para conectar a ManageSieve desde el cliente, se necesitan los siguientes parámetros: SERVIDOR SIEVE: El mismo que tu servidor IMAP o POP3. PUERTO: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error

el puerto número 2000 como puerto por defecto para ManageSieve. CONEXIÓN SEGURA: Activar esta opción. NOMBRE DE : Dirección de correo completa, como anteriormente evitar

el nombre de o cualquiera de sus alias de correo. CONTRASEÑA: Contraseña del . Algunos clientes permiten indicar que se

va a usar la misma autenticación que para IMAP o POP, si esto es posible, hay que seleccionar dicha opción. C      Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. En Zentyal se permite definir una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo → Dominios Virtuales y después hacer clic en la celda Opciones. Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO ó BCC) a la dirección definida. Si la dirección rebota el correo, será devuelto al remitente, por lo que podrá ver el CC en este caso.

..

C     A no ser que los s sólo usen el correo a través del módulo de de correo web o a través de la aplicación de correo de groupware, deberán configurar su cliente de correo para usar el servidor de correo de Zentyal. El valor de los parámetros necesarios dependerá de la configuración del servicio de correo. Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nombres para estos parámetros, por lo que debido a la multitud de clientes existente esta sección es meramente orientativa.  Para tener una lista de clientes Sieve http://sieve.info/clients .

200

P SMTP SERVIDOR SMTP: Introducir la dirección del servidor Zentyal. La dirección puede

ser descrita como una dirección IP o como nombre de dominio. PUERTO SMTP: 25, o alternativamente 587. SMTP: Como nombre de se debe usar la dirección de correo com-

pleta del ; no uses su nombre de o alguno de sus alias de correo. Esta opción sólo es obligatoria si está habilitado el parámetro Exigir autenticación, lo cual es el caso habitual. CONTRASEÑA SMTP: La contraseña del .

P POP Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en Zentyal. SERVIDOR POP3: Introducir la dirección de Zentyal de la misma manera que la sec-

ción de parámetros SMTP. PUERTO POP3: 110, o 995 en el caso de usar POP3S. CONEXIÓN SEGURA: Selecciona SSL en caso de que se use POP3S, ninguno si se usa

POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL. POP3: Dirección de correo completa del ; no se debe usar ni el

nombre de ni ninguno de sus alias de correo. CONTRASEÑA POP3: La contraseña del .

P IMAP Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo. SERVIDOR IMAP: Introducir la dirección de Zentyal de la misma manera que la sec-

ción de parámetros SMTP. PUERTO IMAP: 443, o 993 en el caso de usar IMAPS. CONEXIÓN SEGURA: Seleccionar SSL en caso de que se use IMAPS, ninguno si se

utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece más adelante sobre TLS/SSL. IMAP: Dirección de correo completa del ; no se debe usar ni el

nombre de ni ninguno de sus alias de correo. CONTRASEÑA IMAP: La contraseña del .

ADVERTENCIA: En las implementaciones de los clientes de correo a veces hay confusión sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con TLS; otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona correctamente. Más información sobre http://wiki.dovecot.org/SSL .

este

tema

en

el

wiki

de

Dovecot,

201


C  O Vamos a ver como se aplican esos parámetros en un caso real. Para ello vamos a configurar un cliente de email, en este caso Microsoft Outlook®. Para configurar Outlook, accedemos a Herramientas → Cuentas. Aparecerá una ventana con varias pestañas, a nosotros nos interesa seleccionar la de Correo.

Figura 5.9: Configuración de cuentas

Pulsamos sobre agregar y seleccionamos Correo, primero deberemos introducir nuestro nombre.

Figura 5.10: Nombre de la cuenta

En el siguiente paso se ha de introducir la dirección de mail a la que se desea conectar el cliente.

202

Figura 5.11: Dirección de mail

En el siguiente paso se han de introducir las direcciones de los servidores, de correo entrante y saliente. Para el correo entrante se pueden configurar tres protocolos: POP3, IMAP y HTTP.

Figura 5.12: Direcciones de los servidores de correo

Una vez introducidos los datos de los servidores al pulsar Siguiente, veremos un apartado donde configurar el indicando el nombre de su cuenta y su contraseña.

203


Figura 5.13: Configuración del

Una vez finalizado este paso se muestra una última ventana de confirmación, al pulsar finalizar la cuenta de correo debería aparecer en el listado de cuentas.

Figura 5.14: Final del asistente de configuración

C  T En Ubuntu vamos a ver el mismo ejemplo pero configurando Thunderbird. La configuración de las cuentas se encuentra en el menú Archivo → Nuevo → Cuenta de correo.... Aparecerá una ventana que pide los siguientes datos: Nombre, Dirección de correo y Contraseña.

204

Figura 5.15: Nombre de la cuenta y datos básicos

Un vez introducidos, el propio Thunderbird intenta configurar el resto de los datos del cliente de correo. Si se quiere realizar la configuración de manera manual, se pude pulsar el botón Configuración manual.... Esto abre una ventana donde podemos introducir nosotros los valores.

Figura 5.16: Configuración manual

Añadiremos siempre el nombre de dominio en Nombre de (Thunderbird® lo omite por defecto). ADVERTENCIA: Si hemos escogido las versiones seguras (IMAPS, POP3S) de los protocolos de entrega de correo, es muy posible que la autodetección de Thunderbird® u otros clientes de correo no funcione correctamente. Esto es debido a que no reconocerán el certificado del servidor y se verán incapaces de continuar el proceso. En la siguiente imagen se detalla la configuración manual para este caso.

Los valores del correo entrante se pueden ajustar en la opción Configuración del servidor, donde se puede configurar el nombre del servidor y su puerto, el nombre del , la seguridad de la conexión (ninguna, STARTTLS o SSL/TLS) y si se va a usar identificación segura.

205


Figura 5.17: Parámetros del servidor de correo entrante

El correo saliente se puede configurar en la sección Servidor de salida (SMTP)

Figura 5.18: Servidores de correo saliente

Se selecciona la cuenta que se quiere configurar y se pulsa sobre Editar.... Se abre una ventana donde se pueden configurar varios parámetros, como el nombre del servidor y el puerto, si se usa contraseña y si la conexión tiene que ser segura.

206

Figura 5.19: Parámetros del servidor de correo saliente.

C      K Es posible configurar el cliente de correos para autenticarse automáticamente usando el servicio Kerberos , ver directory-ref. En la imagen se muestra la configuración específica para este caso en Thunderbird®. Un detalle a tener en cuenta para que esto funcione es que el dominio de autenticación de Keberos, por ejemplo ZENTYALDOMAIN.LAN tiene que coincidir (a excepción de las mayúsculas y minúsculas) con el dominio local, por ejemplo zentyal-domain.lan.

Figura 5.20: Cliente de correo con Kerberos

..

C  W Además de los s con el cliente nativo, puede resultar de gran utilidad contar con una plataforma basada en web desde donde poder acceder a todos nuestros correos electrónicos, calendarios y libretas de direcciones. Para este propósito, Zentyal integra SOGo 3.2, la última versión de la solución de Open Source Groupware . Para utilizar este módulo tan solo necesitaremos instalarlo y activarlo. Una vez hayamos activado el módulo, podemos acceder a nuestra plataforma web usando la URL https:// /SOGo/  http://es.wikipedia.org/wiki/Kerberos  http://sogo.nu 207


Accediendo a esta URL, podremos ver la pantalla principal de , desde la que podemos escoger también el idioma de la interfaz para este :

Figura 5.21: Pantalla de registro

En primer lugar se nos mostrará la sección de correo electrónico:

Figura 5.22: Correo electrónico

Usando los iconos que tenemos en la parte superior derecha de la interfaz, podemos acceder a la interfaz de calendarios:

208

Figura 5.23: Calendarios compartidos y eventos

Así como las libretas de os, desde donde podemos consultar la lista global (GAL, Global Address List), que contiene todos los s registrados en nuestro dominio, nuestras listas personales de os y crear listas de distribución para el correo electrónico

Figura 5.24: os y listas de distribución

..

S AS® El protocolo ActiveSync® es ampliamente utilizado para sincronizar dispositivos móviles y también en las útimas versiones de Microsoft® Outlook. Es necesario tener instalado el módulo de Webmail ya que este mismo software (SOGo) es el encargado de proporcionar la implementación del protocolo por medio de su paquete sogo-activesync. Tras haber instalado y habilitado el módulo, podremos activar la opción de ActiveSync desde Correo → ActiveSync en la interfaz de Zentyal. 209


Figura 5.25: Pasarela ActiveSync®

Los dispositivos accederán a ActiveSync® a través del servidor web de Zentyal, usando los puertos 80 y 443 (Con SSL) por defecto.

. ..

E  E  A Crear un dominio virtual para el correo. Crear una cuenta de y una cuenta de correo en el dominio creado para dicho . Configurar la retransmisión para el envío de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa. A ) ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activa el módulo Correo, para ello marcar su casilla en la columna Estado. Habilitar primero los módulos Red y s y Equipos si no se encuentran habilitados con anterioridad. Efecto: Zentyal solicita permiso para sobreescribir algunos ficheros y realizar algunas acciones. B ) ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a Zentyal para sobreescribirlos. C ) ACCIÓN Acceder al menú Correo → Dominio Virtual, pulsar Añadir nuevo, introducir un nombre para el dominio y pulsar el botón Añadir. Efecto: Zentyal nos notifica de que debemos salvar los cambios para usar el dominio. D ) ACCIÓN Guardar los cambios. Efecto: Ahora ya podemos usar el dominio de correo que hemos añadido. E ) ACCIÓN Acceder a s y Equipos → Gestionar, Añadir , rellenar sus datos y pulsar el botón Crear. Efecto: El se añade inmediatamente sin necesidad de salvar cambios. Aparece la pantalla de edición del recién creado. F ) ACCIÓN Solo si se ha deshabilitado la opción de crear cuentas de correo automáticamente en s y Equipos –> Plantilla de por defecto, plugin Cuenta de correo, escribir un nombre para la cuenta de correo del en la sección Crear cuenta de correo y pulsar el botón Crear. Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella. G ) ACCIÓN Acceder al menú Red → Objetos → Añadir nuevo. Escribir un nombre para el objeto y pulsar Añadir. Pulsar el icono de del objeto creado. Escribir de nuevo un nombre para el miembro, introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar Añadir.

210

Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz de Zentyal, pero no será persistente hasta que se guarden cambios. H ) ACCIÓN Acceder a Correo → General → Política de reenvío sobre objetos. Seleccionar el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir reenvío y pulsar el botón Añadir. Efecto: El botón Guardar Cambios estará activado. I ) ACCIÓN Guardar los cambios. Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado, que permitirá el envío de correos al exterior para ese origen. J ) ACCIÓN Configurar el cliente de correo seleccionado para que use Zentyal como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa. Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el buzón de la cuenta externa.

. ..

E  E A Enviar un correo utilizando la cuenta del creado en el ejercicio anterior, estableciendo también como destinataria dicha cuenta. Comprobar que se puede retirar el correo utilizando el protocolo POP3. Ahora configurarlo para que use Secure POP, para aumentar la seguridad en la recepción de los correos.

..

E B Habilitar el protocolo IMAP para el a los buzones de correo y comprobar su funcionamiento. Ahora configurarlo para que use Secure IMAP para aumentar la seguridad en la recepción de tus correos.

..

E C Enviar un correo como destinatario root@hostname sustituyendo la variable hostname por el nombre de la máquina que se haya configurado. Comprobar que el mensaje aparece en la cola de envíos pendientes.

..

E D Crear un alias del dominio virtual de correo anterior y un alias para la cuenta de correo del . Enviar un correo con destino dicha cuenta y comprobar que se recibe correctamente.

. ..

F    I      Los principales problemas en el sistema de correo electrónico son el spam y los virus. El spam, o correo electrónico no deseado, distrae la atención del que tiene que bucear en su bandeja de entrada para encontrar los correos legítimos. También genera una gran cantidad de tráfico que puede afectar al funcionamiento normal de la red y del servicio de correo, por no mencionar el potencial riesgo de fraude a nuestros s.

211


Los virus informáticos, aunque no afectan al sistema en el que está instalado Zentyal, si van adjuntos a un correo electrónico, pueden infectar otras máquinas clientes de la red. También podrían dar a un asaltante malicioso, que puede intentar conseguir privilegios en nuestras máquinas.

..

E      Z Para defendernos de estas amenazas, Zentyal dispone de un filtrado de correo potente y flexible.

Figura 5.26: Esquema del filtrado de correo en Zentyal

En la figura se observan los diferentes pasos que sigue un correo antes de determinarse si es válido o no. En primer lugar, el servidor envía el correo al gestor de políticas de listas grises, donde, si es considerado como potencial spam, se rechaza y se solicita su reenvío al servidor origen. Si el correo supera este filtro, pasará al filtro de correo donde se examinarán una serie de características del correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico. Si supera todos los filtros, entonces se determina que el correo es válido y se emite a su receptor o se almacena en un buzón del servidor. En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo se configuran en Zentyal. L  Las listas grises  se aprovechan del funcionamiento esperado de un servidor de correo dedicado a spam para que por su propio comportamiento nos ayude a descartar o no los correos recibidos o, al menos, dificultar su envío. Estos servidores están optimizados para poder enviar la mayor cantidad posible de correos en un tiempo mínimo. Para ello autogeneran mensajes que envían directamente sin preocuparse de si son recibidos. Cuando disponemos de un sistema de greylists (listas grises), los correos considerados como posible spam son rechazados, solicitando un reenvío, si el servidor es realmente un servidor spammer, probablemente no disponga de los mecanismos necesarios para manejar esta petición y por tanto el correo nunca llegará al destinatario. Por el contrario, si el correo era legítimo, el servidor emisor no tendrá problema para reenviarlo. En el caso de Zentyal, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiere enviarle un correo, Zentyal le respondera “Estoy fuera de servicio en este momento.”. Durante los primeros 300 segundos, por lo que el servidor  Zentyal usa postgrey (http://postgrey.schweikert.ch/) como gestor de esta política en postfix.

212

remitente lo intentará en otro instante , si el servidor remitente cumple la especificación reenviará el correo pasado ese tiempo y Zentyal lo apuntará como un servidor correcto. En Zentyal, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la lista blanca del antispam. El Greylist se configura desde Correo → Lista gris con las siguientes opciones:

Figura 5.27: Configuración de las listas grises

HABILITADO: Marcar para activar el greylisting. DURACIÓN DE LA LISTA GRIS (SEGUNDOS): Segundos que debe esperar el servidor

remitente antes de reenviar el correo. VENTANA DE RETRANSMISIÓN (HORAS): Tiempo en horas en el que el servidor re-

mitente puede enviar correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. TIEMPO DE VIDA DE LAS ENTRADAS (DÍAS): Días que se almacenarán los datos de los

servidores evaluados en la lista gris. Si pasan más de los días configurados sin que el servidor emisor sea visto de nuevo, cuando quiera volver a enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente. V   El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizar esta tarea, Zentyal usa un interfaz entre el MTA y dichos programas. Para ello, se usa el programa amavisd-new  para comprobar que el correo no es spam ni contiene virus. Además, Amavisd realiza las siguientes comprobaciones: Listas blancas y negras de ficheros y extensiones. Filtrado de correos con cabeceras mal-formadas. A El antivirus que usa Zentyal es ClamAV , el cual es un conjunto de herramientas antivirus especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a través del programa freshclam. Dicha base  Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista gris en espera de permitir el envío de correo o no pasado el tiempo configurado.  Amavisd-new: http://www.ijs.si/software/amavisd/  Clam Antivirus: http://www.clamav.net/

213


de datos se actualiza diariamente con los nuevos virus que se van encontrando. Además, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo comprimidos Zip, BinHex, PDF, etc. Se puede actualizar desde Gestión de Software, como veremos en Actualización de software. La instalación del módulo de antivirus es opcional, pero si se instala se podrá ver como se integra con algunos módulos de Zentyal, aumentando las opciones de configuración de la seguridad en diversos servicios, como el filtro SMTP o el proxy HTTP. A El filtro antispam asigna a cada correo una puntuación de spam, si el correo alcanza la puntuación umbral de spam es considerado correo basura, si no, es considerado correo legítimo. A este último tipo de correo se le suele denominar ham. El detector de spam usa las siguientes técnicas para asignar la puntuación: Listas negras publicadas vía DNS (DNSBL). Listas negras de URI que siguen los sitios Web de antispam. Filtros basados en el checksum de los mensajes, comprobando mensajes que son idénticos pero con pequeñas variaciones. Filtro bayesiano, un algoritmo estadístico que aprende de sus pasados errores a la hora de clasificar un correo como spam o ham. Reglas estáticas. Otros.  Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el análisis no se hace contra un conjunto estático de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes ham y spam al filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo. La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam, la desventaja es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del entrenamiento recibido. Zentyal usa SpamAssassin  como detector de spam. La configuración general del filtro se realiza desde Filtro de correo → Antispam:  Existe una lista muy larga de técnicas antispam que se http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail) (en inglés)  The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org.

214

puede

consultar

en

Figura 5.28: Configuración de antispam

UMBRAL DE SPAM: Puntuación a partir de la cual un correo se considera como

spam. ETIQUETA DE ASUNTO SPAM: Etiqueta para añadir al asunto del correo en caso de

que sea spam. USAR CLASIFICADOR BAYESIANO: Si está marcado se empleará el filtro bayesiano, si

no será ignorado. AUTO-LISTA BLANCA: Tiene en cuenta el historial del remitente a la hora de pun-

tuar el mensaje; si el remitente ha enviado mucho correo como ham es altamente probable que el próximo correo que envíe sea ham y no spam. AUTO-APRENDIZAJE: Si está marcado, el filtro aprenderá de los mensajes recibidos,

cuya puntuación traspase los umbrales de auto-aprendizaje. UMBRAL DE AUTO-APRENDIZAJE DE SPAM: Puntuación a partir de la cual el filtro

aprenderá automáticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam. UMBRAL DE AUTO-APRENDIZAJE DE HAM: Puntuación a partir de la cual el filtro

aprenderá automáticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor que 0. Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el filtro antispam (procesar). Los emisores no listados pasarán por los filtros configurados. Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un buzón de correo en formato Mbox  que únicamente contenga spam o ham.  Mbox y maildir son formatos de almacenamiento de correos electrónicos independientes del cliente de correo electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un directorio.

215


Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo con correo recibido en los lugares a proteger. Conforme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar un correo como basura o no. L      Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo → ACL por fichero (File Access Control Lists). Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sus tipos MIME.

Figura 5.29: Filtro de ficheros adjuntos

F  C SMTP Desde Filtro de correo → Filtro de correo SMTP se puede configurar el comportamiento de los filtros anteriores cuando Zentyal reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante:

Figura 5.30: Parámetros generales para el filtro SMTP

216

HABILITADO: Marcar para activar el filtro SMTP. ANTIVIRUS HABILITADO: Marcar para que el filtro busque virus. ANTISPAM HABILITADO: Marcar para que el filtro busque spam. PUERTO DE SERVICIO: Puerto que ocupará el filtro SMTP. NOTIFICAR LOS MENSAJES PROBLEMÁTICOS QUE NO SON SPAM: Podemos enviar no-

tificaciones a una cuenta de correo cuando se reciben correos problemáticos que no son spam, por ejemplo con virus. Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.

Figura 5.31: Políticas del filtrado SMTP

Por cada tipo de correo problemático, se pueden realizar las siguientes acciones: APROBAR: No tomar ninguna acción especial, dejar pasar el correo a su destina-

tario. Sin embargo, en algunos casos como spam o virus se indicará la detección modificando el Asunto del correo. NOTIFICAR A LA CUENTA DE CORREO EMISORA: Descartar el mensaje antes de que

llegue al destinatario, notificando al de correo remitente de que el mensaje ha sido descartado. NOTIFICAR AL SERVIDOR EMISOR DE CORREO: Descartar el mensaje antes de que lle-

gue al destinatario, notificando al servidor emisor que el mensaje ha sido descartado, es común que el servidor emisor avise a su vez al emisor con un mensaje automático Undelivered Mail Returned to Sender. DESCARTAR SIN NOTIFICAR: Descarta el mensaje antes de que llegue al destinatario

sin notificar al remitente ni a su servidor. Desde Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidas previamente. Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadir nuevo.

Figura 5.32: Parámetros de filtrado por dominio virtual de correo 217


Los parámetros que se pueden sobreescribir son los siguientes: DOMINIO: Dominio virtual que queremos personalizar. Tendremos disponibles

aquellos que se hayan configurado en Correo → Dominio Virtual. USAR FILTRADO DE VIRUS / SPAM: Si están activados se filtrarán los correos recibi-

dos en ese dominio en busca de virus o spam respectivamente. UMBRAL DE SPAM: Se puede usar la puntuación por defecto de corte para los co-

rreos spam, o un valor personalizado. CUENTA DE APRENDIZAJE DE *HAM* / *SPAM*: Si están activados se crearán las

cuentas ham@dominio y spam@dominio respectivamente. Los s pueden enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam, mientras que el correo enviado a spam@dominio será aprendido como spam. Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que sea obligatorio procesar desde Política antispam para el emisor.

..

L      Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden configurar las conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de correo que se ha configurado usando Zentyal. De la misma manera, se puede permitir a esos MTAs externos filtrar el correo de aquellos dominios virtuales externos a Zentyal que se permitan a través de esta sección. De esta manera, Zentyal puede distribuir su carga en dos máquinas, una actuando como servidor de correo y otra como servidor para filtrar correo.

Figura 5.33: Servidores de correo externos

..

E  E  A Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del módulo y activar el módulo filtro

de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los módulos red, cortafuegos y antivirus si no se encuentran habilitados con anterioridad. EFECTO: Zentyal solicita permiso para sobreescribir algunos ficheros.

218

2. ACCIÓN Leer los cambios de cada uno de los ficheros que van a ser modificados y

otorgar permiso a Zentyal para sobreescribirlos. EFECTO: Se ha activado el botón Guardar Cambios. 3. ACCIÓN Acceder al menú Filtro de Correo → Filtro de correo SMTP, marcar la casilla

Antivirus habilitado y pulsar el botón Cambiar. EFECTO: Zentyal nos avisa de que hemos modificado satisfactoriamente las opciones mediante el mensaje “Hecho”. 4. ACCIÓN Guardar los cambios. EFECTO: El filtro de correo ha sido activado con la opción de antivirus. 5. ACCIÓN Descargar el fichero http://www.eicar.org//eicar_com.zip, que

contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de Zentyal. Si se intenta descargar el archivo infectado a través de un proxy HTTP con antivirus es posible que se deniegue el . En tal caso, desactivar temporalmente el antivirus en el proxy HTTP. EFECTO: El correo nunca llegará a su destino porque el antivirus lo habrá descartado. Comprobar en el registro de correo que se ha descartado.

..

E  E A Activar el filtro de spam. Enviar correo y comprobar al recibirlo que las cabeceras de spamassassin están en el correo. E B Añadir una dirección a la lista de negra de spammers. Enviar un correo con esa dirección y comprobar el asunto del mensaje que se recibe. E C Activar el greylisting y tratar de enviar un correo desde una dirección externa a un buzón del servidor y ver como dicho correo ha sido pospuesto. Al cabo de unos cinco minutos con la configuración estándar se debería recibir el correo. E D Denegar el envío/recepción de correos electrónicos que incluyan un fichero adjunto comprimido con zip.

. ..

S    JXMPP I      La mensajería instantánea  (o IM por sus siglas en inglés) es un modo de comunicación en tiempo real y mediante mensajes de texto entre dos o más personas. Los  http://es.wikipedia.org/wiki/Mensajeria_instantanea

219


mensajes se envían entre dispositivos conectados a una misma red, como puede ser Internet. Además de la conversación básica entre dos s, la mensajería instantánea ofrece otras prestaciones como: Salas de conversación. Transferencia de ficheros. Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente). Pizarra compartida que permite ver y mostrar dibujos a los os. Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción de mensajes). En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ, AIM, MSN o Yahoo® Messenger cuyo funcionamiento es básicamente centralizado y propietario. Sin embargo, también existe Jabber/XMPP  que es un conjunto de protocolos y tecnologías que permiten el desarrollo de sistemas de mensajería distribuidos. Estos protocolos son públicos, abiertos, flexibles, extensibles, distribuidos y seguros. Aunque todavía siguen en proceso de estandarización, han sido adoptados por Facebook, Cisco o Google (para su servicio de mensajería Google Talk) entre otros. Zentyal usa Jabber/XMPP como protocolo de mensajería instantánea y el servidor XMPP ejabberd , integrando los s de la red con las cuentas de Jabber. Para profundizar en el conocimiento de Jabber/XMPP se recomienda acceder a la página de la XMPP Standards Foundation (en inglés) , que aglutina los esfuerzos de la comunidad de XMPP en la definición de extensiones al protocolo XMPP mediante un proceso de definición de estándares abiertos. ejabberd usa diferentes puertos por defecto: 5222 de T para la conexión de clientes. 5223 de T para la conexión segura por medio de SSL. 5269 para la interconexión entre servidores.

..

C    JXMPP  Z Para configurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en Estado del Módulo si el módulo s y Equipos está habilitado, ya que Jabber depende de él. Marcaremos la casilla Jabber para habilitar el módulo de Zentyal de Jabber/XMPP. Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientes parámetros:  http://es.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol  http://www.ejabberd.im/  http://xmpp.org/

220

Figura 5.34: Configuración general del servicio Jabber

DOMINIO JABBER: Especifica el nombre de dominio del servidor. Esto hará que las

cuentas de los s sean de la forma @dominio. TRUCO: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes.

SOPORTE SSL: Especifica si las comunicaciones (autenticación y mensajes) con el

servidor serán cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se especifique si se quiere usar SSL. CONECTARSE A OTROS SERVIDORES: Para que nuestros s puedan ar

con s de otros servidores externos. Si por el contrario queremos un servidor privado, sólo para nuestra red interna, deberá dejarse desmarcada. ACTIVAR SERVICIO DE MUC (CHAT MULTI ): Habilita las salas de conferen-

cias (conversaciones para más de dos s). HABILITAR EL SERVICIO STUN: Servidor que implementa un conjunto de métodos

para poder establecer conexiones entre clientes que se encuentran tras una NAT, por ejemplo para videoconferencias usando jingle. HABILITA EL SERVICIO DE PROXY SOCKS5: Servicio de proxy para conexiones T,

nos puede permitir el envío de ficheros entre clientes detrás de una NAT. ACTIVAR INFORMACIÓN VCARD: Leer la información de o en formato VCard.

221


HABILITAR LISTA COMPARTIDA: Añadir automáticamente como os a todos

los s de este servidor. TRUCO: las salas de conferencias residen bajo el dominio conference.dominio que como el Nombre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes también.

Para crear cuentas de de Jabber/XMPP iremos a s → Añadir para crear una nueva cuenta, una vez creada la cuenta de Jabber se activará por defecto. Para s existentes, Jabber se puede habilitar o deshabilitar en la configuración del . o a s → Editar si solamente queremos habilitar la cuenta de Jabber para un ya existente.

Figura 5.35: Configuración de cuenta Jabber de un

Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar si la cuenta está activada o desactivada. Además, podemos especificar si el en cuestión tendrá privilegios de . Los privilegios de permiten ver los s conectados al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un anuncio a todos los s conectados (broadcast).

..

C    J Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin, y Psi, aunque en caso de utilizar otro cliente distinto, los pasos a seguir serían muy similares. P Pidgin  es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Además de Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM,  Pidgin, the universal chat client . 222

MSN y Yahoo®. Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic Koala, pero todavía sigue siendo el cliente de mensajería más popular. En Ubuntu lo podemos encontrar en Internet → Cliente de mensajería instantánea Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá la ventana de gestión de cuentas tal como aparece en la imagen.

Figura 5.36: Ventana de gestión de cuentas en Pidgin

Desde esta ventana podemos tanto añadir cuentas como modificar y borrar las cuentas existentes. Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanzada. Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer lugar el protocolo XMPP. El Nombre de y Contraseña deberán ser los mismos que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de Zentyal. Opcionalmente, en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros os.

223


Figura 5.37: Añadir cuenta en Pidgin - configuración básica

En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está marcado, así que si hemos deshabilitado Soporte SSL deberemos seleccionar guilabel:Utilizar cifrado si es posible del desplegable y marcar Permitir autenticación en texto plano sobre hilos no cifrados.

224

Figura 5.38: Añadir cuenta en Pidgin - configuración avanzada

Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos aceptarlo o no.

Figura 5.39: Verificación de certificado SSL en Pidgin

P Psi  es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero, Psi es código abierto y compatible con Windows, Linux y Mac OS X. En este caso usaremos la versión para Windows.  Psi, The Cross-Platform Jabber/XMPP Client For Power s . 225


Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, tal y como aparece en la imagen. Seleccionaremos Usar una cuenta existente.

Figura 5.40: Configuración de cuenta en Psi

En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que es @dominio y la Contraseña. Este y contraseña deberán ser los mismos que la cuenta Jabber tiene en Zentyal. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber.

Figura 5.41: Psi propiedades de la cuenta

En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en Zentyal el Soporte SSL, debemos cambiar Permitir autenticación en claro a Siempre.

226

Figura 5.42: Propiedades de conexión en Psi

Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en el anterior paso.

Figura 5.43: Aviso sobre certificado SSL con Psi

La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemos publicado nuestra información personal en el servidor.

Figura 5.44: Mensaje de error en la primera conexión de Psi

Opcionalmente, podremos publicar información sobre nosotros aquí.

227


Figura 5.45: Información personal en Psi

Una vez publicada, este error no aparecerá de nuevo.

Figura 5.46: Conexión de Psi realizada con éxito

..

C    J El servicio Jabber MUC (Multi Chat) permite a varios s intercambiar mensajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir la entrada a s, requerir contraseña y muchas más están disponibles en las salas de Jabber. Para una especificación completa de las salas de conversación Jabber/XMPP se recomienda la lectura del documento XEP-0045 (en inglés) . Una vez que hayamos habilitado Habilitar MUC (Multi Chat): en la sección Jabber del menú de Zentyal, el resto de la configuración se realiza desde los clientes Jabber. Cualquiera puede crear una sala en el servidor Jabber/XMPP de Zentyal y el que la crea se convierte en el para esa sala. Este puede definir todos los parámetros de configuración, añadir otros s como moderadores o es y destruir la sala. Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omisión, todas las salas se destruyen poco después de que su último participante salga. Estas son llamadas salas dinámicas y es el método preferido para conversaciones de varios s. Por otra parte, las salas persistentes deben ser destruidas por uno de sus es y se utilizan habitualmente para grupos de trabajo o asuntos. En Pidgin para entrar en una sala hay que ir a os –> Unirse a una charla.... Aparecerá una ventana de Unirse a una charla preguntando alguna información como el Nombre de la sala, el Servidor que debería ser conference.[dominio], el y la Contraseña en caso de ser necesaria.  http://xmpp.org/extensions/xep-0045.html

228

Figura 5.47: Lista de amigos en Pidgin

Figura 5.48: Unirse a una charla con Pidgin

El primer en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar la Sala o Aceptar la Configuración por Omisión.

229


Figura 5.49: Crear una sala nueva con Pidgin

Si pulsamos Configuración de la Sala podremos configurar todos los parámetros de la sala. Esta configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación.

Figura 5.50: Configuración de la sala con Pidgin

Una vez configurada, estará lista para su uso y otros s podrán entrar en la sala.

230

Figura 5.51: Nueva sala creada con Pidgin

En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. Una ventana de Entrar en una Sala aparecerá preguntando algunos datos como el Servidor, que debería ser conference.[dominio], el Nombre de la Sala, el Nombre de y la Contraseña en caso de ser necesaria.

231


Figura 5.52: Entrar en una sala con Psi

Figura 5.53: Datos de la sala

El primer en entrar a una nueva sala la bloqueará y se le pedirá que la configure. En la esquina superior derecha hay un botón que despliega un menú contextual donde aparece la opción Configurar Sala.

Figura 5.54: Nueva sala creada con Psi

232

En Configuración de la Sala podremos configurar todos los parámetros de la sala.

Figura 5.55: Configuración de la sala con Psi

Una vez configurada, la sala está lista para su uso.

..

E  E  A Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que Zentyal y los clientes sean capaces de resolver. 1. ACCIÓN Acceder a Zentyal, entrar en Estado del Módulo y activar el módulo Jabber.

Cuando nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el botón Aceptar. EFECTO: Se ha activado el botón Guardar Cambios. 2. ACCIÓN Añadir un dominio con el nombre que hayamos elegido y cuya dirección

IP sea la de la máquina Zentyal, de la misma forma que se hizo en dns-chapter-ref. EFECTO: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP. 3. ACCIÓN Acceder al menú Jabber. En el campo Nombre de dominio, escribir el nom-

bre del dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios. EFECTO: Se ha activado el botón Guardar Cambios. 4. ACCIÓN Guardar los cambios. EFECTO: El servicio Jabber/XMPP ha quedado listo para ser usado.

..

E  E A Habilitar la cuenta Jabber para un de Zentyal y comprobar que podemos iniciar sesión en el servidor utilizando los datos apropiados. Asegurarse de que estamos utilizando la dirección IP de Zentyal como DNS primario para poder resolver el dominio correctamente.

233


E B Añadir como amigo a otro de nuestro servidor y comprobar que nos podemos comunicar con él. Comprobarlo también con una cuenta externa si nuestro servidor está conectado a la red Jabber global. E C Repetir lo realizado en los ejercicios anteriores pero utilizando SSL. Se establecerá el Soporte SSL del servidor a Obligatorio y comprobaremos que es necesario modificar la configuración del cliente para poder conectar. E D Habilitar el soporte para conferencias multi y conectar varios s a una misma sala. Para ello en Pidgin se puede hacer desde Amigos → Unirse a una charla.... La primera persona que entra en la sala es la encargada de crearla y configurarla.

234

.

P   PREGUNTA 1 Si tienes diferentes alias de correo para tu

A ) tendrás diferentes buzones de entrada para cada uno de los alias B ) recibirás un mail por cada uno de tus alias C ) recibirá el mail en el mismo buzón de entrada, independientemente de que alias ha usado el emisor D ) no es posible PREGUNTA 2 Los scripts de SIEVE se usan para

A ) configurar filtros para clasificar el correo en el lado del servidor B ) descargar los filtros automáticamente en tu cliente de correo C ) detectar spam, virus y otros problemas en tu correo D ) recibir automáticamente la configuración de tu cuenta de correo PREGUNTA 3 El encargado de enviar un correo electrónico desde el servidor saliente

hasta el servidor entrante es A ) IMAP B ) MTA C ) MDA D ) SOGo PREGUNTA 4 Si deseamos que todos nuestros s puedan chatear por IM sin ne-

cesidad de agregarse entre ellos individualmente A ) activaremos soporte de Kerberos para Jabber B ) añadiremos los s al grupo “Domain s” C ) añadiremos los s a un mismo grupo y habilitaremos la lista compartida en Jabber D ) desactivaremos el soporte para SSL y activaremos las VCard de Jabber

235


236

Capítulo

6

APÉNDICES

. ..

A A: E    VB A    Abstraer los recursos físicos de un equipo (U, memoria, discos, etc.) para simular un ordenador virtual es lo que conocemos como virtualización. A través de diversas técnicas, primero la virtualización por software, más tarde la paravirtualización y, por último, virtualización asistida por hardware, se consigue ejecutar simultáneamente más de un sistema en un mismo equipo físico. Dos conceptos que se han de tener muy claros, ya que aparecen continuamente en la literatura sobre virtualización, son los de sistema host y sistema guest. El host o anfitrión es el continente, la máquina que ejecutará el sistema de virtualización y sobre el que se ejecutarán las máquinas virtuales. Generalmente es una máquina física que funciona directamente sobre el hardware. El guest o invitado es el sistema contenido, es decir, la máquina virtualizada propiamente dicha que se ejecuta dentro de la plataforma de virtualización del host. Existen múltiples razones para la adopción de la virtualización; las más destacables son: Alta disponibilidad para los servicios de red o servidores. Ejecución de varios servicios o sistemas al mismo tiempo con el consiguiente ahorro de costes. Aislamiento de aplicaciones inseguras o en pruebas. Ejecución de aplicaciones para pruebas en diferentes entornos. Asignación de recursos y su monitorización en distintos servidores. Dos funcionalidades que llegaron gracias a la virtualización han sido los snapshots o imágenes instantáneas y las migraciones ininterrumpidas. Los snapshots consisten en realizar una copia exacta del estado de ejecución de una máquina (disco y memoria) para realizar una copia de seguridad o backup sin afectar a la continuidad del servicio o para poder efectuar cambios en la máquina como actualizaciones y pruebas teniendo la seguridad de que vamos a poder volver al estado anterior. Las migraciones ininterrumpidas nos permiten cambiar el hardware subyacente sin parar en ningún momento la ejecución de esa máquina virtual. Así podríamos migrar de un

237

CAPÍTULO 6 APÉNDICES

servidor a otro más potente, o con unas características distintas, sin padecer interrupciones en el servicio. Aunque existen muchas plataformas de virtualización (VMWare, QEMU, Xen, etc.), la plataforma de referencia que se usará en nuestra documentación y ejercicios será VirtualBox.

..

VB VirtualBox  originalmente fue desarrollado por Innotek, adquirida posteriormente por Sun Microsystems, más adelante absorbida por Oracle. Es un software de virtualización que aprovecha tanto técnicas por software como por hardware si están disponibles. Existen versiones para Linux, Solaris, Mac OS X y Windows XP/Vista/7/8/10, tanto para 32 como para 64 bits. Esta es la herramienta seleccionada como referencia en este manual debido a su sencillez de uso, a tener interfaz gráfica, a su velocidad, suficiente aún sin soporte hardware para virtualización y, como valor añadido, por disponer de una versión libre. C      VB Para instalar VirtualBox en nuestro sistema deberemos descargar el paquete adecuado para nuestro sistema operativo y arquitectura desde la página de descargas del proyecto .

Figura 6.1: Descargar VirtualBox

Vamos a explicar el caso de Ubuntu Xenial 16.04, pero los pasos serían similares en cualquier otro sistema operativo. En la página de descargas primero hemos de indicar el sistema operativo sobre el que vamos a instalar VirtualBox; en nuestro caso la opción seleccionada será VirtualBox X.Y.Z for Linux hosts. Descargamos la versión para Ubuntu 16.04 de la lista; la versión de 64 bits se etiqueta como AMD64 (no importa si la arquitectura de la máquina es Intel o AMD).  VirtualBox http://www.virtualbox.org/  http://www.virtualbox.org/wiki/s

238

Figura 6.2: Descargar VirtualBox para Linux

Si nuestro navegador está configurado para abrir los ficheros descargados automáticamente, bastará con que se inicie el instalador de paquetes que nos permitirá instalar la aplicación o actualizarla en caso de que ya esté instalada. Si no se abre automáticamente el instalador, bastará con que hagamos doble clic sobre el paquete descargado.

Figura 6.3: Instalando VirtualBox

Una vez abierto, pulsar el botón de instalar / reinstalar para realizar la instalación. Tras instalarse, podremos ejecutar la aplicación desde Aplicaciones → Herramientas del sistema → Oracle VM VirtualBox. La primera vez se nos pide que aceptemos la licencia.

Figura 6.4: Aceptación de licencia

239


Una lista de las máquinas virtuales que tenemos disponibles aparece a la izquierda mientras que las características de hardware, imágenes instantáneas y comentarios o notas sobre esta máquina aparecen en las pestañas de la derecha. En el menú Máquina → Nueva... podemos crear una nueva máquina virtual con un asistente:

Figura 6.5: Asistente de creación de nueva máquina virtual

Elegimos el nombre que le queremos dar a nuestra nueva máquina, el tipo de sistema operativo y su variante. El sistema operativo y su variante, especialmente entre sistemas Linux no tiene mayor importancia que describir las características de la máquina y designarle un icono representativo.

Figura 6.6: Nombre y sistema operativo de la máquina virtual

En el siguiente paso definiremos la cantidad de memoria RAM que asignaremos a la máquina virtual, en ningún caso una cantidad mayor que la memoria libre actual. Alrededor de 512 MB serán suficientes para una instalación básica de Zentyal, aunque se recomienda poner, al menos, 1024 MB, sobre todo si se van a probar herramientas con un alto consumo de memoria como puede ser el antivirus o algunas características del proxy. Este valor podrá modificarse posteriormente apagando la máquina virtual.

240

Figura 6.7: Asignación de memoria

A la hora de configurar el disco duro virtual que se conectará a la máquina virtual tenemos dos opciones, crear uno nuevo o seleccionar uno existente que hayamos bajado de los escenarios preparados para Zentyal, por ejemplo.

Figura 6.8: Disco duro virtual

En este momento optaremos por crear un nuevo disco dejando la utilización de un disco con Ubuntu preinstalado para un ejercicio posterior. Los discos duros virtuales pueden tener el tamaño fijo en el momento de su creación o este tamaño puede crecer dinámicamente a medida que vayamos escribiendo datos en el disco. Elegiremos la primera de las opciones del interfaz. Para el guest esta elección es irrelevante, pues verá el disco virtualizado como uno rígido normal elijamos la opción que elijamos. Sin embargo, en el host, un disco dinámicamente expandido resultará mucho más eficiente al no reservar inmediatamente el espacio libre del disco virtualizado.

241


Figura 6.9: Tipo de disco duro

Igual que anteriormente determinábamos el nombre y el tamaño de la memoria RAM para nuestra nueva máquina, lo mismo vamos a hacer para nuestro nuevo disco. Para una instalación de pruebas de Zentyal 10GB serán más que suficientes.

Figura 6.10: Tamaño del disco virtual

Confirmamos todos los pasos realizados y VirtualBox procede a generar la imagen del nuevo disco virtual.

Figura 6.11: Resumen y confirmación para generar un nuevo disco duro virtual

Ahora también confirmamos todos los pasos realizados para completar la máquina virtual.

242

Figura 6.12: Resumen y confirmación para crear la máquina virtual

Y nos aparece la ventana principal con nuestra máquina recién creada.

Figura 6.13: Aspecto que presenta VirtualBox

C      VB Es hora de que veamos algunas de las características avanzadas de VirtualBox adentrándonos en la configuración de la máquina virtual mediante el botón Configuración. Este botón sólo estará disponible con la máquina virtual apagada. En General, en la pestaña Básico podremos cambiar valores predefinidos anteriormente como el nombre, el sistema operativo y la versión del mismo.

Figura 6.14: Parámetros generales básicos de la máquina virtual 243


En la pestaña Avanzado se permite cambiar la configuración del portapapeles y el directorio donde residen las snapshots (Carpetas instantáneas).

Figura 6.15: Parámetros generales avanzados de la máquina virtual

En Sistema, pestaña Placa base, es donde podremos cambiar el tamaño de la Memoria base asignada y el Orden de arranque de los dispositivos, fundamental si queremos iniciar un instalador desde CD-ROM. También podremos habilitar características avanzadas de la BIOS virtualizada como APIC o EFI. Normalmente dejaremos estas opciones en su configuración predeterminada.

Figura 6.16: Configuración de la pantalla

En Pantalla podemos ajustar el tamaño de la memoria de vídeo. Cuanto mayor sea la resolución de pantalla que queramos para nuestra máquina virtual mayor será la memoria de vídeo que tengamos que asignar. Esta característica, así como la aceleración 3D no son muy importantes a la hora de virtualizar servidores, pues la interacción con éstos se realiza a través de la consola o el interfaz Web de Zentyal.

244

Figura 6.17: Configuración de pantalla

Desde la sección Almacenamiento podemos añadir, quitar o modificar los discos duros virtuales asignados a esta máquina, así como las unidades de CD/DVD-ROM e incluso montar imágenes ISO directamente añadiendo y seleccionando un Dispositivo CD/DVD.

Figura 6.18: Configuración de almacenamiento

Para ello, pulsaremos el icono de Agregar dispositivo CD/DVD del Controlador IDE. Aparecerá un disco Vacío; si pulsamos sobre él, nos aparecerá a la derecha su configuración, donde, desde el botón situado a la derecha del selector de Dispositivo CD/DVD accederemos al de medios virtuales. Ahí podremos añadir imágenes de CD o DVD pulsando en el botón Agregar y seleccionando el archivo de imagen. De un modo similar podremos crear, añadir o eliminar discos duros, partiendo de una nueva conexión del Controlador IDE o del Controlador SATA. Esta característica se describe más detalladamente en la sección Añadir un disco duro virtual adicional. Podremos liberar discos o imágenes pulsando el botón Liberar. Este es el momento de añadir la imagen ISO del instalador de Zentyal a nuestra colección y definirla como imagen a cargar en el lector de la máquina virtual.

245


Figura 6.19: Imagen ISO del instalador de Zentyal añadida

Podemos acceder al de medios virtuales desde Archivo → de medios virtuales.... Una vez instalado Zentyal será necesario eliminar la imagen ISO. Para ello basta con ir de nuevo a la sección Almacenamiento, pulsar con el botón derecho en la ISO y seleccionar Eliminar conexión. También podemos cambiar el orden de arranque como se ha comentado anteriormente para evitar que arranque de nuevo desde CD. El kernel de Zentyal usa PAE, una extensión de x86 32 bit para permitir más de 4GB de memoria , así que tendremos que habilitar esta opción en Sistema, Procesador, y marca Habilitar PAE/NX.

Figura 6.20: Habilitar PAE/NX

En Red se puede configurar la conectividad de la máquina virtual. Desde el interfaz gráfico podemos asignar hasta un máximo de 4 interfaces de red para cada máquina virtual, asignándoles un controlador, nombre y dirección de red. Existen varios modos de funcionamiento que condicionan lo que podemos hacer en la red. En modo NAT es posible acceder desde la máquina virtual a redes externas como Internet, pero no en sentido contrario. Este es el modo de red indicado para máquinas de escritorio. Sin embargo, para servidores virtualizados a los cuales queremos acceder también en el otro sentido (de la red externa a la máquina) deberemos usar el modo Adaptador sólo-anfitrión o el Adaptador puente. La diferencia entre ellos es que el Adaptador sólo-anfitrión crea una red para las máquinas virtuales sin necesidad de interfaz física, mientras que el Adaptador puente se conecta a una de las interfaces de red del  http://en.wikipedia.org/wiki/Physical_Address_Extension

246

sistema. El último modo, Red Interna, crea una red interna entre las máquinas virtuales.

Figura 6.21: Configuración de red

I  VB Desde la pestaña Instantáneas podemos gestionar las mismas en VirtualBox.

Figura 6.22: Pestaña de instantáneas

En principio tenemos un único estado Current State (estado actual). VirtualBox nos ofrece una serie de botones para acceder a las distintas funcionalidades: TOMAR INSTANTÁNEA: Crea una nueva instantánea. RESTAURAR INSTANTÁNEA: Restaura el estado de la instantánea seleccionada. ELIMINAR INSTANTÁNEA: Eliminar la instantánea seleccionada. MOSTRAR DETALLES: Muestra la descripción de una instantánea.

Cuando creamos una instantánea nueva podemos asignarle un nombre y una descripción de los cambios.

247


Figura 6.23: Nombre y descripción de la instantánea

Por cada instantánea que tomemos se creará un elemento hijo del estado actual que estemos ejecutando. De esta manera se puede llegar a desplegar un árbol de modificaciones.

Figura 6.24: Lista de instantáneas

A      Para añadir un disco duro virtual adicional a una de las máquinas virtuales existentes la seleccionaremos e iremos a Configuración y a la sección Almacenamiento. Primero seleccionaremos Controlador SATA y luego con el botón Agregar disco duro añadiremos un nuevo disco duro virtual. Para modificar la imagen de ese disco lo seleccionamos y con el botón a la derecha de Disco duro abriremos el de medios virtuales. Desde ahí con el icono Nuevo lanzaremos el asistente que nos permite crear un disco duro virtual como ya hicimos en la creación de la máquina virtual.

248

Figura 6.25: Configuración de VirtualBox

Figura 6.26: de medios virtuales de VirtualBox

Figura 6.27: Configuración de VirtualBox (disco añadido)

Una vez creado este nuevo disco duro virtual, lo seleccionaremos y pulsaremos Seleccionar. Ya sólo queda que guardemos los cambios con Aceptar. Al arrancar de nuevo esta máquina virtual podremos identificar un nuevo dispositivo con el que podremos trabajar como si se tratara de otro disco duro conectado a la máquina.

249


.

A B: E    Vamos a ver cómo desplegar escenarios de red algo más complejos que una máquina virtual con a Internet.

..

E : E ,   I,     Este primer escenario consistirá en un servidor Zentyal virtualizado con tres redes. La primera interfaz (típicamente eth0) conectará nuestro servidor con Internet, usando un Adaptador Puente con resolución DH. La segunda (eth1) es una interfaz Adaptador sólo-anfitrión, que conectará nuestro servidor con la máquina real. Esta red funcionará sobre la interfaz vboxnet0, creada por defecto. La tercera interfaz (eth2) conectará nuestro servidor con un cliente virtual, usando una conexión de tipo Red Interna. La primera red conectará el servidor con Internet, y su configuración será asignada por DH. La segunda red usará la interfaz vboxnet0 sobre el rango 192.168.56.0/24. Esta red se considera interna y Zentyal la usará para conectar con la máquina real. La tercera red usara la interfaz intnet, será considerada interna por Zentyal, y usará el rango 192.168.200.0/24. En este escenario y los siguientes se especifica como VM: la configuración de la interfaz que debemos establecer en el gestor de máquinas virtuales, VirtualBox en nuestro caso, y como ZENTYAL la configuración de la interfaz desde el punto de vista de Zentyal.

Figura 6.28: Diagrama del escenario 1

Ahora desde Configuración –> Red de la máquina virtual donde vayamos a instalar Zentyal conectaremos la primera interfaz a un Adaptador Puente. Tenemos que seleccionar también la interfaz de la máquina real que nos proveerá de conectividad a 250

Internet.

Figura 6.29: Configuración de red 1

TRUCO: Es importante saber a que interfaz de la máquina real estamos conectando para obtener conectividad a Internet. Un error frecuente es olvidar cambiar esta configuración cuando estamos trasladándonos con nuestro equipo de un entorno cableado a otro inalámbrico (por ejemplo de casa al trabajo). Si se experimentan problemas con la interfaz de Adaptador Puente, una interfaz de tipo NAT puede resultar más fiable y es suficiente para resolver la gran mayoría de los ejercicios.

Configuraremos la segunda interfaz como Adaptador sólo anfitrión, asociada a la interfaz vboxnet0. En caso de que vboxnet no exista, podemos crearla desde Archivo –> Preferencias –> Red en VirtualBox, pulsando sobre el icono donde aparece una tarjeta de red y un símbolo +.


Configuraremos la tercera interfaz como Red Interna, con nombre intnet. El nombre es relevante en VirtualBox, si dos máquinas virtuales tienen diferentes nombres para sus redes internas, no se considerará que existe conexión.

251



..

E : V   Este escenario es idéntico que el escenario primero pero añadiéndole otra red virtual con el rango 192.168.199.0/24 a la que vamos a denominar intnet2.


Esta interfaz es de tipo red interna y se crea de manera similar a la del escenario anterior, pero asociada a la cuarta interfaz.

252


..

E : V    El siguiente escenario está pensado para despliegues o ejercicios donde contamos con más de una puerta de enlace, lo que nos permite aprovechar las capacidades de balanceo, tolerancia a fallos, reglas multigateway, etc...


Para ello, modificaremos la primera interfaz de red, cambiándola a modo NAT. Activaremos la cuarta interfaz en VirtualBox y la configuraremos de igual manera.

253




Configurando después eth0 y eth3 en Zentyal como Externa y método DH conseguiremos que desde el punto de vista de Zentyal existan dos puertas de enlace diferenciadas para alcanzar Internet.

..

E : E  +   Este escenario es muy similar al escenario 1, pero contaremos con un cliente adicional, que no sale a Internet a través de Zentyal, como en el caso del cliente situado en eth2, sino que puede ar con Zentyal a través de una red externa. Este escenario nos puede ser útil para comprobar la conectividad por VPN, o simplemente para probar el desde Internet a cualquiera de los servicios ofrecidos en Zentyal y permitidos en la sección Reglas de filtrado desde las redes externas a Zentyal.

254


La configuración más recomendable para el cliente sería configurar su única interfaz en puente de red, de forma que Zentyal pueda alcanzarle a través de la red externa. Hay que tener en cuenta que Zentyal no responde a ping en redes externas a menos que lo autoricemos expresamente en el cortafuegos.

..

E : M En este escenario duplicaremos el escenario 1 para lograr un contexto donde disponemos de varias sedes gestionadas por su propio servidor Zentyal. Indicado para escenarios con túneles VPN de Zentyal a Zentyal, varios controladores de dominio Active Directory, o ambas.


255


Es importante asegurarse de que tanto el cliente virtual como la interfaz eth1 del servidor extra están unidos a la red intnet2 y no intnet.

. ..

A C: D    I     Aunque la interfaz de Zentyal facilita enormemente la labor del de sistemas, algunas de las tareas de configuración a través de dicha interfaz pueden resultar tediosas si tenemos que repetirlas muchas veces. Ejemplos de esto serían añadir 100 nuevas cuentas de o habilitar una cuenta de correo electrónico para todos los s de Zentyal. Estas tareas se pueden automatizar fácilmente a través de la interfaz de programación de aplicaciones (API), que nos proporciona Zentyal. Para ello sólo son necesarios unos conocimientos básicos de lenguaje Perl , así como conocer los métodos expuestos por el módulo de Zentyal que queramos utilizar. De hecho, la interfaz Web utiliza la misma interfaz de programación. A continuación se muestra un ejemplo de cómo crear una pequeña utilidad, haciendo uso del API de Zentyal, para añadir automáticamente un número arbitrario de s definidos en un fichero CSV (Comma Separated Values): #!/usr/bin/perl use strict; use warnings; use EBox; use EBox::Samba::; use File::Slurp; my @lines = read_file('s.csv'); chomp (@lines); EBox::init(); my $parent = EBox::Samba::->defaultContainer(); for my $line (@lines) { my ($name, $givenname, $surname, $) = split(',', $line); EBox::Samba::->create( samName => $name, parent => $parent, givenName => $givenname, sn => $surname, => $ ); } 1;

Guardamos el fichero con el nombre bulks y le damos permisos de ejecución mediante el comando chmod +x bulks. Antes de ejecutar el script debemos tener un fichero llamado s.csv en el mismo directorio. El aspecto de este fichero debe ser así:  Perl es un lenguaje dinámico de programación interpretado de alto nivel y de propósito general. http://www.perl.org/

256

jfoo,John,Foo,jfoo, jbar,Jack,Bar,jbar,

Finalmente nos situamos en el directorio donde lo hayamos guardado y ejecutamos: sudo ./bulks

En esta sección se ha mostrado un pequeño ejemplo de las posibilidades de automatización de tareas con el API de Zentyal, pero estas son prácticamente ilimitadas.

..

P    Es posible que necesites extender la funcionalidad de los módulos de Zentyal para adaptarse a tus necesidades. Zentyal ofrece dos mecanismos para este propósito. Es posible cambiar o ampliar partes del comportamiento de tal forma que todavía podemos reutilizar la abstracción y automatización del entorno. stubs: Plantillas que serán procesadas para generar los ficheros de configuración que usan los daemons. Modificando o creando un stub, podemos cambiar el comportamiento de cualquier módulo, por ejemplo, añadiendo puertos seguros a la configuración de Squid (Proxy HTTP). S Los módulos de Zentyal, una vez que han sido configurados, sobreescriben los ficheros originales del sistema en los servicios que gestionan. Los módulos realizan esta operación a partir de plantillas que contienen la estructura básica del fichero de configuración. Ciertas partes del fichero resultante se parametrizan usando las variables que les provee el entorno.

Figura 6.39: Fichero de configuración desde un stub

Modificar los ficheros de configuración directamente no sería correcto, por que los ficheros serán sobreescritos cada vez que las plantillas sean procesadas (salvando cambios, por ejemplo). Las propias plantillas de configuración de Zentyal residen en /usr/share/zentyal/stubs. Su nombre es el del fichero de configuración original, más la extensión .mas, por ejemplo 257


/usr/share/zentyal/stubs/dns/named.conf.mas. Modificar estas plantillas tampoco sería la mejor solución, por que también se van a sobreescribir si el módulo en cuestión se reinstala o se actualiza. Por lo tanto, para hacer los cambios persistentes, se puede copiar la plantilla original al directorio /etc/zentyal/stubs/, con el nombre del módulo. Por ejemplo: sudo mkdir /etc/zentyal/stubs/dns sudo /usr/share/zentyal/stubs/dns/named.conf.options.mas /etc/zentyal/stubs/dns

Otra de las ventajas de copiar las plantillas a /etc/zentyal/stubs/ es que podemos llevar el control de las modificaciones que hemos hecho sobre los originales, usando la herramienta ‘diff’. Por ejemplo, para el caso anterior: diff /etc/zentyal/stubs/dns/named.conf.options.mas /usr/share/zentyal/stubs/dns/named.conf.options.mas

Para nuestro siguiente ejemplo, supongamos que no queremos permitir que la red ‘DMZ’, que es interna, pero no totalmente confiable, realice una transferencia de zona DNS. Crearemos el directorio /etc/zentyal/stubs/dns y copiaremos los ficheros named.conf.local.mas y named.conf.options.mas. Añadiremos el grupo ‘DMZ’ conteniendo los segmentos de red necesarios en el fichero named.conf.local.mas: acl "DMZ" { 192.168.200.0/24; 192.168.201.0/24; };

Ahora prohibimos las transferencias named.conf.options.mas:

de

zona

para

este

objeto

en

allow-transfer { !DMZ; internal-local-nets; };

Para comprobar los cambios, reiniciaremos el módulo tras modificar los ficheros: sudo service zentyal dns restart

H Es posible que deseemos realizar algunas acciones adicionales en un punto determinado del ciclo de vida de un módulo. Por ejemplo, cuando Zentyal guarda los cambios relacionados con el cortafuegos, lo primero que hace el módulo es eliminar todas las reglas existentes, y después añadir las configuradas en Zentyal. Si añadimos una regla de iptables que no esta contemplada en la interfaz, desaparecerá tras salvar los cambios. Para modificar este comportamiento, Zentyal ofrece la posibilidad de ejecutar scripts durante el proceso de guarda de cambios. Hay seis puntos en los que se pueden ejecutar estos scripts conocidos como hooks. Dos de ellos son generales y los otros cuatro son específicos de cada módulo: Antes de salvar cambios: En el directorio /etc/zentyal/pre-save, todos los scripts con permisos de ejecución son ejecutados antes del proceso de guarda de cambios. Después de guardar cambios: Los scripts con permisos de ejecución de /etc/zentyal/post-save son ejecutados tras este proceso.

258

Antes de guardar la configuración de un módulo: Escribiendo el archivo /etc/zentyal/hooks/<module>.presetconf, con ‘module’ conteniendo el nombre del módulo a tratar, el hook se ejecutará antes de escribir la configuración de este daemon. Después de salvar la configuración del módulo: /etc/zentyal/hooks/<module>.postsetconf, se ejecutará tras salvar la configuración del módulo específico. Antes de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.preservice. Podemos utilizarlo para cargar módulos de Apache, por ejemplo Después de reiniciar el servicio: Se ejecutará /etc/zentyal/hooks/<module>.postservice. Para el caso del cortafuegos, podemos añadir todas las reglas adicionales aquí. Supongamos que tenemos un proxy transparente, pero deseamos que algunos segmentos de red no sean redirigidos automáticamente al proxy. Crearemos el fichero /etc/zentyal/hooks/firewall.postservice, con el siguiente contenido: #!/bin/bash iptables -t nat -I premodules -s 192.168.200.0/24 -p t -m t --dport 80 -j ACCEPT

Tras ello, daremos permisos de ejecución al módulo y reiniciaremos el servicio: sudo chmod +x firewall.postservice sudo service zentyal firewall restart

Estas opciones tienen gran potencial y nos permitirán adaptar Zentyal a nuestro caso específico.

..

E      Zentyal está diseñado precisamente pensando en la extensibilidad y es relativamente sencillo crear nuevos módulos. Cualquiera con conocimientos del lenguaje Perl puede aprovecharse de las facilidades que proporciona Zentyal para la creación de interfaces Web, y también beneficiarse de la integración con el resto de módulos y las demás características comunes de Zentyal. El diseño de Zentyal es completamente orientado a objetos y hace uso del patrón Modelo-Vista-Controlador (MVC) , de forma que el desarrollador sólo necesita definir qué características desea en su modelo de datos, y el resto será generado automáticamente por Zentyal. Existe un turorial de desarrollo  para orientar en los primeros pasos del desarrollo de un nuevo módulo. Zentyal está pensado para ser instalado en una máquina dedicada. Esta recomendación es también extensible para el caso del desarrollo de módulos. No se recomienda desarrollar sobre la propia máquina del , en su lugar se recomienda servirse de un entorno virtualizado como se detalla en Apéndice A: Entorno de pruebas con VirtualBox.

..

P       Z El ciclo de publicación de las ediciones comerciales se extenderá a 24 meses aproximadamente, únicamente se usará como base las versiones LTS de Ubuntu Server disponibles durante el ciclo de desarrollo. Este ciclo se ha diseñado con la intención de hacer coincidir el desarrollo de las versiones comerciales con la disponibilidad de  Una explicación más amplia del patrón MVC http://es.wikipedia.org/wiki/Modelo_Vista_Controlador.  https://wiki.zentyal.org/wiki/Tutorial

259


una nueva versión LTS por parte de Ubuntu. Gracias a este cambio, los clientes se beneficiarán de un ciclo de soporte próximo a los 4 años y medio, en lugar del soporte por 3 años ofrecido anteriormente. Las ediciones comerciales contarán con actualizaciones de seguridad y corrección de errores gracias a los repositorios de calidad garantizada (QA). Utilizando la experiencia y entornos de prueba ofrecidos por las versiones de comunidad, Zentyal ofrece mejor calidad y software más comprobado a los clientes de estas ediciones.

..

P        El ciclo general de la edición para desarrolladores estará relacionado con la edición comercial. En primer lugar, la edición de desarrollo es “el laboratorio” donde se probarán las nuevas características y despliegues. Más tarde será comprobado en sucesivas betas y finalmente será estabilizado. Cuando una de las características nuevas presentes en la edición de desarrollo sea estabilizada, podrá ser portada a la edición comercial.

..

P     Cada proyecto de software libre tiene su propia política de gestión de defectos, denominados bugs en el argot informático. Como se mencionó anteriormente, las versiones estables están soportadas durante tres años y durante este tiempo se garantiza soporte para todos los problemas de seguridad. Además, sobre esta versión se pueden ir incorporando progresivamente modificaciones que corrigen los distintos bugs detectados. Se recomienda utilizar siempre la última versión de Zentyal, ya que incorpora todas las mejoras y correcciones. En Zentyal se utiliza la herramienta de gestión de proyectos Redmine . Es usada por los desarrolladores para gestionar los bugs y sus tareas, pero también la creación de tickets para reportar problemas está abierta a todos los s. Una vez que el ha creado un ticket, puede realizar un seguimiento del estado del mismo mediante correo electrónico. Se puede acceder al Redmine de Zentyal desde https://tracker.zentyal.org/. Se recomienda reportar un bug cuando nos hemos asegurado que realmente se trata de un error y no de un resultado esperado del programa en determinadas circunstancias. Para enviar un bug, deberemos comprobar en primer lugar usando el propio Redmine que no ha sido enviado anteriormente. Podemos enviarlo directamente a través de la interfaz web de Zentyal o manualmente usando el rastreador de bugs de Zentyal. Si el bug ha sido enviado anteriormente, todavía puedes ayudar confirmando que lo has reproducido y aportando detalles adicionales sobre el problema. Es absolutamente necesario incluir los detalles sobre los pasos para reproducir el error para que el Equipo de Desarrollo puede arreglarlo. Si estás reportando el error manualmente, se debería incluir al menos el fichero /var/log/zentyal/zentyal.log y cualquier otra información que estimes relacionada con la causa de tu problema. Las capturas de pantalla también son bienvenidas si permiten visualizar mejor el problema.

..

S    El soporte de comunidad se provee principalmente a través de Internet. En muchas ocasiones es la propia comunidad la que se ofrece soporte a sí misma. Es decir, s de la aplicación que ayudan desinteresadamente a otros s. La comunidad proporciona una mejora importante en el desarrollo del producto, los s contribuyen a descubrir fallos en la aplicación que no se conocían hasta la  Redmine: es una herramienta para la gestión de proyectos y el seguimiento de errores http://www.redmine.org/.

260

fecha o también con sus sugerencias ayudan a dar ideas sobre la forma en que se puede mejorar la aplicación. Este soporte desinteresado, lógicamente, no está sujeto a ninguna garantía. Si un formula una pregunta, es posible que por distintas circunstancias nadie con el conocimiento apropiado tenga tiempo para responderle en el plazo que este desearía. Los medios de soporte de la comunidad de Zentyal se centran en el foro , aunque tambien hay canales de IRC  disponibles. Toda esta información, junto a otra documentación, se encuentra en la sección de la comunidad de la Wiki de Zentyal (http://wiki.zentyal.org/).

 http://forum.zentyal.org  servidor irc.freenode.net, canal #zentyal (inglés) y #zentyal-es (español).

261


. ..

A D: R      R      I 1: b 2: b 3: c

I 1: b 2: a 3: c 4: c 5: a 6: b 7: c 8: b

G 1: d 2: a 3: c 4: b

D  D 1: d 2: b 3: b

C 1: c 2: a 3: b 4: c

262

PRODUCIDO POR

Zentyal S.L. Edifición BSSC C/Eduardo Ibarra Nº 6 50009 Zaragoza, España www.zentyal.com COPYRIGHT Copyright © 2014 Zentyal S.L. Todos los derechos reservados. Ninguna parte de este manual podrá ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperación ni traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento previo por escrito de Zentyal S.L. Si bien se ha hecho todo lo posible para garantizar que la información contenida en este manual es precisa y completa, Zentyal S.L. no se hace responsable de errores ni omisiones, ni de ningún daño ocasionado por el uso de este producto. Zentyal S.L. suministra estos materiales “tal y como están” y su suministro no implica ningún tipo de garantía, ni expresa ni implícita, incluyendo – pero sin limitarse a ellas – las relativas al cumplimiento de criterios comerciales y a la adecuación a propósitos particulares. El copyright de este manual pertenece a Zentyal S.L. Zentyal ® y el logo de Zentyal son marcas registradas de Zentyal S.L. Todos los demás nombres de marcas mencionados en este manual son marcas comerciales o registradas de sus respectivos titulares, y se usan únicamente con fines identificativos.

Ebook - Zentyal 5.0.pdf 11g3r

Overview 3e4r5l

More details w3441

Related Documents 3m3m1z

Ebook - Zentyal 5.0.pdf 11g3r

Ubuntu _ Zentyal 44j6

Zentyal Manual 233q71

Zentyal Para es De Red Libro Ejemplo 266v3u

Zentyal s Book Example Http Proxy 3a336y

Zentyal For Network s Book Sample En 4h5t63

More Documents from "Luis Alfredo Agudelo Escobar" 6q4o2b

Android 2019 2f4h1n

Ebook - Zentyal 5.0.pdf 11g3r

6l6m1j

Edulcorantes Artificiales Y Embarazo 3v5d4x

Minicargador Cat 236b 3t542x

6l6m1j