Ebox For Network Administrators

eBox 1.
4 para Administradores de Redes

R EVISIN 1.4
E B OX
P LATFORM - F ORMACIN
http://www.ebox-technologies.com/
G UA
DEL ESTUDIANTE
eBox 1.4 para Administradores de Redes
Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/
es/ )
En este documento se han empleado imgenes de Tango Desktop Project distribudas bajo Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.
http://tango.freedesktop.org/
Contents
1 eBox Platform: servidor Linux para PYMEs 1.1 1.2 1.3 Presentacin 1.2.1 1.3.1 1.3.2 1.3.3 1.4 1.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . . Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicando los cambios en la conguracin . . . . . . . . . . . . . . . . . Conguracin del estado de los mdulos . . . . . . . . . . . . . . . . . . La interfaz web de administracin . . . . . . . . . . . . . . . . . . . . . . . . . .
1 1 5 6 12 16 19 20 21 22 22 23 26 33 33 34 40 40 41 46 46 49 50 50 52 52 55
Cmo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . . Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5.1 1.5.2 1.5.3 Conguracin de la red local . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de red con eBox Platform . . . . . . . . . . . . . . . . . . Diagnstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 eBox Infrastructure 2.1 2.2 Servicio de conguracin de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.2.1 2.2.2 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 Conguracin de un servidor DHCP con eBox . . . . . . . . . . . . . . . . Conguracin de un servidor cach DNS con eBox . . . . . . . . . . . . . Conguracin de un servidor DNS con eBox . . . . . . . . . . . . . . . . Servicio de resolucin de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . .
Servicio de publicacin de informacin web (HTTP) . . . . . . . . . . . . . . . . . Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . . Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor HTTP con eBox . . . . . . . . . . . . . . . . Conguracin de un servidor NTP con eBox . . . . . . . . . . . . . . . .
Servicio de sincronizacin de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .
3 eBox Gateway
3.1
Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El cortafuegos en GNU/Linux: Netlter . . . . . . . . . . . . . . . . . . . Modelo de seguridad de eBox . . . . . . . . . . . . . . . . . . . . . . .
55 56 57 60 60 61 66 66 71 73 75 75 76 78 79 80 80 82 84 85 85 91 91 92 100 100 100 101 101 104 107 109 110 114 115 121
3.2
Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2
3.3
Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 3.3.2 3.3.3 Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . . Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . . Calidad de servicio (QoS) . . . . . . . . . . . . . . . . . . . . . . . . .
3.4
Moldeado de trco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 3.4.2 Conguracin de la calidad de servicio en eBox . . . . . . . . . . . . . . . Conguracin del servidor RADIUS con eBox . . . . . . . . . . . . . . . . Conguracin del Punto de Acceso . . . . . . . . . . . . . . . . . . . . . Conguracin de poltica de acceso . . . . . . . . . . . . . . . . . . . . . Conexin al proxy y modo transparente . . . . . . . . . . . . . . . . . . . Control de parmetros de la cach . . . . . . . . . . . . . . . . . . . . . Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . .
3.5
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 3.5.2
3.6
Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.1 3.6.2 3.6.3 3.6.4
4 eBox Ofce 4.1 4.2 Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.3 4.4 Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Comparticin de cheros . . . . . . . . . . . . . . . . . . . . . . . . . . SMB/CIFS y su implementacin Linux Samba . . . . . . . . . . . . . . . . Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . . eBox como servidor de cheros . . . . . . . . . . . . . . . . . . . . . . . Conguracin de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . . eBox como un servidor de autenticacin . . . . . . . . . . . . . . . . . . Conguracin de clientes PDC . . . . . . . . . . . . . . . . . . . . . . . Servicio de comparticin de cheros y de autenticacin . . . . . . . . . . . . . . .
Servicio de comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . . Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Conguracin de servicio de groupware con eBox . . . . . . . . . . . . . .
5 eBox Unied Communications 5.1 Servicio de correo electrnico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . .
121
ii
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.2 5.3 5.2.1 5.3.1 5.3.2 5.3.3 5.3.4 5.4 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6
Cmo funciona el correo electrnico en Internet . . . . . . . . . . . . . . . Conguracin de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . . Recibiendo y retransmitiendo correo . . . . . . . . . . . . . . . . . . . . Parmetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parmetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . . Congurando el correo web en eBox . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor Jabber/XMPP con eBox . . . . . . . . . . . . Conguracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . Congurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cdecs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conguracin de un servidor Asterisk con eBox . . . . . . . . . . . . . . . Congurando un softphone para conectar a eBox . . . . . . . . . . . . . . Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . .
122 124 124 131 132 132 133 135 136 137 138 139 145 149 150 150 151 151 155 159 162 165 165 166 175 176 178 178 178 179 180 182 182 183 184 189 199
Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicio de mensajera instantnea (Jabber/XMPP) . . . . . . . . . . . . . . . . .
Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 eBox Unied Threat Manager 6.1 Filtrado de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 6.1.2 6.1.3 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.4 Esquema del ltrado de correo de eBox . . . . . . . . . . . . . . . . . . . Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . . Conguracin de perles de ltrado . . . . . . . . . . . . . . . . . . . . . Perl de ltrado por objeto . . . . . . . . . . . . . . . . . . . . . . . . . Filtrado basado en grupos de usuarios . . . . . . . . . . . . . . . . . . . Filtrado basado en grupos de usuarios para objetos . . . . . . . . . . . . . Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . Infraestructura de clave pblica (PKI) con una autoridad de certicacin (CA) Conguracin de una Autoridad de Certicacin con eBox . . . . . . . . . . Conguracin de una VPN con eBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conguracin Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . .
Interconexin segura entre redes locales . . . . . . . . . . . . . . . . . . . . . .
Sistema de Deteccin de Intrusos (IDS)
iii
6.4.1 6.4.2 7 eBox Core 7.1 7.2
Conguracin de un IDS con eBox . . . . . . . . . . . . . . . . . . . . . Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199 201 203
Registros 7.1.1 7.2.1 7.2.2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203 205 209 210 214 215 218 219 219 220 226 229 230 231 232 234 234 234 236
Conguracin de registros . . . . . . . . . . . . . . . . . . . . . . . . . Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diseo de un sistema de copias de seguridad . . . . . . . . . . . . . . . . Conguracin de las copias de seguridad con eBox . . . . . . . . . . . . . Como recuperarse de un desastre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Copias de seguridad de la conguracin Gestin de componentes de eBox Actualizaciones del sistema
Monitorizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.3 7.4
Incidencias (eventos y alertas) . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.1 7.4.1 7.4.2 7.4.3 7.4.4 Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.5
Actualizacin de software 7.5.1 7.5.2 7.5.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . . Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . . Copia de seguridad de la conguracin al Centro de Control . . . . . . . . .
7.6
Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.1 7.6.2
iv
Chapter 1 eBox Platform: servidor Linux para PYMEs
1.1
Presentacin
Aunque las PYMEs constituyen la inmensa mayora del tejido empresarial mundial, sorprendentemente suelen carecer de soluciones tecnolgicas que se ajusten a sus necesidades o recursos (humanos, monetarios o tcnicos) disponibles. En el mercado de los servidores, esto ha signicado que hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que tampoco tuvieran alternativas de gestin de redes que integrasen todos los componentes necesarios y que fueran sencillas de administrar. Aparentemente es una buena oportunidad para que el software libre entre en el mercado con una solucin potente, escalable, exible y de bajo coste que pueda ser soportada por una multitud de proveedores externos potenciales. De hecho, Linux parece ser una opcin perfecta como servidor para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones pequeas. Sin emabrgo, el uso de Linux como servidor de PYME es nmo, siendo Microsoft el principal actor del mercado con Windows Small Business Server. Por qu? Linux, combinado con otras herramientas de software libre para la gestin de redes (Samba, Postx, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho, son gratis). Adems, de igual manera que otras tecnologas disruptivas, empezaron ofreciendo un nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores
del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado esta tecnologa). Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia muy reducida como servidores de PYMEs. La razn es sencilla: para que una solucin de servidor sea adoptada en una PYME necesita que todos sus componentes estn estrechamente integrados y que sea fcil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de Microsoft cubren bien las necesidades tecnolgicas de las PYMEs. Es aqu donde una solucin como eBox Platform (<http://ebox-platform.com/>) encuentra su encaje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionales TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informtica, tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compartidos o las comunicaciones, a travs de una nica plataforma. Todas estas funcionalidades estn estrechamente integradas, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Estas caractersticas pueden desplegarse en distintas mquinas o en un nico servidor, eligiendo para cada caso la combinacin funcional y de hardware ms conveniente. Todas estas caractersticas son de gran importancia para los departamentos TIC de PYMEs y proveedores de servicio tcnico, ya que tienen que hacerse cargo de un cada vez mayor trco de redes y crecientes demandas de abilidad, seguridad y servicios adicionales con recursos mnimos. En este panorama, eBox Platform aumenta signicativamente la capacidad de estos recursos, permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de los profesionales experimentados, eliminar riesgos de cometer errores de conguracin y aumentar la seguridad de los sistemas automatizando la mayora de las tareas. Adems, eBox Platform es un software de cdigo abierto, el cual se puede descargar libremente de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igualmente, eBox Platform es parte integral de la distribucin Ubuntu desde hace tres aos, lo que ayuda a aumentar su difusin y credibilidad como producto tecnolgico. Su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Italia y Brasil los pases que cuentan con ms instalaciones. eBox Platform se usa principalmente en PYMEs, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, llamado eBox Control Center, un producto alojado en la nube que permite la administracin y monitorizacin centralizada, segura y a tiempo real de mltiples redes eBox. Adems, posibilita la progra-
CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES
macin de tareas para grupos de redes, la aplicacin masiva de actualizaciones de seguridad o la realizacin de informes de actividad peridicos. Adicionalmente, a travs de eBox Control Center se ofrecen una serie de servicios de subscripcin complementarios, como pueden ser backup remoto y seguro de datos para la recuperacin rpida de desastres o la contratacin de crdito VoIP para la realizacin de llamadas a bajo coste a cualquier telfono del mundo a travs de eBox como centralita telefnica. eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una solucin muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs) y revendedores de valor aadido (VARs) puesto que pueden obtener toda la tecnologa y servicios necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un nico proveedor, llegando a un nivel de integracin que alcanza todos los aspectos que inuyen en la gestin de redes. eBox Technologies es la empresa detrs del desarrollo y comercializacin de eBox Platform y sus productos y servicios asociados, basando su modelo de negocio en la subscripcin a eBox Control Center y a los servicios remotos asociados, adems de soporte tcnico y formacin certicada, tanto de forma directa como a travs de su red Global de Partners. Este manual describe las principales caractersticas tcnicas incluidas en la versin 1.4 de eBox Platform, incluyendo los siguientes servicios: Gestin de redes: Cortafuegos y encaminador * Filtrado de trco * NAT y redireccin de puertos * Redes locales virtuales (VLAN 802.1Q) * Soporte para mltiples puertas de enlace, balanceo de carga y auto-adaptacin ante la prdida de conectividad. * Moldeado de trco (soportando ltrado a nivel de aplicacin) * RADIUS * Monitorizacin de trco * Soporte de DNS dinmico Objetos y servicios de red de alto nivel Infraestructura de red * Servidor DHCP
* Servidor DNS * Servidor NTP Redes privadas virtuales (VPN) * Auto-conguracin dinmica de rutas Proxy HTTP * Cach * Autenticacin de usuarios * Filtrado de contenido (con listas categorizadas) * Antivirus transparente Servidor de correo * Filtro de Spam y Antivirus * Filtro transparente de POP3 * Listas blancas, negras y grises * Servicio de correo web Servidor web * Dominios virtuales Sistema de Deteccin de Intrusos (IDS) Autoridad de Certicacin Trabajo en grupo: Directorio compartido usando LDAP (Windows/Linux/Mac) * Autenticacin compartida (incluyendo PDC de Windows) Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red) Impresoras compartidas Servidor de Groupware: calendarios, agendas, ... Servidor de VozIP * Buzn de voz
* Conferencias * Llamadas a travs de proveedor externo Servidor de mensajera instantnea (Jabber/XMPP) * Conferencias Rincn del usuario para que estos puedan modicar sus datos Informes y monitorizacin Dashboard para tener la informacin de los servicios centralizada Monitorizacin de disco, memoria, carga, temperatura y CPU de la mquina Estado del RAID por software e informacin del uso de disco duro Registros de los servicios de red en BBDD, permitiendo la realizacin de informes diarios, semanales, mensuales y anuales Sistema de monitorizacin a travs de eventos * Noticacin va Jabber, correo y subscripcin de noticias (RSS) Gestin de la mquina: Copia de seguridad de conguracin y datos Actualizaciones Centro de control para administrar y monitorizar fcilmente varias mquinas eBox desde un nico punto 1
1.2
Instalacin
eBox Platform est pensada para su instalacin en una mquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a travs de la interfaz que debern ser congurados manualmente. Funciona sobre el sistema operativo GNU/Linux con la distribucin Ubuntu Server Edition
3 2
ver-
sin estable Long Term Support (LTS) . La instalacin puede realizarse de dos maneras diferentes:
1 2
Para ms informacin sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/.
Ubuntu es una distribucin de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores porttiles, sobremesa y servidores <http://www.ubuntu.com/>. 3 Cuyo soporte es mayor que en una versin normal y para la versin para servidores llega a los 5 aos.
Usando el instalador de eBox Platform (opcin recomendada). Instalando a partir de una instalacin de Ubuntu Server Edition. En el segundo caso es necesario aadir los repositorios ociales de eBox Platform y proceder a instalar eBox con aquellos paquetes que se deseen. Sin embargo, en el primer caso se facilita la instalacin y despliegue de eBox Platform ya que se encuentran todas las dependencias en un slo CD y adems se realizan algunas preconguraciones durante el proceso de instalacin.
1.2.1 El instalador de eBox Platform

El instalador de eBox Platform est basado en el instalador de Ubuntu as que el proceso de instalacin resultar muy familiar a quien ya lo conozca.
Figure 1.1: Seleccin del idioma Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. Tambin podemos seleccionar la opcin expert mode que permite realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con requisitos especiales, como por ejemplo RAID por software. Tras instalar el sistema base y reiniciar, comenzar la instalacin de eBox Platform. El primer paso ser crear un usuario en el sistema. Este usuario podr entrar en el sistema y tendr privilegios de administrador mediante el comando sudo.
Figure 1.2: Pantalla de inicio del instalador
Figure 1.3: Usuario administrador
Despus preguntar la contrasea para este usuario recin creado. Esta contrasea adems se usar para identicarse en la interfaz de eBox.
Figure 1.4: Contrasea administrativa
Se preguntar de nuevo la contrasea para conrmar que no ha habido ninguna equivacin al teclearla.
Figure 1.5: Conrmar contrasea administrativa
Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen dos mtodos para esta seleccin: Simple: Se instalarn un conjunto de paquetes que agrupan una serie de funcionalidades segn la tarea que vaya a desempear el servidor. Avanzado: Se seleccionarn los paquetes de manera individualizada. Si algn paquete tiene como dependencia otro, posteriormente se seleccionar automticamente.
Figure 1.6: Mtodo de instalacin de paquetes
Si la seleccin es simple, aparecer la lista de perles disponibles. Como se puede observar en la gura Perles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual.
Figure 1.7: Perles de eBox a instalar
eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. eBox Unied Threat Manager: eBox protege la red local contra ataques externos, intrusiones, amenazas en la seguridad interna y posibilita la interconexin segura entre redes locales a travs de Internet u otra red externa. eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc. eBox Ofce: eBox es el servidor de recursos compartidos de la red local: cheros, impresoras, calendarios, contactos, autenticacin, perles de usuarios y grupos, etc.
eBox Unied Communications: eBox se convierte en el centro de comunicaciones de la empresa incluyendo correo, mensajera instantnea y voz sobre IP. Podemos seleccionar varios perles para hacer que eBox tenga, de forma simultnea, diferentes roles en la red. Sin embargo, si el mtodo seleccionado es avanzado, entonces aparecer la larga lista de mdulos de eBox Platform y se podrn seleccionar individualmente aquellos que se necesiten.
Figure 1.8: Paquetes de eBox a instalar
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios. Adems esta seleccin no es denitiva, pudiendo posteriormente instalar y desinstalar paquetes segn se necesite. Una vez seleccionados los componentes a instalar, comenzar la instalacin que ir informando de su estado con una barra de progreso. El instalador tratar de precongurar algunos parmetros importantes dentro de la conguracin. Primero tendremos que seleccionar el tipo de servidor para el modo de operacin de Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Un slo servidor. Si por el contrario estamos desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory, elegiremos Avanzado. Este paso aparecer solamente si el mdulo usuarios y grupos est instalado. Tambin preguntar, si alguna de las interfaces de red es externa a la red local, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas. Se aplicarn polticas estrictas para
10
Figure 1.9: Instalando eBox Platform
Figure 1.10: Tipo de servidor
11
todo el trco entrante a travs de interfaces de red externas. Este paso aparecer solamente si el mdulo de red est instalado y el servidor tiene ms de una interfaz de red.
Figure 1.11: Seleccin de la interfaz de red externa
Despus, seguiremos con la conguracin del correo, deniendo el principal dominio virtual. Este paso solo presentar si hemos instalado el mdulo de correo. Una vez hayan sido respondidas estas preguntas, se realizar la preconguracin de cada uno de los mdulos instalados preparados para su utilizacin desde la interfaz web. Una vez terminado el proceso de instalacin de eBox Platform, obtendremos un interfaz grco con un navegador para autenticarnos en la interfaz web de administracin de eBox utilizando la contrasea introducida en los primeros pasos del instalador.
1.3
La interfaz web de administracin

Una vez instalado eBox Platform, la direccin para acceder a la interfaz web de administracin, desde cualquier mquina de la red interna, es: https://direccion_de_red/ebox/ Donde direccion_de_red es la direccin IP o el nombre de la mquina donde est instalado eBox que resuelve a esa direccin.
12
Figure 1.12: Conguracin del servidor de correo
Figure 1.13: Preconguracin de los paquetes
13
Figure 1.14: Interfaz web de administracin de eBox
Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet Explorer pueden dar problemas. La primera pantalla solicita la contrasea del administrador:
Tras autenticarse aparece la interfaz de administracin que se encuentra dividida en tres partes fundamentales: Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden congurar mediante eBox Platform, separados por categoras. Cuando se ha seleccionado algn servicio en este men puede aparecer un submen para congurar cuestiones particulares de dicho servicio. Men superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos, as como para el cierre de sesin.
14
Figure 1.15: Pantalla principal
Figure 1.16: Men lateral izquierdo
15
Figure 1.17: Men superior Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la conguracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la seccin a la que hemos accedido.
Figure 1.18: Formulario de conguracin
1.3.1 Dashboard
El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets congurables. En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos. Pulsando en Congurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central.
Estado de los mdulos Hay un widget muy importante dentro del dashboard que muestra el estado de todos los mdulos instalados en eBox.
16
Figure 1.19: Dashboard
Figure 1.20: Conguracin del dashboard
17
Figure 1.21: Widget de estado de los mdulos
18
La imagen muestra el estado para un servicio y una accin que se puede ejecutar sobre l. Los estados disponibles son los siguientes: Ejecutndose: Los demonios del servicio se estn ejecutando para aceptar conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutndose sin ser gestionado: Si no has congurado el servicio todava, es posible encontrarlo ejecutando con la conguracin por defecto de la distribucin. Por tanto, no es gestionado por eBox hasta el momento. Parado: Ha ocurrido algn problema ya que el servicio debera estar ejecutndose pero est parado por alguna razn. Para descubrirla, se deberan comprobar los cheros de registro para el servicio o el chero de registro de eBox mismo como describe la seccin Cmo funciona eBox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar. Deshabilitado: El servicio ha sido deshabilitado explcitamente por el administrador como se explica en Conguracin del estado de los mdulos.
1.3.2 Aplicando los cambios en la conguracin

Una particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las conguraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendr que presionar Guardar Cambios del men superior. Este botn cambiar a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perdern todos los cambios que se hayan realizado a lo largo de la sesin al nalizar sta. Existen algunos casos especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.
Figure 1.22: Guardar Cambios
Adems de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas o no ests seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en cuenta que si modicas la conguracin de las interfaces de red o el puerto de administracin, puedes perder la conexin con eBox. Para recuperarla quizs debas reescribir la URL en el navegador.
19
1.3.3 Conguracin del estado de los mdulos

Como se ha discutido previamente, eBox se construye modularmente. El objetivo de la mayora de mdulos es gestionar servicios de red que debes habilitar a travs de Estado del mdulo.
Figure 1.23: Conguracin del estado de los mdulos
Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de las interfaces de red conguradas. Por tanto, las dependencias se muestran en la columna Depende. Habilitar un mdulo por primera vez es conocido dentro de la jerga eBox como congurar un mdulo. Dicha conguracin se realiza una vez por mdulo. Seleccionando la columna Estado, habilitas o deshabilitas el mdulo. Si es la primera vez, se presenta un dilogo para completar una serie de acciones y modicaciones a cheros que implica la activacin del mdulo 4 . Tras ello, puedes guardar los cambios para llevar a acabo las modicaciones.
4
Este proceso es obligatorio para cumplir la poltica de Debian/Ubuntu http://www.debian.org/doc/debian-policy/
20
Figure 1.24: Dilogo de conrmacin para congurar un mdulo
1.4
Cmo funciona eBox Platform?

EBox Platform no es slo una interfaz web que sirve para administrar los servicios de red ms comunes 5 . Entre sus principales funciones destaca el dar cohesin y unicidad a un conjunto de servicios de red que de lo contrario funcionaran de forma independiente.
Toda la conguracin de cada uno de los servicios es escrita por eBox de manera automtica. Para ello utiliza un sistema de plantillas. Con esta automatizacin se evitan los posibles errores cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada uno de los formatos de los cheros de conguracin de cada servicio. Por tanto, no se deben editar
Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un anlisis extenso al cdigo de eBox Platform en <http://www.ohloh.net/p/ebox/analyses/latest>.
5
21
los cheros de conguracin originales del sistema ya que se sobreescribiran al guardar cambios al estar gestionados automticamente por eBox. Los informes de los eventos y posibles errores de eBox se almacenan en el directorio /var/log/ebox/ y se distribuyen en los siguientes cheros: /var/log/ebox/ebox.log: Los errores relacionados con eBox Platform. /var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz. /var/log/ebox/access.log: Los accesos al servidor web de la interfaz. Si se quiere aumentar la informacin sobre algn error que se haya producido, se puede habilitar el modo de depuracin de errores a travs de la opcin debug en el chero /etc/ebox/99ebox.conf. Tras habilitar esta opcin se deber reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox apache restart.
1.5
Emplazamiento en la red
1.5.1 Conguracin de la red local
eBox Platform puede utilizarse de dos maneras fundamentales: Encaminador y ltro de la conexin a internet. Servidor de los distintos servicios de red. Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias. La gura Distintas ubicaciones en la red escenica las distintas ubicaciones que puede tomar el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unin entre redes como un servidor dentro de la propia red. A lo largo de esta documentacin se ver cmo congurar eBox Platform para desempear un papel de puerta de enlace y encaminador. Y por supuesto tambin veremos la conguracin en los casos que acte como un servidor ms dentro de la red.
22
Figure 1.25: Distintas ubicaciones en la red
1.5.2 Conguracin de red con eBox Platform

Si colocamos el servidor en el interior de una red, lo ms probable es que se nos asigne una direccin IP a travs del protocolo DHCP. A travs de Red
Interfaces se puede acceder a cada una de
las tarjetas de red detectadas por el sistema y se puede congurar de manera esttica (direccin congurada manualmente), dinmica (direccin congurada por DHCP) o como Trunk 802.1Q, para la creacin de redes VLAN.
Figure 1.26: Conguracin de interfaces de red
Si conguramos la interfaz como esttica podemos asociar una o ms Interfaces Virtuales a dicha interfaz real para servir direcciones IP adicionales con lo que se podra atender a diferentes redes o a la misma con diferente direccin. Si no se dispone de un router con soporte PPPoE, eBox puede gestionar tambin este tipo de conexiones. Para ello, solo hay que seleccionar PPPoE como Mtodo e introducir el Nombre de usuario y Contrasea proporcionado por el proveedor de ADSL.
23
Figure 1.27: Conguracin esttica de interfaces de red
Figure 1.28: Conguracin PPPoE de interfaces de red
24
Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios servidores de nombres en Red DNS.
Figure 1.29: Conguracin de servidores DNS
Si tu conexin a Internet tiene una IP pblica dinmica y quieres que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinmico. eBox da soporte para conectar con algunos de los proveedores de DNS dinmico ms populares. Para congurar un nombre de DNS dinmico en eBox desde Red
DynDNS selecciona el
proveedor del servicio y congura el nombre de usuario, contrasea y nombre de dominio que queremos actualizar cuando la direccin pblica cambie. Slo resta Activar DNS Dinmico y Guardar Cambios.
Figure 1.30: Conguracin de DNS Dinmico
25
eBox se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin de direccin red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter 6 , no hay que olvidar crear una regla que haga que las conexiones al proveedor use siempre la misma puerta de enlace.
1.5.3 Diagnstico de redes

Para ver si hemos congurado bien nuestra red podemos utilizar las herramientas de Red nstico.
Diag-
Figure 1.31: Herramientas de diagnstico de redes
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP para observar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas. Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes encaminados a travs de las distintas redes hasta llegar a una mquina remota determinada. Con esta herramienta podemos ver el camino que siguen los paquetes para diagnsticos ms avanzados.
Y tambin contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolucin de nombres.
Ejemplo prctico A Vamos a congurar eBox para que obtenga la conguracin de la red mediante DHCP. Para ello:
6
Consultar Reglas multirouter y balanceo de carga para obtener ms detalles.
26
Figure 1.32: Herramienta ping
27
Figure 1.33: Herramienta traceroute
28
Figure 1.34: Herramienta dig
29
1. Accin: Acceder a la interfaz de eBox, entrar en Red
Interfaces y seleccionar para la
interfaz de red eth0 el Mtodo DHCP. Pulsar el botn Cambiar. Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos introducidos. 2. Accin: Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 3. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios y algunos mdulos que dependen de red ahora pueden ser activados. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin de la red. 5. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a ebox-platform.com. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con el servidor de internet. 6. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a una eBox de un compaero de aula. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina. 7. Accin: Acceder a Red technologies.com. Efecto: Se muestra como resultado la serie de mquinas que un paquete recorre hasta llegar a la mquina destino.
Herramientas Diagnstico. Ejecutar traceroute hacia ebox-
30
Ejemplo prctico B Para el resto de ejercicios del manual es una buena prctica habilitar los registros. Para ello: 1. Accin: Acceder a la interfaz de eBox, entrar en Estado del mdulo y activar el mdulo Registros, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para realizar una serie de acciones. 2. Accin: Leer los acciones que va a realizar eBox y aceptarlas. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros Consultar registros. De todas maneras, en la seccin Registros.
31
32
Chapter 2 eBox Infrastructure

En este apartado explicaremos varios de los servicios para gestionar y optimizar el trco interno y la infraestructura de una red local, incluyendo la gestin de dominio, la auto-conguracin de red en los clientes, la publicacin de sitios Web internos y la sincronizacin de la hora via Internet. La conguracin de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente esta tarea. El servicio de DHCP es ampliamente utilizado para congurar automticamente diversos parmetros de red como pueden ser la direccin IP de una mquina, o la puerta de enlace o gateway que utilizar para alcanzar Internet. El servicio de DNS permite acceder a servicios y mquinas utilizando nombres en lugar de direcciones IP, las cuales son ms difciles de memorizar. Adems, en muchas empresas se utilizan aplicaciones Web a las que slo se tiene acceso de manera interna.
2.1
Servicio de conguracin de red (DHCP)

Como hemos comentado, DHCP (Dynamic Host Conguration Protocol) es un protocolo que permite a un dispositivo pedir y obtener una direccin IP desde un servidor que tiene una lista de direcciones disponibles para asignar. El servicio DHCP 1 se usa tambin para obtener otros muchos parmetros tales como la puerta de enlace por defecto, la mscara de red, las direcciones IP de los servidores de nombres o el dominio
1
eBox usa ISC DHCP Software (https://www.isc.org/software/dhcp) para congurar el servicio de DHCP
33
de bsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una conguracin manual por parte del cliente. Cuando un cliente DHCP se conecta a la red enva una peticin de difusin (broadcast). El servidor DHCP responde a esa peticin con una direccin IP, su tiempo de concesin y los otros parmetros explicados previamente. La peticin suele suceder durante el perodo de arranque del cliente y debe completarse antes de seguir con el arranque del resto de servicios de red. Existen dos mtodos de asignacin de direcciones: Manual: La asignacin se hace a partir de una tabla de correspondencia entre direcciones fsicas (MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla. Dinmica: El administrador de la red asigna un rango de direcciones IP por un proceso de peticin y concesin que usa el concepto de alquiler con un perodo controlado de tiempo en el que la IP concedida es vlida. El servidor guarda una tabla con las asignaciones anteriores para intentar volver a asignar la misma IP a un cliente en sucesivas peticiones.
2.1.1 Conguracin de un servidor DHCP con eBox

Para congurar el servicio DHCP con eBox, se necesita al menos una interfaz congurada estticamente. Una vez la tenemos, vamos al men DHCP donde se congurar el servidor DHCP. Como hemos dicho, se pueden enviar algunos parmetros de la red junto con la direccin IP, estos parmetros se pueden congurar en la pestaa de Opciones comunes. Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra ruta por la que enviar el paquete a su destino. Su valor puede ser eBox, una puerta de enlace ya congurada en el apartado Red Routers o una direccin IP personalizada. Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas siguiendo la forma <mquina>.sub.dominio.com, se podra congurar el dominio de bsqueda como sub.dominio.com. De esta forma, cuando se intente resolver un nombre de dominio sin xito, se intentar de nuevo aadindole el dominio de bsqueda al nal o partes de ese dominio. Por ejemplo, si smtp no se puede resolver como dominio, se intentar resolver smtp.dominio.com en la mquina cliente. Podemos escribir el dominio de bsqueda, o podemos seleccionar uno que se haya congurado en el servicio de DNS.
34
CHAPTER 2. EBOX INFRASTRUCTURE
Figure 2.1: Vista general de conguracin del servicio DHCP
35
Servidor de nombres primario: Se trata de aquel servidor DNS
con el que contactar el cliente
en primer lugar cuando tenga que resolver un nombre o traducir una direccin IP a un nombre. Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de eBox, hay que tener en cuenta que el mdulo dns debe estar habilitado) o una direccin IP de otro servidor DNS. Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP de un servidor DNS. Servidor NTP: Este es el servidor NTP (Network Transport Protocol)
3
que el cliente usar cuando
quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que tener en cuenta que el mdulo ntp debe estar habilitado) o un servidor NTP personalizado. Servidor WINS: Este es el servidor WINS (Windows Internet Name Service)
4
que el cliente usar
para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en cuenta que el mdulo samba debe estar habilitado) o uno personalizado. Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP est activo, al menos debe haber un rango de direcciones a distribuir o una asignacin esttica. En caso contrario, el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red. Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas. Aadir un rango en la seccin Rangos se hace introduciendo un nombre con el que identicar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte de ningn rango. Se puede aadir una descripcin opcional para la asignacin tambin. La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la renovacin (congurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200. Las asignaciones estticas tambin estn limitadas en el tiempo. De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.
Ir a la seccin Servicio de resolucin de nombres (DNS) para tener ms detalles sobre este servicio. Comprobar la seccin Servicio de sincronizacin de hora (NTP) para obtener detalles sobre el servicio de sincronizacin de hora 4 WINS es una implementacin para NBNS (NetBIOS Name Service). Para obtener ms informacin sobre ello, ir a la
3 2
seccin Servicio de comparticin de cheros y de autenticacin.
36
Figure 2.2: Aspecto de la conguracin avanzada para DHCP
Un Cliente Ligero es una mquina sin disco duro (y hardware modesto) que arranca a travs de la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros. eBox permite congurar a qu servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema, se debe congurar por separado. El servidor PXE puede ser una direccin IP o un nombre, en cuyo caso ser necesario indicar la ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el chero de la imagen.
Actualizaciones dinmicas de DNS El servidor DHCP tiene la habilidad de actualizar dinmicamente el servidor DNS 6 . Esto es, el servidor DHCP actualizar en tiempo real los registros A y PTR para mapear una direccin IP a un nombre de mquina y viceversa cuando se sirva una direccin IP. La manera en que esto se hace es dependiente de la conguracin del servidor DHCP.
Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados (http://en.wikipedia.org/wiki/Preboot_Execution_Environment) 6 El RFC 2136 explica como hacer actualizaciones automticas en el Sistema de Nombres de Dominio (DNS).
5
37
Con eBox es posible usar la actualizacin dinmica de DNS integrando los mdulos de dhcp y dns de la misma mquina dentro la pestaa Opciones de DNS dinmico. Para habilitar esta caracterstica, el mdulo DNS debe ser habilitado tambin. Se debe disponer un Dominio dinmico y un Dominio esttico, que ambos se aadirn a la conguracin de DNS automticamente. El dominio dinmico mapea los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue este patrn: dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Con respecto al dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en la tabla de Asignaciones estticas. Hay que tener en cuenta que una actualizacin desde el cliente DHCP es ignorada por eBox.
Figure 2.3: Conguracin de actualizaciones DNS dinmicas
La actualizacin se hace usando un protocolo seguro 7 y, actualmente, slo el mapeo directo est soportado por eBox.
Ejemplo prctico Congurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde otra mquina cliente usando dhclient que funciona correctamente. Para congurar DHCP debemos tener activado y congurado el mdulo Red. La interfaz de red sobre la cual vamos a congurar el servidor DHCP deber ser esttica (direccin IP asignada manualmente) y el rango a asignar deber estar dentro de la subred determinada por la mscara de red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0). 1. Accin: Entrar en eBox y acceder al panel de control. Entrar en Estado del mdulo y activar el mdulo DHCP, para ello marcar su casilla en la columna Estado.
La comunicacin se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones dinmicas usando una clave secreta compartida.
7
38
Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Entrar en DHCP y seleccionar la interfaz sobre la cual se congurar el servidor. La pasarela puede ser la propia eBox, alguna de las pasarelas de eBox, una direccin especca, o ninguna (sin salida a otras redes). Adems se podr denir el dominio de bsqueda (dominio que se aade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario). A continuacin eBox nos informa del rango de direcciones disponibles, vamos a elegir un subconjunto de 20 direcciones y en Aadir nueva le damos un nombre signicativo al rango que pasar a asignar eBox. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin del servidor DHCP. 5. Accin: Desde otro equipo conectado a esa red solicitamos una IP dinmica del rango mediante dhclient:
$ sudo dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 9922 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.1.1 Copyright 2004-2008 Internet Systems Consortium. All rights reserved. For info, please visit http://www.isc.org/sw/dhcp/ wmaster0: unknown hardware address type 801 wmaster0: unknown hardware address type 801 Listening on LPF/eth0/00:1f:3e:35:21:4f Sending on LPF/eth0/00:1f:3e:35:21:4f Sending on Socket/fallback DHCPREQUEST on wlan0 to 255.255.255.255 port 67 DHCPACK from 10.1.2.254 bound to 10.1.2.1 -- renewal in 1468 seconds.
39
6. Accin: Comprobar desde el Dashboard que la direccin concedida aparece en el widget DHCP leases 8 .
2.2
Servicio de resolucin de nombres (DNS)

La funcionalidad de DNS (Domain Name System) es convertir nombres de mquinas, legibles y fciles de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es una arquitectura arborescente cuyos objetivos son evitar la duplicacin de la informacin y facilitar la bsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte UDP y TCP.
2.2.1 Conguracin de un servidor cach DNS con eBox

Un servidor de nombres puede actuar como cach
9
para las consultas que l no puede responder.
Es decir, la primera vez consultar al servidor adecuado porque se parte de una base de datos sin informacin, pero posteriormente responder la cach, con la consecuente disminucin del tiempo de respuesta. En la actualidad, la mayora de los sistemas operativos modernos tienen una biblioteca local para traducir los nombres que se encarga de almacenar una cach propia de nombres de dominio con las peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).
Ejemplo prctico A Comprobar el correcto funcionamiento del servidor cach DNS. Qu tiempo de respuesta hay ante la misma peticin www.example.com? 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo DNS, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos.
8 9
Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP. Cach es una coleccin de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado
con el tiempo de lectura de la cach (http://en.wikipedia.org/wiki/Cache)
40
Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Ir a Red 127.0.0.1 . Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora eBox gestiona la conguracin del servidor DNS. 5. Accin: Comprobar a travs de la herramienta Resolucin de Nombres de Dominio disponible en Red
DNS y aadir un nuevo Servidor de nombres de dominio con valor
Diagnstico comprobar el funcionamiento de la cach consultado
el dominio www.example.com consecutivamente y comprobar el tiempo de respuesta.
2.2.2 Conguracin de un servidor DNS con eBox

DNS posee una estructura en rbol y el origen es conocido como . o raz. Bajo el . existen los TLD (Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si ste no conoce la respuesta, se buscar recursivamente en el rbol hasta encontrarla. Cada . en una direccin (por ejemplo, home.example.com) indica una rama del rbol de DNS diferente y un mbito de consulta diferente que se ir recorriendo de derecha a izquierda. Como se puede ver en la gura rbol de DNS, cada zona tiene un servidor de nombre autorizado 10 . Cuando un cliente hace una peticin a un servidor de nombres, delega la resolucin a aquel servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo, un cliente pide la direccin IP de www.casa.example.com a un servidor que es autoridad para example.com. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debera saber la direccin IP para esa mquina. Otro aspecto importante es la resolucin inversa (in-addr.arpa), ya que desde una direccin IP podemos traducirla a un nombre del dominio. Adems a cada nombre asociado se le pueden aadir tantos alias (o nombres cannicos) como se desee, as una misma direccin IP puede tener varios nombres asociados.
10
Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la informacin para resolver la consulta
para ese dominio
41
Figure 2.4: rbol de DNS
Una caracterstica tambin importante del DNS es el registro MX. Dicho registro indica el lugar donde se enviarn los correos electrnicos que quieran enviarse a un determinado dominio. Por ejemplo, si queremos enviar un correo a alguien@example.com, el servidor de correo preguntar por el registro MX de example.com y el servicio responder que es mail.example.com. La conguracin en eBox se realiza a travs del men DNS. En eBox, se pueden congurar tantos dominios DNS como deseemos. Para congurar un nuevo dominio, desplegamos el formulario pulsando Aadir nuevo. Desde all se congura el nombre del dominio y una direccin IP opcional a la que har referencia el dominio.
Cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo llamado dinmico con valor falso. Un dominio se establece como dinmico cuando es actualizado automticamente por un proceso sin reiniciar el servidor. Un ejemplo tpico para esto es cuando un servidor
42
DHCP actualiza los registros DNS para un dominio cuando ofrece una direccin IP a una mquina. Ve a la seccin Actualizaciones dinmicas de DNS para obtener detalles sobre esta conguracin con eBox. Actualmente, si un dominio se establece como dinmico, no se puede congurar manualmente desde el interfaz de eBox.
Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la posibilidad de rellenar la lista de mquinas (hostnames) para el dominio. Se podrn aadir tantas direcciones IP como se deseen usando los nombres que decidamos. La resolucin inversa se aade automticamente. Adems, para cada pareja nombre-direccin se podrn tambin poner tantos alias como se deseen.
Con eBox se establece automticamente el servidor autorizado para los dominios congurados a la mquina con nombre ns. Si esa mquina no existe, entonces se usa 127.0.0.1 como servidor de nombres autorizado. Si quieres congurar el servidor de nombres autorizado manualmente para tus dominios (registros NS), ve a servidores de nombres y elige una de las mquinas del dominio o una personalizada. En el escenario tpico, se congurar una mquina con nombre ns usando como direccin IP una de las conguradas en la seccin Red Interfaces.
43
Como caracterstica adicional, podemos aadir nombres de servidores de correo a travs de los intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox es autoridad o uno externo. Adems se le puede dar una preferencia cuyo menor valor es el que da mayor prioridad, es decir, un cliente de correo intentar primero aquel servidor con menor nmero de preferencia.
Para profundizar en el funcionamiento de DNS, veamos qu ocurre en funcin de la consulta que se hace a travs de la herramienta de diagnstico dig que se encuentra en Red Diagnstico. Si hacemos una consulta a uno de los dominios que hemos aadido, el propio servidor DNS de eBox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS lanza una peticin a los servidores DNS raz, y responder al usuario tan pronto como obtenga una respuesta de stos. Es importante tener en cuenta que los servidores de nombres congurados en Red DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNS no los utiliza de ningn modo. Si queremos que eBox resuelva nombres utilizando su propio DNS debemos congurar 127.0.0.1 como servidor DNS primario en dicha seccin.
Ejemplo prctico B Aadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una direccin de red al nombre de una mquina. Desde otra mquina comprobar usando la herramienta dig que resuelve correctamente. 1. Accin: Comprobar que el servicio DNS est activo a travs de Dashboard en el widget Estado de mdulos. Si no est activo, habilitarlo en Estado de mdulos. 2. Accin: Entrar en DNS y en Aadir nueva introducimos el dominio que vamos a gestionar. Se desplegar una tabla donde podemos aadir nombres de mquinas, servidores de correo para el dominio y la propia direccin del dominio. Dentro de Nombres de mquinas procedemos de la misma manera aadiendo el nombre de la mquina y su direccin IP asociada.
44
3. Accin: Guardar los cambios. Efecto: eBox solicitar permiso para escribir los nuevos cheros. 4. Accin: Aceptar sobreescribir dichos cheros y guardar cambios. Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. 5. Accin: Desde otro equipo conectado a esa red solicitamos la resolucin del nombre mediante dig, siendo por ejemplo 10.1.2.254 la direccin de nuestra eBox y mirror.eboxplatform.com el dominio a resolver:
$ dig mirror.ebox-platform.com @10.1.2.254 ; <<>> DiG 9.5.1-P1 <<>> mirror.ebox-platform.com @10.1.2.254 ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33835 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;mirror.ebox-platform.com. ;; ANSWER SECTION: mirror.ebox-platform.com. 600 ;; AUTHORITY SECTION: ebox-platform.com. ebox-platform.com. ;; ADDITIONAL SECTION: ns1.ebox-platform.com. ns2.ebox-platform.com. ;; ;; ;; ;;
IN
IN
87.98.190.119
600 600
IN IN
NS NS
ns1.ebox-platform.com. ns2.ebox-platform.com.
600 600
IN IN
A A
67.23.0.68 209.123.162.63
Query time: 169 msec SERVER: 10.1.2.254#53(10.1.2.254) WHEN: Fri Mar 20 14:37:52 2009 MSG SIZE rcvd: 126
45
2.3
Servicio de publicacin de informacin web (HTTP)

La Web es uno de los servicios ms comunes en Internet, tanto que se ha convertido en su cara visible para la mayora de los usuarios. Una pgina Web empez siendo la manera ms cmoda de publicar informacin en una red. Para acceder basta con un navegador Web, que se encuentra instalado de serie en las plataformas de escritorio actuales. Una pgina Web es fcil de crear y se puede visualizar desde cualquier ordenador. Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio. En este captulo veremos una introduccin al funcionamiento interno de la Web, as como la conguracin de un servidor Web con eBox.
2.3.1 Hyper Text Transfer Protocol

Una de las claves del xito de la Web ha sido el protocolo de capa de Aplicacin empleado, HTTP (Hyper Text Transfer Protocol), y es que HTTP es muy sencillo a la vez que exible. HTTP es un protocolo orientado a peticiones y respuestas. Un cliente, tambin llamado User Agent, realiza una solicitud a un servidor. El servidor la procesa y devuelve una respuesta. Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar, y el 443 para conexiones cifradas (HTTPS). Una de las tecnologas ms usadas para el cifrado es TLS 11 . Una solicitud del cliente contiene los siguientes elementos: Una primera lnea conteniendo <mtodo> <recurso solicitado> <versin HTTP>. Por ejemplo GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo HTTP/1.1. Cabeceras, como User-Agent: Mozilla/5.0 ... Firefox/3.0.6 que identican el tipo de cliente que solicita la informacin. Una lnea en blanco. Un cuerpo del mensaje opcional. Se utiliza, por ejemplo, para enviar cheros al servidor usando el mtodo POST.
TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan seguridad e integridad de datos para las comunicaciones en Internet. En la seccin Redes privadas virtuales (VPN) se ahondar en el tema.
11
46
Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del servidor. Encaminadores y proxies en medio.
47
Hay varios mtodos 12 con los que el cliente puede pedir informacin. Los ms comunes son GET y POST: GET: Se utiliza GET para solicitar un recurso. Es un mtodo inocuo para el servidor, ya que no se debe modicar ningn chero en el servidor si se hace una solicitud mediante GET. POST: Se utiliza POST para enviar una informacin que debe procesar el servidor. Por ejemplo en un webmail cuando pulsamos Enviar Mensaje, se enva al servidor la informacin del correo electrnico a enviar. El servidor debe procesar esa informacin y enviar el correo electrnico. OPTIONS: Sirve para solicitar qu mtodos se pueden emplear sobre un recurso. HEAD: Solicita informacin igual que GET, pero la respuesta no incluir el cuerpo, slo la cabecera. De esta forma se puede obtener la meta-informacin del recurso sin descargarlo. PUT: Solicita que la informacin del cuerpo sea almacenada y accesible desde la ruta indicada. DELETE: Solicita la eliminacin del recurso indicado TRACE: Indica al servidor que debe devolver la cabecera que enva el cliente. Es til para ver cmo modican la solicitud los proxies intermedios. CONNECT: La especicacin se reserva este mtodo para realizar tneles. La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la primera la. En este caso la primera la sigue la forma <status code> <text reason>, que corresponden al cdigo de respuesta y a un texto con la explicacin respectivamente. Los cdigos de respuesta 13 ms comunes son: 200 OK: La solicitud ha sido procesada correctamente. 403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el recurso solicitado. 404 Not Found: Si el recurso solicitado no se ha encontrado. 500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecucin de la solicitud.
12 13
Una explicacin ms detallada se puede encontrar en la seccin 9 del RFC 2616 En la seccin 10 del RFC 2616 se pueden encontrar el listado completo de cdigos de respuesta del servidor HTTP.
48
HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el servidor no puede recordar a los clientes entre conexiones. Una solucin para este problema es el uso de cookies. Por otro lado, el servidor no puede iniciar una conversacin con el cliente. Si el cliente quiere alguna noticacin del servidor, deber solicitarla peridicamente. El servicio HTTP puede ofrecer dinmicamente los resultados de aplicaciones software. Para ello, el cliente realiza una peticin a una determinada URL con unos parmetros y el software se encarga gestionar la peticin para devolver un resultado. El primer mtodo utilizado fue conocido como CGI (Common Gateway Interface) que se ejecuta un comando por URL. Este mecanismo ha sido superado debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones: FastCGI: Un protocolo de comunicacin entre las aplicaciones software y el servidor HTTP, teniendo un nico proceso para resolver las peticiones realizadas por el servidor HTTP. SCGI (Simple Common Gateway Interface): Es una versin simplicada del protocolo de FastCGI Otros mecanismos de expansin: Estos mecanismos dependern del servidor HTTP utilizado y pueden permitir la ejecucin de software dentro del propio servidor.
2.3.2 El servidor HTTP Apache

El servidor HTTP Apache
14
es el programa ms popular para servir pginas Web desde abril de
1996. EBox usa dicho servidor tanto para su interfaz Web de administracin como para el mdulo Web. Su objetivo es ofrecer un sistema seguro, eciente y extensible siguiendo los estndares HTTP. Ofrece la posibilidad de extender las funcionalidades del ncleo (core), utilizando mdulos adicionales para incluir nuevas caractersticas. Es decir, una de sus principales ventajas es la extensibilidad. Algunos de los mdulos nos ofrecen interfaces para lenguajes de script. Ejemplos de ello son mod_perl, mod_python, TCL PHP, lo que permite crear pginas Web usando los lenguajes de programacin Perl, Python, TCL o PHP. Tambin tenemos mdulos para varios sistemas de autenticacin como mod_access, mod_auth, entre otros. Adems, permite el uso de SSL y TLS con mod_ssl, mdulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. En denitiva, disponemos de una gran cantidad de mdulos de Apache 15 para aadir diversas funcionalidades.
14 15
Apache HTTP Server project http://httpd.apache.org. Podemos consultar la lista completa en http://modules.apache.org.
49
2.3.3 Dominios virtuales

El objetivo de los dominios virtuales (Virtual Hosts) es alojar varios sitios Web en un mismo servidor. Si el servidor dispone de una direccin IP pblica por cada sitio Web, se puede realizar una conguracin por cada interfaz de red. Vistos desde fuera dar la impresin de que son varios Hosts en la misma red. El servidor redirigir el trco de cada interfaz a su sitio Web correspondiente. Sin embargo, lo ms normal es disponer de una o dos IPs por mquina. En ese caso habr que asociar cada sitio Web con su dominio. El servidor Web leer las cabeceras de los clientes y dependiendo del dominio de la solicitud lo redirigir a un sitio Web u otro. A cada una de estas conguraciones se le llama Virtual Host, ya que slo hay un Host en la red, pero se simula que existen varios.
2.3.4 Conguracin de un servidor HTTP con eBox

A travs del men Web podemos acceder a la conguracin del servicio.
Figure 2.6: Aspecto de la conguracin del mdulo Web En el primer formulario podemos modicar los siguientes parmetros: Puerto de escucha Dnde va a escuchar peticiones HTTP el demonio. Habilitar el public_html por usuario Con esta opcin, si est habilitado el mdulo Samba (eBox como servidor de cheros) los usuarios pueden crear un subdirectorio llamado public_html en su directorio personal dentro de samba que ser expuesto por el servidor Web a travs de la URL http://<eboxIP>/~<username>/ donde username es el nombre del usuario que quiere publicar contenido.
50
Respecto a los Dominios virtuales, simplemente se introducir el nombre que se desea para el dominio y si est habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en el mdulo DNS (si est instalado) de tal manera que si se aade el dominio www.company.com, se crear el dominio company.com con el nombre de mquina www cuya direccin IP ser la direccin de la primera interfaz de red que sea esttica. Para publicar datos estos deben estar bajo /var/www/<vHostname>, donde vHostName es el nombre del dominio virtual. Si se quiere aadir cualquier conguracin personalizada, por ejemplo capacidad para servir aplicaciones en Python usando mod_python, se debern crear los cheros de conguracin necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/userebox-<vHostName>/.
Ejemplo prctico Habilitar el servicio Web. Comprobar que est escuchando en el puerto 80. Congurarlo para que escuche en un puerto distinto y comprobar que el cambio surte efecto. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo servidor web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servidor Web ha quedado habilitado por defecto en el puerto 80. 3. Accin: Utilizando un navegador, acceder a la siguiente direccin http://ip_de_eBox/. Efecto: Aparecer una pgina por defecto de Apache con el mensaje It works!. 4. Accin: Acceder al men Web. Cambiar el valor del puerto de 80 a 1234 y pulsar el botn Cambiar. Efecto: Se ha activado el botn Guardar Cambios. 5. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora el servidor Web est escuchando en el puerto 1234.
51
6. Accin: Volver a intentar acceder con el navegador a http://<ip_de_eBox>/. Efecto: No obtenemos respuesta y pasado un tiempo el navegador informar de que ha sido imposible conectar al servidor. 7. Accin: Intentar acceder ahora a http://<ip_de_eBox>:1234/. Efecto: El servidor responde y obtenemos la pgina de It works!.
2.4
Servicio de sincronizacin de hora (NTP)

El protocolo NTP (Network Time Protocol) fue diseado para sincronizar los relojes de las computadoras sobre una red no able, con latencia variable. Este servicio escucha en el puerto 123 del protocolo UDP. Est diseado para resistir los efectos de la latencia variable (jitter ). Es uno de los protocolos ms antiguos de Internet (desde antes de 1985). NTP versin 4 puede alcanzar una exactitud de hasta 200 s o incluso mejor si el reloj est en la red local. Existen diferentes estratos que denen la distancia del reloj de referencia y su asociada exactitud. Existen hasta 16 niveles. El estrato 0 es para los relojes atmicos que no se conectan a la red sino a otro ordenador con conexin serie RS-232 y estos son los de estrato 1. Los de estrato 2 son los ordenadores que se conectan, ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en los sistemas operativos ms conocidos como GNU/Linux, Windows, o MacOS.
2.4.1 Conguracin de un servidor NTP con eBox

Para congurar eBox dentro de la arquitectura NTP
16
, en primer lugar eBox tiene que sincronizarse
con algn servidor externo de estrato superior (normalmente 2) que se ofrecen a travs de Sistema
Fecha/hora. Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org) que son
una coleccin dinmica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus clientes a travs de Internet.
16
Proyecto del servicio pblico NTP http://support.ntp.org/bin/view/Main/WebHome.
52
Una vez que eBox se haya sincronizado como cliente NTP 17 , el propio eBox podr actuar tambin como servidor NTP, con una hora sincronizada mundialmente.
Ejemplo prctico Habilitar el servicio NTP y sincronizar la hora de nuestra mquina utilizando el comando ntpdate. Comprobar que tanto eBox como la mquina cliente tienen la misma hora. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo ntp, para ello marca su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Acceder al men Sistema
Fecha/Hora. En la seccin Sincronizacin con servi-
dores NTP seleccionar Activado y pulsar Cambiar. Efecto: Desaparece la opcin de cambiar manualmente la fecha y hora y en su lugar aparecen campos para introducir los servidores NTP con los que se sincronizar. 3. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Nuestra mquina eBox actuar como servidor NTP.
17 eBox usa ntpdate para sincronizarse por primera vez, una vez sincronizado usa ntpd para mantener la sincrona. http://www.ece.udel.edu/~mills/ntp/html/
53
4. Accin: Instalar el paquete ntpdate en nuestra mquina cliente. Ejecutar el comando ntpdate <ip_de_eBox>. Efecto: La hora de nuestra mquina habr quedado sincronizada con la de la mquina eBox. Podemos comprobarlo ejecutando el comando date en ambas mquinas.
54
Chapter 3 eBox Gateway
En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. eBox Gateway puede hacer tu red ms able, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar en tu red. En este apartado hay un captulo que se centra en el funcionamiento del mdulo cortafuegos de eBox, el cual nos permite la gestin de reglas para el trco entrante y saliente de nuestra red interna. La conguracin del cortafuegos no se realiza directamente, sino que se apoya en otros dos mdulos que facilitan la gestin de objetos y servicios de red, los cuales se describen en la primera parte del apartado. Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas segn el trco saliente. Adems, se explica en este apartado el moldeado de trco, que se utiliza para asegurar que las aplicaciones crticas se sirven correctamente e incluso para limitar aquellas aplicaciones que generan mucho trco en la red. Finalmente, se ofrece una introduccin al servicio de proxy HTTP que ofrece eBox. Este servicio permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de ltrado, incluyendo reglas basadas en el contenido.
3.1
Abstracciones de red a alto nivel de eBox
55
3.1.1 Objetos de red

Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto de ellos. Sirven para simplicar y consecuentemente facilitar la gestin de la conguracin de la red, pudiendo elegir comportamientos para dichos objetos. Por ejemplo, pueden servir para dar un nombre signicativo a una direccin IP o a un grupo de ellas. Si es el segundo caso, en lugar de denir reglas de acceso de cada una de las direcciones, bastara simplemente con denirlas para el objeto de red. As, todas las direcciones pertenecientes al objeto adquiriran dicha conguracin.
Figure 3.1: Representacin de objetos de red
Gestin de los objetos de red con eBox Para su gestin en eBox se debe ir al men Objetos y ah se crean nuevos objetos, que tendrn asociado un nombre, y una serie de miembros. Se puede crear, editar y borrar objetos. Estos objetos sern usados ms tarde por otros mdulos como por ejemplo el cortafuegos, el Proxy cach Web o el de correo.
56
CHAPTER 3. EBOX GATEWAY
Figure 3.2: Aspecto general del mdulo de objetos de red
Cada uno de ellos tendr al menos los siguientes valores: nombre, direccin IP y mscara de red utilizando notacin CIDR. La direccin fsica slo tendr sentido para miembros que representen una nica mquina.
Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener mucho cuidado al usarlos en el resto de mdulos para obtener la conguracin deseada y no tener problemas de seguridad.
3.1.2 Servicios de red

Un servicio de red es la abstraccin de uno o ms protocolos de aplicacin que pueden ser usados en otros mdulos como el cortafuegos o el mdulo de moldeado de trco. La utilidad de los servicios es similar a la de los objetos. Si veamos que con los objetos podamos hacer referencia fcilmente a un conjunto de direcciones IP usando un nombre signicativo, podemos
57
as mismo identicar un conjunto de puertos numricos, difciles de recordar y engorrosos de teclear varias veces en distintas conguraciones, con un nombre acorde a su funcin (tpicamente el nombre del protocolo de nivel 7 o aplicacin que usa esos puertos).
Figure 3.3: Conexin de un cliente a un servidor
Gestin de los servicios de red con eBox Para su gestin en eBox se debe ir al men Servicios donde es posible crear nuevos servicios, que tendrn asociado un nombre, una descripcin y un indicador de si el servicio es externo o interno. Un servicio es interno si los puertos congurados para dicho servicio se estn usando en la mquina en la que est eBox instalado. Adems cada servicio tendr una serie de miembros. Cada uno de ellos tendr los siguientes valores: protocolo, puerto origen y puerto destino. En todos estos campos podemos introducir el valor cualquiera, por ejemplo para especicar servicios en los que sea indiferente el puerto origen. Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que ms se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino conocido. Los puertos del 1 al 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. Del 1024 al 49.151 son puertos registrados. Y del 49.152 al 65.535 son puertos efmeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. Existe una lista de servicios de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el chero /etc/services.
La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a puertos bien conocidos. La lista completa se encuentra en http://www.iana.org/assignments/port-numbers
1
58
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para evitar tener que aadir dos veces un mismo puerto que se use para ambos protocolos.
Figure 3.4: Aspecto general del mdulo de servicios de red
Se puede crear, editar y borrar servicios. Estos servicios sern usados ms adelante en el cortafuegos o el moldeado de trco haciendo referencia simplemente al nombre signicativo.
Ejemplo prctico
Crear un objeto y aadir lo siguiente: una mquina sin direccin MAC, una mquina con direccin MAC y una direccin de red. Para ello: 1. Accin: Acceder a Objetos. Aadir mquinas de contabilidad. Efecto: El objeto mquinas de contabilidad se ha creado. 2. Accin: Acceder a Miembros del objeto mquinas de contabilidad. Crear miembro servidor contable con una direccin IP de la red, por ejemplo, 192.168.0.12/32. Crear otro miembro servidor contable respaldo con otra direccin IP, por ejemplo, 192.168.0.13/32 y una direccin MAC vlida, por ejemplo, 00:0c:29:7f:05:7d. Finalmente, crea el miembro red de
59
ordenadores contables con direccin IP una subred de tu red local, como por ejemplo, 192.168.0.64/26. Finalmente, ir a Guardar cambios para conrmar la conguracin creada. Efecto: El objeto mquinas de contabilidad contendr tres miembros servidor contable, servidor contable respaldo y red de ordenadores contables de forma permanente.
3.2
Cortafuegos
Para ver la aplicacin de los objetos y servicios de red, vamos a congurar un cortafuegos. Un cortafuegos es un sistema que refuerza las polticas de control de acceso entre redes. En nuestro caso, vamos a tener una mquina dedicada a proteccin de nuestra red interna y eBox de ataques procedentes de la red exterior. Un cortafuegos permite denir al usuario una serie de polticas de acceso, por ejemplo, cules son las mquinas a las que se puede conectar o las que pueden recibir informacin y el tipo de la misma. Para ello, utiliza reglas que pueden ltrar el trco dependiendo de determinados parmetros, por ejemplo protocolo, direccin origen o destino y puertos utilizados. Tcnicamente, la mejor solucin es disponer de un computador con dos o ms tarjetas de red que aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos se encargue de conectar los paquetes de las redes y determinar cules pueden pasar o no y a qu red lo harn. Al congurar nuestra mquina como cortafuegos y encaminador podremos enlazar los paquetes de trnsito entre redes de manera ms segura.
3.2.1 El cortafuegos en GNU/Linux: Netlter

A partir del ncleo Linux 2.4, se proporciona un subsistema de ltrado denominado Netlter que proporciona caractersticas de ltrado de paquetes y de traduccin de redes NAT 2 . La interfaz del comando iptables permite realizar las diferentes tareas de conguracin de las reglas que afectan al sistema de ltrado (tabla lter ), reglas que afectan a la traduccin de los paquetes con NAT (tabla nat) o reglas para especicar algunas opciones de control y manipulacin de paquetes (tabla mangle). Su manejo es muy exible y ortogonal pero aade mucha complejidad y tiene una curva de aprendizaje alta.
Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan por un encaminador o cortafuegos. Su uso principal es permitir a varias mquinas de una red privada acceder a Internet con una nica IP pblica.
2
60
3.2.2 Modelo de seguridad de eBox

El modelo de seguridad de eBox se basa en intentar proporcionar la mxima seguridad posible por defecto, intentando a su vez minimizar el esfuerzo de conguracin de un administrador cuando aade nuevos servicios. Cuando eBox acta de cortafuegos normalmente se instala entre la red local y el router que conecta esa red con otra red, normalmente Internet. Los interfaces de red que conectan la mquina con la red externa (el router ) deben marcarse como tales. Esto permite al mdulo Cortafuegos establecer unas polticas de ltrado por defecto.
Figure 3.5: Red interna - Reglas de ltrado - Red externa
La poltica para las interfaces externas es denegar todo intento de nueva conexin a eBox. Para las interfaces internas se deniegan todos los intentos de conexin, excepto los que se realizan a servicios internos denidos en el mdulo Servicios, que son aceptadas por defecto. Adems eBox congura el cortafuegos automticamente de tal manera que hace NAT para los paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta funcionalidad, puede ser desactivada mediante la variable nat_enabled en el chero de conguracin del mdulo cortafuegos en /etc/ebox/80rewall.conf.
Conguracin de un cortafuegos con eBox Para facilitar el manejo de iptables en tareas de ltrado se usa el interfaz de eBox en Cortafuegos Filtrado de paquetes. Si eBox acta como puerta de enlace, se pueden establecer reglas de ltrado que se encargarn de determinar si el trco de un servicio local o remoto debe ser aceptado o no. Hay cinco tipos de trco de red que pueden controlarse con las reglas de ltrado:
61
Trco de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas mquinas). Trco entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet desde determinada red interna). Trco de eBox a redes externas (ejemplo: permitir descargar cheros por FTP desde la propia mquina con eBox). Trco de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde Internet). Trco de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno desde Internet). Hay que tener en cuenta que los dos ltimos tipos de reglas pueden ser un compromiso para la seguridad de eBox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de ltrado en el siguiente grco:
Figure 3.6: Tipos de reglas de ltrado
eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una interfaz interna (donde se encuentra la Intranet) e Internet. Su conguracin habitual se realiza por objeto. As podemos determinar cmo un objeto de red puede acceder a cada uno de los servicios de
62
eBox. Por ejemplo, podramos denegar el acceso al servicio de DNS a determinada subred. Adems se manejan las reglas de acceso a Internet, por ejemplo, para congurar el acceso a Internet se debe habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier direccin.
Figure 3.7: Lista de reglas de ltrado de paquetes desde las redes internas a eBox
Cada regla tiene un origen y destino que es dependiente del tipo de ltrado que se realiza. Por ejemplo, las reglas de ltrado para salida de eBox slo hace falta jar el destinatario ya que el origen siempre es eBox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el trco de salida excepto el de SSH 3 . Adicionalmente, se le puede dar una descripcin para facilitar la gestin de las reglas. Finalmente, cada regla tiene una decisin que tomar, existen tres tipos: Aceptar la conexin. Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin. Denegar la conexin y adems registrarla. De esta manera, a travs de Registros -> Consulta registros del Cortafuegos podemos ver si una regla est funcionando correctamente.
3
SSH: Secure Shell permite la comunicacin segura entre dos mquinas usando principalmente como consola remota
63
Redirecciones de puertos Las redirecciones de puertos (NAT de destino) se conguran desde Cortafuegos Redirecciones de puertos donde se puede hacer que todo el trco dirigido a un puerto externo (o rango de puertos), se direccione a una mquina que est escuchando en un puerto determinado haciendo la traduccin de la direccin destino. Para congurar una redireccin hay que establecer la interfaz donde se va a hacer la traduccin, el destino original (puede ser eBox, una direccin IP o un objeto), el puerto de destino original (puede ser cualquiera, un rango de puertos o un nico puerto), el protocolo, la origen desde donde se iniciar la conexin (en una conguracin usual su valor ser cualquiera), la IP destino y, nalmente, el puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original o no. Existe tambin un campo opcional llamado descripcin que es til para aadir un comentario que describa el propsito de la regla.
Segn el ejemplo, todas las conexiones que vayan a eBox a travs del interfaz eth0 al puerto 8080/TCP se redirigirn al puerto 80/TCP de la mquina con direccin IP 10.10.10.10.
Ejemplo prctico Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la mquina eBox. Aadir un servicio y una regla de cortafuegos para que una mquina interna pueda acceder al servicio.
64
Para ello: 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Cortafuegos, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para realizar algunas acciones. 2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Crear un servicio interno a travs de Servicios con nombre netcat con puerto destino 6970. Seguidamente, ir a Cortafuegos
Filtrado de paquetes en Reglas de ltrado desde las
redes internas a eBox aadir la regla con, al menos, los siguientes campos: Decisin : ACEPTAR Fuente : Cualquiera Servicio : netcat. Creado en esta accin. Una vez hecho esto. Guardar cambios para conrmar la conguracin. Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que permiten conectarse al mismo. 4. Accin: Lanzar desde la consola de eBox el siguiente comando:
nc -l -p 6970
5. Accin: Desde la mquina cliente comprobar que hay acceso a dicho servicio usando el comando nc:
nc <ip_eBox> 6970
Efecto Puedes enviar datos que sern visto en la terminal donde hayas lanzado netcat en eBox.
65
3.3
Encaminamiento
3.3.1 Tablas de encaminamiento
El trmino encaminamiento hace referencia a la accin de decidir a travs de qu interfaz debe ser enviado un determinado paquete que va a salir desde una mquina. El sistema operativo cuenta con una tabla de encaminamiento con un conjunto de reglas para tomar esta decisin. Cada una de estas reglas cuenta con diversos campos, pero los tres ms importantes son: direccin de destino, interfaz y router. Se deben de leer como sigue: para llegar a una direccin de destino dada, tenemos que dirigir el paquete a travs de un router, el cual es accesible a travs de una determinada interfaz. Cuando llega un mensaje, se compara su direccin destino con las entradas en la tabla y se enva por la interfaz indicada en la regla cuya direccin mejor coincide con el destino del paquete, es decir, aquella regla que es ms especca. Por ejemplo, si se especica una regla en la que para alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B (10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino 10.15.23.23/32, entonces el sistema operativo decidir que se enve al router B ya que existe una regla ms especca. Todas las mquinas tienen al menos una regla de encaminamiento para la interfaz de loopback, o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Para realizar la conguracin manual de una tabla de rutas estticas se utiliza Red protocolo DHCP.
Rutas
(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el
Puerta de enlace A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace congurada, ste se enviar a travs de la puerta de enlace. La puerta de enlace (gateway ) es la ruta por omisin para los paquetes que se envan a otras redes. Para congurar una puerta de enlace se utiliza Red Puertas de enlace.
66
Figure 3.8: Conguracin de rutas
Habilitado: Indica si realmente esta puerta de enlace es efectiva o est desactivada. Nombre: Nombre por el que identicaremos a la puerta de enlace. Direccin IP: Direccin IP de la puerta de enlace. Esta direccin debe ser accesible desde la mquina que contiene eBox. Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de enlace se enviarn a travs de esta interfaz. Peso: Cuanto mayor sea el peso, ms trco absorber esa puerta de enlace cuando est activado el balanceo de carga. Default: Si est activado, se toma esta como la puerta de enlace por omisin.
67
Si se tienen interfaces conguradas como DHCP o PPPoE no se pueden aadir puertas de enlace explticamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden editar el resto de los atributos.
Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE
Ejemplo prctico A
Vamos a congurar la interfaz de red de manera esttica. La clase quedar dividida en dos subredes. Para ello: 1. Accin: Acceder a la interfaz de eBox, entrar en Red
Interfaces y seleccionar para el
interfaz de red eth0 el mtodo Esttico. Como direccin IP introducir la que indique el instructor. Como Mscara de red 255.255.255.0. Pulsar el botn Cambiar. La direccin de red tendr la forma 10.1.X.Y, dnde 10.1.X corresponde con la red e Y con la mquina. En adelante usaremos estos valores. Entrar en Red DNS y seleccionar Aadir. Introducir como Servidor de nombres 10.1.X.1. Pulsar Aadir. Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el servidor recin creado. 2. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios.
68
3. Accin: Acceder a Red Diagnstico. Hacer ping a ebox-platform.com. Efecto: Se muestra como resultado:
connect: Network is unreachable

4. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que forme parte de la misma subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina. 5. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que est en la otra subred. Efecto: Se muestra como resultado:
Ejemplo prctico B
Vamos a congurar una ruta para poder acceder a mquinas de otras subredes. Para ello: 1. Accin: Acceder a la interfaz de eBox, entrar en Red Rellenar el formulario con los siguientes valores: Network 10.1.X.0 / 24 Gateway 10.1.1.1 Description Ruta a la otra subred Pulsar el botn Aadir. Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de rutas en la que se incluye la ruta recin creada. 2. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. 3. Accin: Acceder a Red Diagnstico. Hacer ping a ebox-platform.com. Efecto: Se muestra como resultado:
Rutas y seleccionar Aadir nuevo.
69

4. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que est en la otra subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina.
Ejemplo prctico C
Vamos a congurar una puerta de enlace que nos conecte con el resto de redes. Para ello: 1. Accin: Acceder a la interfaz de eBox, entrar en Red Rutas y eliminar la ruta creada en el ejercicio anterior. Entrar en Red datos: Nombre Default Gateway IP Address 10.1.X.1 Interface eth0 Weight 1 Default s Pulsar el botn Aadir. Efecto: Se ha activado el botn Guardar Cambios. Ha desaparecido la lista de rutas. Ha aparecido una lista de puertas de enlace con la puerta de enlace recin creada. 2. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. 3. Accin: Acceder a Red Diagnstico. Hacer ping a ebox-platform.com. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina. 4. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que est en la otra subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina.
Puertas de enlace y selecciona Aadir nuevo. Rellenar con los siguientes
70
3.3.2 Reglas multirouter y balanceo de carga

Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias conexiones a Internet de una manera transparente. Esto es til si, por ejemplo, una ocina dispone de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin tener que preocuparnos de repartir el trabajo manualmente de las mquinas entre ambos routers, de tal manera que la carga se distribuya automticamente entre ellos. El balanceo de carga bsico reparte de manera equitativa los paquetes que salen de eBox hacia Internet. La forma ms simple de conguracin es establecer diferentes pesos para cada router, de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso ptimo de ellas. Las reglas multirouter permiten hacer que determinado tipo de trco se enve siempre por el mismo router en caso de que sea necesario. Ejemplos comunes son enviar siempre el correo electrnico por un determinado router o hacer que una determinada subred siempre salga a Internet por el mismo router. eBox utiliza las herramientas iproute2 e iptables para llevar a cabo la conguracin necesaria para la funcionalidad de multirouter. Mediante iproute2 se informa al kernel de la disponibilidad de varios routers. Para las reglas multirouter se usa iptables para marcar los paquetes que nos interesan. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que un paquete dado debe ser enviado. Hay varios posibles problemas que hay que tener en cuenta. En primer lugar en iproute2 no existe el concepto de conexin, por lo que sin ningn otro tipo de conguracin los paquetes pertenecientes a una misma conexin podran acabar siendo enviados por diferentes routers, imposibilitando la comunicacin. Para solucionar esto se utiliza iptables para identicar las diferentes conexiones y asegurarnos que todos los paquetes de una conexin se envan por el mismo router. Lo mismo ocurre con las conexiones entrantes que se establecen, todos los paquetes de respuesta a una conexin deben ser enviados por el mismo router por el cual se recibi esa conexin. Para establecer una conguracin multirouter con balanceo de carga en eBox debemos denir tantos routers como sean necesarios en Red Puertas de enlace. Utilizando el parmetro peso en la conguracin de un router podemos determinar la proporcin de paquetes que cada uno de ellos enviar. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente, por el primer router se enviarn 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarn a travs del segundo.
71
Las reglas multirouter y el balanceo de trco se establecen en la seccin Red
Balanceo
de trco. En esta seccin podemos aadir reglas para enviar ciertos paquetes a un determinado router dependiendo de la interfaz de entrada, la fuente (puede ser una direccin IP, un objeto, eBox o cualquiera), el destino (una direccin IP o un objeto de red), el servicio al que se quiere asociar esta regla y por cual de los routers queremos direccionar el tipo de trco especicado.
Ejemplo prctico D Congurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona utilizando la herramienta traceroute. Para ello: 1. Accin: Ponerse por parejas, dejando una eBox con la conguracin actual y aadiendo en la otra un nuevo gateway, accediendo a travs del interfaz a Red Puertas de enlace y pulsando en Aadir nuevo, con los siguientes datos: Nombre Gateway 2
72
Direccin IP <IP eBox compaero> Interfaz eth0 Peso 1 Predeterminado s Pulsar el botn Aadir. Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de puertas de enlace con la puerta de enlace recin creada y la puerta de enlace anterior. 2. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. 3. Accin: Ir a una consola y ejecutar el siguiente script:
for i in $(seq 1 254); do sudo traceroute -I -n 155.210.33.$i -m 6; done

Efecto: El resultado de una ejecucin de traceroute muestra los diferentes routers por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una mquina con conguracin multirouter el resultado de los primeros saltos entre routers debera ser diferente dependiendo del router elegido.
3.3.3 Tolerancia a fallos (WAN Failover)

Si se est balanceando trco entre dos o ms routers esta caracterstica es realmente til. En un escenario normal sin tolerancia a fallos, supngase que se est balanceando el trco entre dos routers y uno de ellos se cae. Asumiendo que los dos routers tengan el mismo peso, la mitad del trco seguira intentando salir por el router cado, causando problemas de conectividad a todos los clientes de la red. En la conguracin del failover se pueden denir conjuntos de reglas para cada router que necesite ser comprobado. Estas reglas pueden ser un ping al router, a una mquina externa, una resolucin de DNS o una peticin HTTP. Tambin se puede denir cuntas pruebas se quieren realizar as como el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptacin, el router asociado a ella ser desactivado. Pero las pruebas se siguen ejecutando, por tanto, en cuanto el router vuelva a estar operativo, todas las pruebas se ejecutarn satisfactoriamente y el router ser activado de nuevo.
73
Deshabilitar un router sin conexin tiene como consecuencia que todo el trco salga por el otro router que sigue habilitado, en lugar de ser balanceado. De esta forma, los usuarios de la red no deberan sufrir problemas con su conexin a Internet. Una vez que eBox detecta que el router cado est completamente operativo se restaura el comportamiento normal de balanceo de trco. El failover est implementado como un evento de eBox. Para usarlo, primero se necesita tener el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.
4
Para congurar las opciones y reglas del failover se debe acudir al men Red
WAN Failover.
Se puede especicar el periodo del evento modicando el valor de la opcin Tiempo entre revisiones. Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los siguientes campos: Habilitado: Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de los routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de nuevo.
Para ms detalles acerca de cmo funcionan y como se conguran los eventos en eBox se puede consultar el captulo Incidencias (eventos y alertas).
4
74
Router: Se encuentra previamente rellenado con la lista de routers congurados, slo se necesita seleccionar uno de ellos. Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Enva un paquete ICMP echo con la direccin de la puerta de enlace como destino. Ping a mquina: Enva un paquete ICMP echo con la direccin IP de la mquina externa especicada abajo como destino. Resolucin DNS: Intenta obtener la direccin IP para el nombre de mquina especicado abajo. Peticin HTTP: Se descarga el contenido del sitio web especicado abajo. Mquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace. Nmero de pruebas: Nmero de veces que se repite la prueba. Ratio de xito requerido: Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la prueba. Se recomienda congurar un emisor de eventos para estar al tanto de las conexiones y desconexiones de routers que puedan producirse. Si no se hace esto, los eventos sern registrados solamente en el chero /var/log/ebox/ebox.log.
3.4
Moldeado de trco
3.4.1 Calidad de servicio (QoS)
La calidad de servicio (Quality of Service, QoS) en redes de computadores se reere a los mecanismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o ujos de datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impuestas por la aplicacin. Restricciones como el retraso en la entrega, la tasa de bit, la probabilidad de prdida de paquetes o la variacin de retraso por paquete 5 pueden estar jadas por diversas aplicaciones de ujo de datos multimedia como voz o TV sobre IP. Estos mecanismos slo aplican cuando
jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes seleccionados de un ujo.
5
75
los recursos son limitados (redes inalmbricas celulares) o cuando hay congestin en la red, en caso contrario no se deberan aplicarse dichos mecanismos. Existen diversas tcnicas para dar calidad de servicio: Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para pedir y reservar espacio en los encaminadores. Sin embargo, esta opcin se ha relegado ya que no escala bien en el crecimiento de Internet. Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el servicio al que sirven. Dependiendo de las marcas, los encaminadores usarn diversas tcnicas de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta tcnica est actualmente aceptada. Como aadido a estos sistemas, existen mecanismos de gestin de ancho de banda para mejorar la calidad de servicio basada en el moldeado de trco, algoritmos de scheduling o evitacin de la congestin. Para el moldeado de trco existen bsicamente dos algoritmos: Token bucket: Dicta cuando el trco puede transmitirse, basado en la presencia de tokens en el bucket (sitio virtual donde almacenar tokens). Cada token es una unidad de Bytes determinada, as cada vez que se envan datos, se consumen tokens, cuando no hay tokens no es posible transmitir datos. Se proveen tokens peridicamente a cada uno de los buckets. Con esta tcnica se permite el envo de datos en perodos de alta demanda 6 . Leaky bucket: Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a una tasa continua y estable a travs de dicho agujero.
3.4.2 Conguracin de la calidad de servicio en eBox

eBox utiliza las capacidades del ncleo de Linux 7 para hacer moldeado de trco usando token bucket que permite una tasa garantizada, limitada y una prioridad a determinados tipos de ujos de datos (protocolo y puerto) a travs del men Moldeado de trco Reglas. Para poder realizar moldeado de trco es necesario disponer de al menos una interfaz interna y una interfaz externa. Tambin debe existir un router. Adems debemos congurar las tasas de subida y bajada de los routers en Moldeado de trco Tasas de Interfaz, estableciendo el ancho de banda
6 7
Trmino conocido como burst. Linux Advanced Routing & Trafc Control http://lartc.org
76
que nos proporciona cada router que est conectado a una interfaz externa. Las reglas de moldeado son especcas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas. Si se moldea la interfaz externa, entonces se estar limitando el trco de salida de eBox hacia Internet. En cambio, si se moldea la interfaz interna, entonces se estar limitando la salida de eBox hacia sus redes internas. El lmite mximo de tasa de salida y entrada viene dado por la conguracin en Moldeado de trco Tasas de Interfaz. Como se puede observar, no se puede moldear el trco entrante en s, eso es debido a que el trco proveniente de la red no es predecible y controlable de casi ninguna forma. Existen tcnicas especcas a diversos protocolos para tratar de controlar el trco entrante a eBox, como por ejemplo, TCP con el ajuste articial del tamao de ventana de ujo de la conexin TCP o controlando la tasa de conrmaciones (ACK ) devueltas al emisor. Para cada interfaz se pueden aadir reglas para dar prioridad (0: mxima prioridad, 7: mnima prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarn al trco determinado por el servicio, origen y destino del ujo.
Figure 3.10: Reglas de moldeado de trco
Ejemplo prctico Crear una regla para moldear el trco de bajada HTTP y limitarlo a 20KB/s. Comprobar su funcionamiento. 1. Accin: Aadir un router a travs de Red Routers a tu interfaz de red externo. Efecto: Se ha activado el botn Guardar Cambios. La lista de puertas de enlace contiene un nico router. 2. Accin: Guardar los cambios.
77
Efecto: eBox muestra el progreso mientras aplica los cambios. 3. Accin: Acceder de nuevo a la interfaz de eBox y aadir en Servicios un servicio llamado HTTP con protocolo TCP, tipo externo y puerto de destino simple 80. Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio HTTP. 4. Accin: Ir a la entrada Moldeado de trco datos: Habilitada S Servicio Servicio basado en puerto / HTTP Origen cualquiera Destino cualquiera Prioridad 7 Tasa garantizada 0 Kb/s Tasa limitada 160 Kb/s Pulsar el botn Aadir. Efecto: eBox muestra una tabla con la nueva regla de moldeado de trco. 5. Accin: Comenzar a descargar desde una mquina de tu LAN (distinta de eBox) usando el comando wget un chero grande accesible desde Internet (por ejemplo, una imagen ISO de Ubuntu). Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s).
Reglas. Seleccionar la interfaz interna en la
lista de interfaces y pulsar en Aadir nuevo para aadir una nueva regla con los siguientes
3.5
RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticacin, autorizacin y gestin de la taricacin, en ingls AAA (Authentication, Authorization and Accounting) para ordenadores que se conectan y usan una red. El ujo de autenticacin y autorizacin en RADIUS funciona de la siguiente manera: el usuario o mquina enva una peticin a un NAS (Network Access Server ) como podra ser un punto de
78
acceso inalmbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red utilizando los credenciales de acceso. En respuesta, el NAS enva un mensaje Access Request al servidor RADIUS solicitando autorizacin para acceder a la red, incluyendo todos los credenciales de acceso necesarios, no solo nombre de usuario y contrasea, pero probablemente tambin realm, direccin IP, VLAN asignada y tiempo mximo que podr permanecer conectado. Esta informacin se comprueba utilizando esquemas de autenticacin como Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP) y se enva una respuesta al NAS: Access Reject: Cuando se deniega el acceso al usuario. Access Challenge: Cuando se solicita informacin adicional, como en TTLS donde un dilogo a travs de un tnel establecido entre el servidor RADIUS y el cliente realiza una segunda autenticacin. Access Accept: Cuando se autoriza el acceso al usuario. Los puertos ocialmente asignados por el IANA son 1812/UDP para autenticacin y 1813/UDP para taricacin. Este protocolo no transmite las contraseas en texto plano entre el NAS y el servidor (incluso utilizando el protocolo PAP) ya que existe una contrasea compartida que cifra la comunicacin entre ambas partes. El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en eBox.
8
3.5.1 Conguracin del servidor RADIUS con eBox

Para congurar el servidor RADIUS en eBox, primero comprobaremos en Estado del Mdulo si Usuarios y Grupos est habilitado, ya que RADIUS depende de l. Entonces marcaremos la casilla RADIUS para habilitar el mdulo de eBox de RADIUS. Para congurar el servicio, accederemos a RADIUS en el men izquierdo. All podremos denir si Todos los usuarios o slamente los usuarios que pertenecen a uno de los grupos existentes podrn acceder al servicio. Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacin a eBox deben ser especicados en Clientes RADIUS. Para cada uno podemos denir: Habilitado: Indicando si el NAS est habilitado o no. Cliente: El nombre para este cliente, como podra ser el nombre de la mquina.
8 9
Estos protocolos de autenticacin estn denidos en RFC 1334. FreeRADIUS - El servidor RADIUS ms popular del mundo <http://freeradius.org/>.
79
Figure 3.11: Conguracin general de RADIUS
Direccin IP: La direccin IP o el rango de direcciones IP a las que se permite enviar peticiones al servidor RADIUS. Contrasea compartida: Contrasea compartida entre el servidor RADIUS y el NAS para autenticar y cifrar sus comunicaciones.
3.5.2 Conguracin del Punto de Acceso

En cada dispositivo NAS necesitaremos congurar la direccin de eBox como el servidor RADIUS, el puerto, normalmente el UDP/1812, y la contrasea compartida. Tanto WPA como WPA2, usando TKIP o AES (recomendado) pueden usarse con eBox RADIUS. El modo deber ser EAP.
3.6
Servicio Proxy HTTP

Un servidor Proxy Cach Web se utiliza para reducir el consumo de ancho de banda en una conexin HTTP (Web) 10 , controlar su acceso, mejorar la seguridad en la navegacin e incrementar la velocidad de recepcin de pginas de la red. Un proxy es un programa que acta de intermediario en la conexin a un protocolo, en este caso el protocolo HTTP. Al intermediar puede modicar el comportamiento del protocolo, por ejemplo actuando de cach o modicando los datos recibidos.
10
Para ms informacin sobre el servicio HTTP, ir a la seccin Servicio de publicacin de informacin web (HTTP).
80
Figure 3.12: Conguracin del Punto de Acceso
81
El servicio de proxy HTTP suministrado por eBox ofrece las siguientes funcionalidades: Acta de cach de contenidos acelerando la navegacin y reduciendo el consumo de ancho de banda. Restriccin de acceso dependiendo de la direccin de red de origen, de usuario o de horario. Anti-virus, bloqueando el acceso a contenidos infectados. Restriccin de acceso a determinados dominios y tipos de chero. Filtrado de contenidos. eBox utiliza Squid 11 como proxy, apoyndose en Dansguardian 12 para el control de contenidos.
3.6.1 Conguracin de poltica de acceso

La parte ms importante de congurar el proxy HTTP es establecer la poltica de acceso al contenido web a travs de l. La poltica determina si se puede acceder a la web y si se aplica del ltro de contenidos. El primer paso a realizar es denir una poltica global de acceso. Podemos establecerla en la seccin Proxy HTTP General, seleccionando una de las seis polticas disponibles:
11 12
Squid: http://www.squid-cache.org Squid Web Proxy Cache Dansguardian: http://www.dansguardian.org Web content ltering
82
Permitir todo: Con esta poltica se permite a los usuarios navegar sin restricciones. Esta falta de restricciones no signica que no puedan disfrutar de las ventajas de la cach de pginas web. Denegar todo: Esta poltica deniega el acceso web. A primera vista podra parecer poco til ya que el mismo efecto se puede conseguir ms fcilmente con una regla de cortafuegos. Sin embargo, como explicaremos posteriormente podemos establecer polticas particulares para cada objeto de red, pudiendo usar esta poltica para denegar por defecto y luego aceptar las peticiones web para determinados objetos. Filtrar: Esta poltica permite el acceso y activa el ltrado de contenidos que puede denegar el acceso web segn el contenido solicitado por los usuarios. Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. La autorizacin se explicar en la seccin Conguracin Avanzada para el proxy HTTP.
Tras establecer la poltica global, podemos renar nuestra poltica asignando polticas particulares a objetos de red. Para asignarlas entraremos en la seccin Proxy HTTP Poltica de objetos. Podremos elegir cualquiera de las seis polticas para cada objeto; cuando se acceda al proxy desde cualquier miembro del objeto esta poltica tendr preferencia sobre la poltica global. Una direccin de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reejar la prioridad. Se aplicar la poltica del objeto de mayor prioridad que contenga la direccin de red. Adems existe la posibilidad de denir un rango horario fuera del cual no se permitira acceso al objeto de red.
83
Warning: La opcin de rango horario no es compatible para polticas que usen ltrado de contenidos.
Figure 3.13: Polticas de acceso web para objetos de red
3.6.2 Conexin al proxy y modo transparente

Para conectar al proxy HTTP, los usuarios deben congurar su navegador estableciendo eBox como proxy web. El mtodo especco depende del navegador, pero la informacin necesaria es la direccin del servidor de eBox y el puerto donde acepta peticiones el proxy. El proxy de eBox Platform nicamente acepta conexiones provenientes de sus interfaces de red internas, por tanto, se debe usar una direccin interna en la conguracin del navegador. El puerto por defecto es el 3128, pero se puede congurar desde la seccin Proxy HTTP General. Otros puertos tpicos para servicios de proxy web son el 8000 y el 8080. Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy, deberamos tener denegado el trco HTTP en nuestro cortafuegos. Una manera de evitar la necesidad de congurar cada navegador es usar el modo transparente. En este modo, eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia las redes externas a eBox (Internet) sern redirigidas al proxy. Para activar este modo debemos ir a la pgina Proxy HTTP requieran autorizacin.
General y marcar la opcin proxy transparente. Como veremos en
Conguracin Avanzada para el proxy HTTP, el modo transparente es incompatible con polticas que
84
Por ltimo, hay que tener en cuenta que el trco Web seguro (HTTPS) no puede ser ltrado al estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos para las redes internas hacia Internet dando acceso garantizado al trco HTTPS.
3.6.3 Control de parmetros de la cach

En el apartado Proxy HTTP
General es posible denir el tamao de la cach en disco y qu
direcciones estn exentas de su uso. El tamao de la cach controla el mximo de espacio usado para almacenar los elementos web cacheados. El tamao se establece en el campo Tamao de cheros de cach que se puede encontrar bajo el encabezado Conguracin General. Con un mayor tamao se aumentar la probabilidad de que se pueda recuperar un elemento desde la cach, pudiendo incrementar la velocidad de navegacin y reducir el uso de ancho de banda. Sin embargo, el aumento de tamao tiene como consecuencias negativas no slo el aumento de espacio usado en el disco duro sino tambin un aumento en el uso de la memoria RAM, ya que la cach debe mantener ndices a los elementos almacenados en el disco duro. Corresponde a cada administrador decidir cual es el tamao ptimo para la cach teniendo en cuenta las caractersticas de la mquina y el trco web esperado. Es posible indicar dominios que estn exentos del uso de la cach. Por ejemplo, si tenemos servidores web locales no se acelerar su funcionamiento usando la cach HTTP y se malgastara memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos. Dichos dominios se denen bajo el encabezado Excepciones a la cach que podemos encontrar en la seccin Proxy HTTP General.
3.6.4 Filtrado de contenidos web

eBox permite el ltrado de pginas web segn su contenido. Para que el ltrado tenga lugar la poltica global o la particular de cada objeto desde que se accede deber ser de Filtrar o Autorizar y Filtrar. Con eBox se pueden denir mltiples perles de ltrado pero slo trataremos en esta seccin el perl por defecto, dejando la discusin de mltiples perles para la seccin Conguracin Avanzada para el proxy HTTP. Para congurar las opciones de ltrado, iremos a Proxy HTTP Filtrado y seleccionaremos la conguracin del perl por defecto
Perles de
85
El ltrado de contenidos de la pginas Web se basa en diferentes mtodos incluyendo marcado de frases clave, ltrado heurstico y otros ltros ms sencillos. La conclusin nal es determinar si una pgina puede ser visitada o no. El primer ltro es el anti-virus. Para poder utilizarlo debemos tener el mdulo de antivirus instalado y activado. Podemos congurar si deseamos activarlo o no. Si est activado se bloquear el trco HTTP en el que sean detectados virus. El ltro de contenidos principalmente consiste en el anlisis de los textos presentes en las paginas web, si se considera que el contenido no es apropiado (pornografa, violencia, etc) se bloquear el acceso a la pgina. Para controlar este proceso se puede establecer un umbral ms o menos restrictivo, siendo este el valor que se comparar con la puntuacin asignada a la pgina para decidir si se bloquea o no. El lugar donde establecer el umbral es la seccin Umbral de ltrado de contenido. Tambin se puede desactivar este ltro eligiendo el valor Desactivado. Hay que tener en cuenta que con este anlisis se puede llegar a bloquear paginas inocuas, este problema se puede remediar aadiendo dominios a una lista blanca, pero siempre existir el riesgo de un falso positivo con pginas desconocidas. Existen otro tipo de ltros de carcter explcito: Por dominio: Prohibiendo el acceso a la pgina de un diario deportivo en una empresa. Por extensin del chero a descargar. Por tipo de contenidos MIME: Denegando la descarga de todos los cheros de audio o vdeo. Estos ltros estn dispuestos en la interfaz por medio de las pestaas Filtro de extensiones de chero, Filtro de tipos MIME y Filtro de dominios,
86
En la pestaa de Filtro de extensiones de chero se puede seleccionar que extensiones sern bloqueadas. De manera similar en Filtro de tipos MIME se puede indicar qu tipos MIME se quieren bloquear y aadir otros nuevos si es necesario. Los tipos MIME (Multipurpose Internet Mail Extensions) son un estndar, concebido para extender las capacidades del correo electrnico, que dene los tipos de contenidos. Estos tambin se usan en otros protocolos como el HTTP para determinar el contenido de los cheros que se transmiten. Un ejemplo de tipo MIME es text/html que son las pginas Web. El primero de los elementos determina el tipo de contenido que almacena (texto, vdeo, audio, imagen, binario, ...) y el segundo el formato especco para representar dicho contenido (HTML, MPEG, gzip, ...). En la pestaa de Filtro de dominios encontraremos los parametros que controlan el ltrado de paginas en base al dominio al que pertenecen. Existen dos opciones de carcter general:
87
Bloquear dominios especicados slo como IP, esta opcin bloquea cualquier dominio especicado nicamente por su IP asegurndonos as que no es posible encontrar una manera de saltarse nuestras reglas mediante el uso de direcciones IP. Bloquear dominios no listados, esta opcin bloquea todos los dominios que no estn presentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas de dominios. En este ltimo caso, las categorias con una poltica de Ignorar no son consideradas como listadas. A continuacin tenemos, la lista de dominios, donde podemos introducir nombres de dominio y seleccionar una poltica para ellos entre las siguientes: Permitir siempre: El acceso a los contenidos del dominio ser siempre permitido, todos los ltros del ltro de contenido son ignorados. Denegar siempre: El acceso nunca se permitir a los contenidos de este dominio. Filtrar: Se aplicarn las reglas usuales a este dominio. Resulta til si est activada la opcin Bloquear dominios no listados.
En el encabezado Archivos de listas de dominios podemos simplicar el trabajo del administrador usando listas clasicadas de dominios. Estas listas son normalmente mantenidas por terceras
88
partes y tienen la ventaja de que los dominios estn clasicados por categoras, permitindonos seleccionar una poltica para una categora entera de dominios. eBox soporta las listas distribuidas por urlblacklist
13
, shallas blacklists
14
y cualquiera que use el mismo formato.
Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo, podemos incorporarlo a nuestra conguracin y establecer polticas para las distintas categoras de dominios. Las polticas que se pueden establecer en cada categora son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categora. Existe una poltica adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categora a la hora de ltrar. Dicha poltica es la elegida por defecto para todas las categoras.
Ejemplo prctico Activar el modo transparente del proxy. Comprobar usando los comandos de iptables las reglas de NAT que ha aadido eBox para activar este modo Para ello: 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy HTTP, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos cheros.
13 14
URLBlacklist: http://www.urlblacklist.com Shallas blacklist: http://www.shallalist.de
89
2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Ir a Proxy HTTP otra interna. Efecto: El modo transparente est congurado 4. Accin: Guardar cambios para conrmar la conguracin Efecto: Se reiniciarn los servicios de cortafuegos y proxy HTTP. 5. Accin: Desde la consola en la mquina en la que est eBox, ejecutar el comando
General, activar la casilla de Modo transparente. Asegurarnos
que eBox puede actuar como router, es decir, que haya al menos una interfaz de red externa y
iptables -t nat -vL.

Efecto: La salida de dicho comando debe ser algo parecido a esto:
Chain PREROUTING (policy ACCEPT 7289 packets, 1222K bytes) pkts bytes target prot opt in out source destination 799 88715 premodules all -- any any anywhere anywhere
Chain POSTROUTING (policy ACCEPT 193 packets, 14492 bytes) pkts bytes target prot opt in out source destination 29 2321 postmodules all -- any any anywhere anywhere 0 0 SNAT all -- any eth2 !10.1.1.1 anywhere to:10.1.1. Chain OUTPUT (policy ACCEPT 5702 packets, 291K bytes) pkts bytes target prot opt in out source Chain postmodules (1 references) pkts bytes target prot opt in Chain premodules (1 references) pkts bytes target prot opt in 0 0 REDIRECT tcp -- eth3
destination
out
source
destination
out any
source destination anywhere !192.168.45.204
tcp
90
Chapter 4 eBox Ofce
Uno de los fundamentos de la creacin de las redes de computadores, fue la comparticin de recursos y de informacin 1 . A lo largo de todo este captulo, se van a ir explorando los diferentes recursos de informacin disponibles en una red de rea local dispuesta en casa o en la ocina. La gestin de usuarios y grupos a travs de un servicio de directorio para todos los servicios de la red de forma unicada, el empleo de cheros e impresoras compartidas, adems de todos los servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado.
4.1
Servicio de directorio (LDAP)

Para almacenar y organizar la informacin relativa a organizaciones (en nuestro caso, usuarios y grupos) se utilizan los servicios de directorio. Estos permiten a los administradores de la red manejar el acceso a los recursos por parte de los usuarios aadiendo una capa de abstraccin entre ambos. Este servicio da una interfaz de acceso a la informacin. Tambin acta como una autoridad central y comn a travs de la cual los usuarios se pueden autenticar de manera segura. Se podra hacer la analoga entre un servicio de directorio y las pginas amarillas. Entre sus caractersticas destacan: La informacin es muchas ms veces leda que escrita. Estructura jerrquica que simula la arquitectura de las organizaciones.
1
De hecho, se considera la motivacin principal de su creacin.
91
A cada clase de objeto, estandarizada por la IANA 2 , se le denen unas propiedades sobre las cuales se pueden denir listas de control de acceso (ACLs). Existen mltiples implementaciones del servicio de directorio entre las que destacamos NIS, OpenLDAP, ActiveDirectory, etc. eBox usa OpenLDAP como servicio de directorio con tecnologa Samba para controlador de dominios Windows adems de para la comparticin de cheros e impresoras.
4.1.1 Usuarios y grupos

Normalmente, en la gestin de una organizacin de mayor o menor tamao existe la concepcin de usuario o grupo. Para facilitar la tarea de administracin de recursos compartidos se diferencia entre entre usuarios y grupos de ellos. Cada uno de los cuales puede tener diferentes privilegios con respecto a los recursos de la organizacin.
Gestin de los usuarios y grupos en eBox
Modos
Como se ha explicado, eBox est diseada de manera modular, permitiendo al administrador distribuir los servicios entre varias mquinas de la red. Para que esto sea posible, el mdulo de usuarios y grupos puede congurarse siguiendo una arquitectura maestro/esclavo para compartir usuarios entre las diferentes eBoxes. Por defecto y a no ser que se indique lo contrario en el men Usuarios y Grupos
Modo,
3
el mdulo se congurar como un directorio LDAP maestro y el Nombre Distinguido (DN) se puede hacer en la entrada de texto LDAP DN.
del
directorio se establecer de acuerdo al nombre de la mquina. Si se desea congurar un DN diferente,
Internet Assigned Numbers Authority (IANA) es una organizacin que se encarga de la asignacin de direcciones IP pblicas, nombres de dominio de mximo nivel (TLD), etc. http://www.iana.org/ 3 Cada entrada en un directorio LDAP tiene un identicador nico llamado nombre distinguido que tiene similitudes con el concepto de ruta completa de chero en un sistema de cheros.
92
CHAPTER 4. EBOX OFFICE
Otras eBoxes pueden ser conguradas para usar un maestro como fuente de sus usuarios, convirtindose as en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en Usuarios y Grupos Modo. La conguracin del esclavo necesita dos datos ms, la IP o nombre de mquina del directorio maestro y su clave de LDAP. Esta clave no es la de eBox, sino una generada automticamente al activar el mdulo usuarios y grupos. Su valor puede ser obtenido en el campo Contrasea de la opcin de men Usuarios y Grupos Datos LDAP en la eBox maestra.
Hay un requisito ms antes de registrar una eBox esclava en una eBox maestra. El maestro debe de ser capaz de resolver el nombre de mquina del esclavo utilizando DNS. Hay varias maneras de conseguir esto. La ms sencilla es aadir una entrada para el esclavo en el chero /etc/hosts del maestro. Otra opcin es congurar el servicio DNS en eBox, incluyendo el nombre de mquina del esclavo y la direccin IP. Si el mdulo cortafuegos est habilitado en la eBox maestra, debe ser congurado de manera que permita el trco entrante de los esclavos. Por defecto, el cortafuegos prohbe este trco, por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.
93
Una vez todos los parmetros han sido establecidos y el nombre de mquina del esclavo puede ser resuelto desde el maestro, el esclavo puede registrarse en la eBox maestra habilitando el mdulo de usuarios y grupos en Estado de los mdulos. Los esclavos crean una rplica del directorio maestro cuando se registran por primera vez, que se mantiene actualizada automticamente cuando se aaden nuevos usuarios y grupos. Se puede ver la lista de esclavos en el men Usuarios y grupos Estado de los esclavos de la eBox maestra.
Los mdulos que utilizan usuarios como por ejemplo correo y comparticin de cheros pueden instalarse ahora en los esclavos y utilizarn los usuarios disponibles en la eBox maestra. Algunos mdulos necesitan que se ejecuten algunas acciones cuando se aaden usuarios, como por ejemplo comparticin de cheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro notica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a los esclavos de ejecutar las acciones apropiadas. Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno de los esclavos est apagado. En ese caso, el maestro recordar que hay acciones pendientes que deben realizarse y lo reintentar peridicamente. El usuario puede comprobar tambin el estado de los esclavos en Usuarios y Grupos
Estado de Esclavo y forzar el reintento de las acciones
manualmente. Desde esta seccin tambin es posible borrar un esclavo. Hay una importante limitacin en la arquitectura maestro/esclavo actual. El maestro eBox no puede tener instalados mdulos que dependan de usuarios y grupos, como por ejemplo comparticin de cheros o correo. Si el maestro tiene alguno de estos mdulos instalados, deben ser desinstalados antes de intentar registrar un esclavo en l. Si en algn momento se desea cambiar el modo de operacin del mdulo usuarios y grupos, se puede hacer ejecutando el script:
94
# sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall
Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los usuarios y grupos actuales y reinstalando desde cero un directorio vaco que puede ser congurado en un modo diferente.
Creacin de usuarios y grupos

Se puede crear un grupo desde el men Usuarios y Grupos por su nombre, y puede contener una descripcin.
Grupos. Un grupo se identica
A travs de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder editarlos o borrarlos. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, adems de la informacin que tiene que ver con aquellos mdulos de eBox instalados que poseen alguna conguracin especca para los grupos de usuarios.
95
Entre otras cosas con grupos de usuarios es posible: Disponer de un directorio compartido entre los usuarios de un grupo. Dar permisos sobre una impresora a todos los usuarios de un grupo. Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo. Asignar permisos de acceso a las distintas aplicaciones de eGroupware a todos los usuarios de un grupo. Los usuarios se crean desde el men Usuarios y Grupos Usuarios, donde tendremos que rellenar la siguiente informacin:
Nombre de usuario: Nombre que tendr el usuario en el sistema, ser el nombre que use para identicarse en los procesos de autenticacin. Nombre: Nombre del usuario. Apellidos: Apellidos del usuario. Comentario: Informacin adicional sobre el usuario. Contrasea: Contrasea que emplear el usuario en los procesos de autenticacin. Esta informacin se tendr que dar dos veces para evitar introducirla incorrectamente. Grupo: Es posible aadir el usuario a un grupo en el momento de su creacin. Desde Usuarios y Grupos eliminarlos.
Usuarios se puede obtener un listado de los usuarios, editarlos o
96
Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre del usuario, adems de la informacin que tiene que ver con aquellos mdulos de eBox instalados que poseen alguna conguracin especca para los usuarios. Tambin se puede modicar la lista de grupos a los que pertenece.
Editando un usuario es posible: Crear una cuenta para el servidor Jabber. Crear una cuenta para la comparticin de cheros o de PDC con una cuota personalizada. Dar permisos al usuario para usar una impresora. Crear una cuenta de correo electrnico para el usuario y aliases para la misma. Asignar permisos de acceso a las distintas aplicaciones de eGroupware. Asignar una extensin telefnica a dicho usuario.
97
En una conguracin maestro-esclavo, los campos bsicos de usuarios y grupos se editan desde el maestro, mientras que el resto de atributos relacionados con otros mdulos instalados en un esclavo dado se editan desde el mismo.
Rincn del Usuario Los datos del usuario slo pueden ser modicados por el administrador de eBox lo cual comienza a ser no escalable cuando el nmero de usuarios que se gestiona comienza a ser grande. Tareas de administracin como cambiar la contrasea de un usuario puede hacer perder la mayora del tiempo del encargado de dicha labor. De ah surge la necesidad del nacimiento del rincn del usuario. Dicho rincn es un servicio de eBox para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada como el resto de mdulos. El rincn del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema.
El usuario puede entrar en el rincn del usuario a travs de: https://<ip_de_eBox>:<puerto_rincon_usuario>/ Una vez el usuario introduce su nombre y su contrasea puede realizar cambios en su conguracin personal. Por ahora, la funcionalidad que se presenta es la siguiente: Cambiar la contrasea actual. Conguracin del buzn de voz del usuario. Congurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en eBox.
98
Ejemplo prctico A
Crear un grupo en eBox llamado contabilidad. Para ello: 1. Accin: Activar el mdulo usuarios y grupos. Entrar en Estado de los mdulos y activar el mdulo en caso de que no est habilitado. Efecto: El mdulo est activado y listo para ser usado. 2. Accin: Acceder a Usuarios y Grupos parmetro comentario es opcional. Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato.
Grupos. Aadir contabilidad como grupo. El
Ejemplo prctico B
Crear el usuario pedro y aadirlo al grupo contabilidad. Para ello: 1. Accin: Acceder a Usuarios
Aadir usuario. Rellenar los distintos campos para nuestro
nuevo usuario. Se puede aadir al usuario pedro al grupo contabilidad desde esta pantalla. Efecto: El usuario ha sido aadido al sistema y al grupo contabilidad. Comprobar desde consola que hemos aadido a nuestro usuario correctamente:
99
1. Accin: Ejecutar en la consola el comando:
# id pedro
Efecto: El resultado debera de ser algo como esto:
uid=2003(pedro) gid=1901(__USERS__) groups=1901(__USERS__) ,2004(contabilidad)
4.2
Servicio de comparticin de cheros y de autenticacin

4.2.1 Comparticin de cheros
La comparticin de cheros se realiza a travs de un sistema de cheros en red. Los principales sistemas existentes para ello son Network File System (NFS), de Sun Microsystems, que fue el primero en crearse, Andrew File System (AFS) y Common Internet File System (CIFS) tambin conocido como Server Message Block (SMB). A los clientes se les da la abstraccin de estar haciendo operaciones (creacin, lectura, escritura) sobre cheros en un medio de almacenamiento de la misma mquina. Sin embargo, esta informacin puede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localizacin. Idealmente, el cliente no debera saber si el chero se almacena en la propia mquina o se dispersa por la red. En realidad, eso no es posible debido a los retardos de la red y las cuestiones relacionadas con la actualizacin concurrente de cheros comunes y que no deberan interferir entre ellas.
4.2.2 SMB/CIFS y su implementacin Linux Samba

El SMB (Server Message Block ) o CIFS (Common Internet File System) se usa para compartir el acceso a cheros, impresoras, puertos serie y otra serie de comunicaciones entre nodos en una red local. Tambin ofrece mecanismos de autenticacin entre procesos. Se usa principalmente entre ordenadores Windows, sin embargo, existen implementaciones en otros sistemas operativos como GNU/Linux a travs de Samba que implementa los protocolos de los sistemas Windows utilizando ingeniera inversa 4 .
4
La ingeniera inversa trata de averiguar los protocolos de comunicacin usando para ello nicamente sus mensajes.
100
Ante el auge de otros sistemas de comparticin de cheros, Microsoft decidi renombrar SMB a CIFS aadiendo nuevas caractersticas como enlaces simblicos y fuertes, mayores tamaos para los cheros y evitar el uso de NetBIOS 5 sobre el que SMB se basa.
4.2.3 Primary Domain Controller (PDC)

Un PDC es un servidor de dominios de versiones Windows NT previas a Windows 2000. Un dominio, segn este entorno, es un sistema que permite el acceso restringido a una serie de recursos con el uso de un nica combinacin nombre de usuario y contrasea. Por tanto, es posible utilizarlo para permitir la entrada en el sistema con control de acceso remoto. PDC tambin ha sido recreado por Samba dentro del sistema de autenticacin de SMB. En las versiones ms modernas de Windows ha pasado a denominarse simplemente Domain Controller.
4.2.4 eBox como servidor de cheros

Nosotros nos vamos a aprovechar de la implementacin de SMB/CIFS para Linux usando Samba como servidor de cheros y de autenticacin de sistemas operativos Windows en eBox. Los servicios de comparticin de cheros estn activos cuando el mdulo de Comparticin de cheros est activo, sin importar si la funcin de PDC est activa. Con eBox la comparticin de cheros est integrada con los usuarios y grupos. De tal manera que cada usuario tendr su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios. El directorio personal de cada usuario es compartido automticamente y solo puede ser accedido por el correspondiente usuario.
Tambin se puede crear un directorio compartido para un grupo desde Grupos directorios dentro de dicho directorio compartido.
Editar grupo.
Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los cheros y
NetBIOS (Network Basic Input/Output System): API que permite la comunicacin en una red de rea local entre ordenadores diferentes dando a cada mquina un nombre NetBIOS y una direccin IP correspondiente a un (posiblemente diferente) nombre de mquina.
101
Ir a Compartir Ficheros
Conguracin general para congurar los parmetros generales del
servicio de comparticin de cheros. Establecemos como dominio dnde se trabajar dentro de la red local dentro de Windows, y como nombre NetBIOS el nombre que identicar a eBox dentro de la red Windows. Se le puede dar una descripcin larga para describir el dominio. Adems se puede establecer de manera opcional un lmite de cuota. Con el Grupo Samba se puede opcionalmente congurar un grupo exclusivo en el que sus usuarios tenga cuenta de comparticin de cheros en vez de todos los usuarios, la sincronizacin se hace cada hora. Para crear un directorio compartido, se accede a Compartir Ficheros Directorios compartidos y se pulsa Aadir nuevo.
Habilitado: Lo dejaremos marcado si queremos que este directorio est compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la conguracin. Nombre del directorio compartido: El nombre por el que ser conocido el directorio compartido. Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de eBox /home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema de cheros.
102
Comentario: Una descripcin ms extensa del directorio compartido para facilitar la gestin de los elementos compartidos.
Desde la lista de directorios compartidos podemos editar el control de acceso. All, pulsando en Aadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administracin a un usuario o a un grupo. Si un usuario es administrador de un directorio compartido podr leer, escribir y borrar cheros de cualquier otro usuario dentro de dicho directorio.
Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos todos los cheros en el directorio.
Grupos. Todos los miembros del grupo tendrn acceso, podrn escribir sus propios cheros y leer
Si se quieren almacenar los cheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir cheros
Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se pueden aadir excepciones en la seccin Recursos excluidos de la Papelera de Reciclaje. Tambin se pueden modicar algunos otros valores por defecto para esta caracterstica, como por ejemplo el nombre del directorio, editando el chero /etc/ebox/80samba.conf.
103
En Compartir cheros
Antivirus existe tambin una casilla para habilitar o deshabilitar la
bsqueda de virus en los recursos compartidos y la posibilidad de aadir excepciones para aquellos en los que no se desee buscar. Ntese que para acceder la conguracin del antivirus para el mdulo de compartir cheros es requisito tener instalado el paquete samba-vscan en el sistema. El mdulo antivirus de eBox debe estar as mismo instalado y habilitado.
4.2.5 Conguracin de clientes SMB/CIFS

Una vez tenemos el servicio ejecutndose podemos compartir cheros a travs de Windows o GNU/Linux.
Cliente Windows A travs de Mis sitios de red Toda la red. Encontramos el dominio que hemos elegido y despus aparecer la mquina servidora con el nombre seleccionado y podremos ver sus recursos compartidos:
104
Cliente Linux 1. Konqueror (KDE) En Konqueror basta con poner en la barra de bsqueda smb:// para ver la red de Windows en la que podemos encontrar el dominio especicado:
2. Nautilus (Gnome)
105
En Nautilus vamos a Lugares
Servidores de Red Red de Windows, ah encontramos
nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos.
Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la navegacin y para entrar en ellos se debe hacer directamente escribiendo la direccin en la barra de bsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debera introducir la siguiente direccin:
smb://<ip_de_ebox>/pedro
3. Smbclient Adems de las interfaces grcas, disponemos un cliente de lnea de comandos que funciona de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de cheros, recoger informacin sobre cheros y directorios, etc. Un ejemplo de sesin puede ser el siguiente:
$ > > >
smbclient -U joe //192.168.45.90/joe get ejemplo put eaea ls
106
> exit $ smbclient -U joe -L //192.168.45.90/ Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian] Sharename Type Comment -----------------_foo Disk _mafia Disk hp Printer br Printer IPC$ IPC IPC Service (eBox Samba Server) ADMIN$ IPC IPC Service (eBox Samba Server) joe Disk Home Directories Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian] Server Comment --------------DME01 PC Verificaci eBox-SMB3 eBox Samba Server WARP-T42 Workgroup Master --------------eBox eBox-SMB3 GRUPO_TRABAJO POINT INICIOMS WARHOL MSHOME SHINNER WARP WARP-JIMBO
4.2.6 eBox como un servidor de autenticacin

Para aprovechar las posibilidades del PDC como servidor de autenticacin y su implementacin Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a travs de Compartir cheros
Conguracin General.
107
Si la opcin Perles Mviles est activada, el servidor PDC no slo realizar la autenticacin, sino que tambin almacenar los perles de cada usuario. Estos perles contienen toda la informacin del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario inicie sesin, recibir del servidor PDC su perl. De esta manera, el usuario dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar esta opcin que la informacin de los usuarios puede ocupar varios GiB de informacin, el servidor PDC necesitar espacio de disco suciente. Tambin se puede congurar la letra del disco al que se conectar el directorio personal del usuario tras autenticar contra el PDC en Windows. Es posible denir polticas para las contraseas de los usuarios a travs de Compartir cheros PDC. Estas polticas suelen ser forzadas por la ley. Longitud mnima de contrasea. Edad mxima de contrasea. Dicha contrasea deber renovarse tras superar los das congurados. Forzar historial de contraseas. Esta opcin forzar a almacenar un mximo de contraseas, impidiendo que puedan ser repetidas en sucesivas modicaciones. Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento de dicha poltica al entrar en una mquina registrada en el dominio.
108
4.2.7 Conguracin de clientes PDC

Para poder congurar la autenticacin PDC en una mquina, se necesita utilizar una cuenta que tenga privilegios de administrador en el servidor PDC. Esto se congura en Usuarios y Grupos Usuarios
Cuenta de comparticin de cheros o de PDC. Adicionalmente, se puede establecer una Cuota

de disco.
Ahora vamos a otra mquina dentro de la misma red de rea local (hay que tener en cuenta que el protocolo SMB/CIFS funciona en modo difusin total) con un Windows capaz de trabajar con CIFS (Ej. Windows XP Professional). All, en Mi PC
Propiedades, lanzamos el asistente para asignar
una Id de red a la mquina. En cada pregunta se le da como nombre de usuario y contrasea la de aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio escrito en la conguracin de Compartir Ficheros. El nombre de la mquina puede ser el mismo que estaba, siempre y cuando no colisione con el resto de equipos a aadir al dominio. Tras nalizar el asistente, se debe reiniciar la mquina.
109
Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecer una particin de red con una cuota determinada en la conguracin de eBox.
4.3
Servicio de comparticin de impresoras

Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde la mquina que contenga eBox ya por conexin directa, puerto paralelo o USB 6 , o a travs de la red local. Adems debemos conocer informacin relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un funcionamiento correcto. Una vez tenemos todos los datos previos, se puede aadir una impresora a travs de Impresoras
Aadir Impresora. Ah se sigue un asistente en el que se irn introduciendo los datos necesarios
para su incursin en funcin de los datos entrantes. En primer lugar, se establece un nombre signicativo para la impresora y se congura el mtodo de conexin. Este mtodo depende del modelo de impresora y de cmo est conectada a nuestra red. Los siguiente mtodos de conexin estn soportados por eBox:
6
Universal Serial Bus (USB) es un bus serie estndar para comunicacin de dispositivos con la computadora.
110
Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo. USB: Una impresora conectada al servidor eBox mediante el puerto USB. AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este protocolo tambin se le conoce con el nombre de JetDirect. IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse. LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse. Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo Samba o Windows.
En funcin del mtodo seleccionado, se deben congurar los parmetros de la conexin. Por ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de la misma como muestra la imagen.
Posteriormente, en los siguientes cuatro pasos se debe delimitar qu controlador de impresora debe usar eBox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controlador de impresora a utilizar y sus parmetros de conguracin.
Internet Printing Protocol (IPP) es un protocolo de red para la impresin remota y para la gestin de cola de impresin. Ms informacin en RFC 2910. Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresin remota y el envo de trabajos usando spooling a las impresoras para los sistemas Unix. Ms informacin en RFC 1179.
8 7
111
Una vez nalizado el asistente, ya tenemos la impresora congurada. Por tanto, podremos observar qu trabajos de impresin estn pendientes o en proceso. Tambin tendremos la posibilidad de modicar alguno de los parmetros introducidos en el asistente a travs de Impresoras Gestionar impresoras. Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicionalmente podremos habilitar el demonio de impresin CUPS 9 que har accesibles las impresoras mediante IPP.
9 Common Unix Printing System (CUPS) es un sistema modular de impresin para sistemas Unix que permiten a una mquina actuar de servidor de impresin, lo cual permite aceptar trabajos de impresin, su procesamiento y envo a la impresora adecuada.
112
Figure 4.1: Gestin de impresoras
Si una impresora no est soportada por eBox, es decir, que eBox no dispone de los controladores necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para aadir una impresora por CUPS hay que habilitar su demonio de impresin como se muestra en la gura Gestin de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede congurar a travs de:
http://direccion_ebox:631
Una vez aadida la impresora a travs de CUPS, eBox es capaz de exportarla usando el protocolo de Samba para ello. Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo Impresoras o Usuarios Editar Usuario Impresoras).
113
4.4
Servicio de groupware
El groupware, tambin conocido como software colaborativo, es el conjunto de aplicaciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al sistema desde distintas estaciones de trabajo de la red local o tambin desde cualquier punto del mundo a travs de Internet. Algunas de las funciones ms destacadas de las herramientas de groupware son: Comunicacin entre los usuarios: correo, salas de chat, etc. Comparticin de informacin: calendarios compartidos, listas de tareas, libretas de direcciones comunes, base de conocimiento, comparticin de cheros, noticias, etc. Gestin de proyectos, recursos, tiempo, bugtracking, etc.
114
Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que nos ofrece el Software Libre, una de las ms populares es eGroupware
10
y es la seleccionada para
eBox Platform para implementar esta funcionalidad tan importante en el mbito empresarial. Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el usuario no tenga que acceder a la conguracin tradicional que ofrece eGroupware y pueda realizarlo prcticamente todo desde el interfaz de eBox, salvo que necesite alguna personalizacin avanzada. De hecho la contrasea para la conguracin de eGroupware es auto-generada mdulo podra quedar mal congurado y en un estado inestable.
11
por eBox y el
administrador debera usarla bajo su responsabilidad dado que si realiza una accin inapropiada el
4.4.1 Conguracin de servicio de groupware con eBox

La mayor parte de la conguracin de eGroupware se realiza automticamente al habilitar el mdulo y guardar los cambios. Sin requerir ninguna intervencin adicional del usuario, eGroupware estar en funcionamiento integrado con el servicio de directorio (LDAP) de eBox. Es decir, todos los usuarios que sean aadidos en eBox a partir de ese momento podrn iniciar sesin en eGroupware sin requerir ninguna otra accin especial. Adicionalmente, podemos integrar el servicio de correo web (webmail) que eGroupware nos proporciona con el mdulo de correo de eBox. Para ello lo nico que hay que hacer es seleccionar un dominio virtual previamente existente y tener habilitado el servicio de recepcin de correo IMAP. Las instrucciones relativas a la creacin de un dominio de correo y conguracin del servicio IMAP se explican con detenimiento en el captulo Servicio de correo electrnico (SMTP/POP3-IMAP4). Para la seleccin del dominio que usar eGroupware accederemos a travs de la pestaa Groupware
Dominio Virtual de Correo. El interfaz se muestra en la siguiente imagen, slo tenemos
que seleccionar el dominio deseado y pulsar el botn Cambiar. Aunque como de costumbre esto no tendr efecto hasta que no pulsemos el botn Guardar Cambios.
10 11
eGroupware: An enterprise ready groupware software for your network http://www.egroupware.org Nota para usuarios avanzados de eGroupware: La contrasea se encuentra en el chero /var/lib/ebox/conf/ebox-
egroupware.passwd y los nombres de usuario son admin y ebox para la conguracin del encabezado y del dominio respectivamente.
115
Para que nuestros usuarios puedan utilizar el servicio de correo tendrn que tener creadas sus respectivas cuentas en el mismo. En la imagen que se muestra a continuacin (Usuarios y Grupos Usuarios) podemos ver que en la conguracin de eGroupware se muestra un aviso indicando cul debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.
eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso de cada usuario asignndole una plantilla de permisos, como se puede ver en la imagen anterior. Disponemos de una plantilla de permisos creada por defecto pero podemos denir otras personalizadas. La plantilla de permisos por defecto es til si queremos que la mayora de los usuarios del sistema tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que preocuparnos de asignarle permisos, ya que stos sern asignados automticamente. Para editar la plantilla por defecto accederemos a la pestaa Groupware terminadas, como se muestra en la imagen.
Aplicaciones prede-
116
Para grupos reducidos de usuarios como es el caso de los administradores, podemos denir una plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios. Para denir una nueva plantilla debemos acceder a la pestaa Groupware Plantillas denidas por el usuario y pulsar en Aadir nueva. Una vez introducido el nombre deseado aparecer en la tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma anloga a como se hace con la plantilla por defecto.
Hay que tener en cuenta que si modicamos la plantilla de permisos por defecto, los cambios slo sern aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarn de manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas denidas
117
por el usuario, si existiesen usuarios con esa plantilla aplicada habra que editar las propiedades del usuario y aplicarle nuevamente la misma plantilla despus de modicarla. Finalmente, cuando hayamos congurado todo, podemos acceder a eGroupware a travs de la direccin http://<ip_de_ebox>/egroupware utilizando el usuario y contrasea denidos en la interfaz de eBox.
El manejo de eGroupware est fuera del alcance de este manual, para cualquier duda se debe consultar el manual de usuario ocial de eGroupware. Este se encuentra disponible en Internet en su pgina ocial y tambin est enlazado desde la propia aplicacin una vez que estamos dentro.
Ejemplo prctico Habilitar el mdulo Groupware y comprobar su integracin con el correo. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Groupware, para ello marca su casilla en la columna Estado. Nos informa de que se modicar la conguracin de eGroupware. Permitir la operacin pulsando el botn Aceptar. Asegurarse de que se han habilitado previamiente los mdulos de los que depende (Correo, Webserver, Usuarios...). Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Congurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prctico. En dicho ejemplo tambin se aade un usuario con su cuenta de correo correspondiente. No son necesarios los pasos de ese ejemplo relativos a objetos o polticas de reenvo. Realizar slo hasta el paso en que se aade el usuario. Efecto: El usuario creado tiene una cuenta de correo vlida. 3. Accin: Acceder al men Correo
General y en la pestaa Opciones del servidor de
correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar.
118
Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden los cambios. 4. Accin: Acceder al men Groupware y en la pestaa Dominio Virtual de Correo seleccionar el dominio creado anteriormente y pulsar Cambiar. Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden los cambios. 5. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora eGroupware se encuentra congurado correctamente para integrarse con nuestro servidor IMAP. 6. Accin: Acceder a la interfaz de eGroupware (http://<ip_de_ebox>/egroupware) con el usuario que hemos creado anteriormente. Acceder a la aplicacin de correo electrnico de eGroupware y enviar un correo a nuestra propia direccin. Efecto: Recibiremos el correo recin enviado en nuestro buzn de entrada.
119
120
Chapter 5 eBox Unied Communications
En este apartado se van a ver los diferentes mtodos de comunicacin para compartir informacin centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contrasea. En primer lugar, se explica el servicio de correo electrnico, que permite su integracin rpida y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las ltimas tcnicas disponibles para la prevencin del correo basura. En segundo lugar, el servicio de mensajera instntanea a travs del estndar Jabber/XMPP. Este nos evita depender de empresas externas o de la conexin a Internet. Ofrece salas de conferencia comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes disponibles, una comunicacin ms rpida para los casos en que el correo no es suciente. Finalmente, veremos una introduccin a la voz sobre IP, con la que cada persona puede tener una extensin a la que llamar o hacer conferencias fcilmente. Adicionalmente, con un proveedor externo, eBox es capaz de congurarse para conectarse a la red telefnica tradicional.
5.1
Servicio de correo electrnico (SMTP/POP3-IMAP4)

El servicio de correo electrnico es un mtodo de almacenamiento y envo
1
para la composicin,
emisin, reserva y recepcin de mensajes sobre sistemas de comunicacin electrnicos.

Almacenamiento y envo: Tcnica de telecomunicacin en la cual la informacin se enva a una estacin intermedia que almacena y despus enva la informacin a su destinatario o a otra estacin intermedia.
1
121
5.1.1 Cmo funciona el correo electrnico en Internet
Figure 5.1: Diagrama correo electrnico Alice manda un correo a Bob El diagrama muestra una secuencia tpica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la direccin de correo de su destinatario. 1. Su MUA da formato al mensaje en un formato de Internet para el correo electrnico y usa el protocolo Simple Mail Transfer Protocol (SMTP) que enva el mensaje a su agente de envo de correos o Mail Transfer Agent (MTA). 2. El MTA mira en la direccin destino dada por el protocolo SMTP (no de la cabecera del mensaje), en este caso bob@b.org, y hace una solicitud al servicio de nombres para saber la IP del servidor de correo del dominio del destino (registro MX que vimos en el captulo donde se explicaba DNS). 3. El smtp.a.org enva el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el buzn del usuario bob. 4. Bob obtiene el correo a travs de su MUA, que recoge el correo usando el protocolo Post Ofce Protocolo 3 (POP3). Esta situacin puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtencin de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios gratuitos de correo va Web.
122
CHAPTER 5. EBOX UNIFIED COMMUNICATIONS
Por tanto, podemos ver como el envo y recepcin de correos entre servidores de correo se realiza a travs de SMTP pero la obtencin de correos por parte del usuario se realiza a travs de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. Lamentablemente, tambin existen protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM.
POP3 vs. IMAP El diseo de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo a los usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin necesidad de estar conectado. Estos mensajes, normalmente, se borran del buzn del usuario en el servidor, aunque actualmente la mayora de MUAs permiten mantenerlos. El ms moderno IMAP, permite trabajar en lnea o desconectado adems de slo borrar los mensajes depositados en el servidor de manera explcita. Adicionalmente, permite que mltiples clientes accedan al mismo buzn o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, es un protocolo bastante complicado con ms carga de trabajo en el lado del servidor que POP3, que relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son: Modo de operacin conectado y desconectado. Varios clientes a la vez conectados al mismo buzn. Descarga parcial de correos. Informacin del estado del mensaje usando banderas (ledo, borrado, respondido, ...). Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno de ellos pblicos. Bsquedas en el lado del servidor. Mecanismos de extensin incluidos en el propio protocolo. Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS. La diferencia con la versin simple es que usan cifrado TLS por lo que el contenido de los mensajes no puede ser escuchado sin permiso.
123
5.1.2 Conguracin de un servidor SMTP/POP3-IMAP4 con eBox

En el servicio de correo debemos congurar el MTA para enviar y recibir correos as como la recepcin de correos por parte de MUAs va IMAP o POP3. Para el envo/recepcin de correos se usa Postx
3 2
como servidor SMTP. Para el servicio de
recepcin de correos (POP3, IMAP) se usa Dovecot . Ambos con soporte para comunicacin segura con SSL.
5.1.3 Recibiendo y retransmitiendo correo

Para comprender la conguracin de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est restringida, de otra manera los spammers podran usar el servidor para enviar spam en Internet. eBox permite la retransmisin de correo en dos casos: 1. usuarios autenticados 2. una direccin de origen que pertenezca a un objeto que tenga una poltica de retransmisin permitida.
Conguracin general A travs de Correo
General Opciones del servidor de correo Autenticacion podemos ges-
tionar las opciones de autenticacion. Estn disponibles las siguientes opciones: TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del contenido por personas maliciosas.
2 3
Postx The Postx Home Page http://www.postx.org . Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
124
Exigir la autenticacin: Este parmetro activa el uso de autenticacin. Un usuario debe usar su direccin de correo y su contrasea para identicarse, una vez autenticado podr retransmitir correo a travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.
En la seccin Correo
General Opciones del servidor de correo Opciones se pueden
congurar los parmetros generales del servicio de correo: Direccin del smarthost: Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto aadiendo el texto :[numero de puerto] despus de la direccin. El puerto por defecto, es el puerto estndar SMTP, 25. Si se establece esta opcin eBox no enviar directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso,
125
eBox actuara como un intermediario entre el usuario que enva el correo y el servidor que enviar nalmente el mensaje. Autenticacin del smarthost: Determinar si el smarthost requiere autenticacin y si es as proveer un usuario y contrasea. Nombre de correo del servidor: Determina el nombre de correo del sistema, ser usado por el servicio de correo como la direccin local del sistema. Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta est pensada para tener una manera estndar de contactar con el administrador de correo. Correos de noticacin automticos suelen usar postmaster como direccin de respuesta. Tamao mximo de buzn: En esta opcin se puede indica un tamao mximo en MiB para los buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir una noticacin. Esta opcin puede sustituirse para cada usuario en la pagina Usuarios y Grupos -> Usuarios. Tamao mximo aceptado para los mensajes: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios. Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha sobrepase el limite de das establecido. Periodo de expiracin para correo de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios. Para congurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de correo. eBox puede congurarse como servidor de POP3 o IMAP adems de sus versiones seguras POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas. Tambin se puede congurar eBox para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos de red de eBox a travs de Correo
General Poltica de retransmisin para objetos de red
126
basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de eBox.
Warning: Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir en una fuente de spam. Finalmente, se puede congurar el servidor de correo para que use algn ltro de contenidos para los mensajes 4 . Para ello el servidor de ltrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A travs de Correo
General Opciones de Filtrado de Correo se puede seleccionar un ltro de
correo personalizado o usar eBox como servidor de ltrado.

4
En la seccin Filtrado de correo electrnico se amplia este tema.
127
Creacin de cuentas de correo a travs de dominios virtuales Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que proveen de nombre de dominio a las cuentas de correo de los usuarios de eBox. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
Para crear cuentas de correo lo haremos de manera anloga a la comparticin de cheros, acudimos a Usuarios y Grupos
Usuarios Crear cuenta de correo. Es ah donde seleccionamos el
dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de correo lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado un alias o no, el correo sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias para autenticarse, se debe usar siempre la cuenta real.
128
Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automticamente una cuenta de correo cuando se crea. Este comportamiento puede ser congurado en Usuarios y Grupos -> Plantilla de Usuario por defecto > Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo. Finalmente, es posible denir alias hacia cuentas externas. El correo enviado a un alias ser retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas.
Gestin de cola Desde Correo
Gestin de cola podemos ver los correos que todava no han sido enviados con
la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.
129
Obtencin de correo desde cuentas externas Se puede congurar eBox para recoger correo de cuentas externas y enviarlo a los buzones de los usuarios. Para ello, debers activar en la seccin Correo corre
General Opciones del servidor de Servicios de obtencin de correo. Una vez activado, los usuarios tendrn sus mensajes
de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede congurar sus cuentas externas a travs del rincn del usuario 5 . El usuario debe tener una cuenta de correo para poder hacerlo. Los servidores externos son consultados peridicamente, as que la obtencin del correo no es instantnea. Para congurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la lista de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada cuenta tiene los siguientes parmetros: Cuenta externa: El nombre de usuario o direccin de correo requerida para identicarse en el servicio externo de recuperacin de correo. Contrasea: Contrasea para autenticar la cuenta externa. Servidor de correo: Direccin del servidor de correo que hospeda a la cuenta externa. Protocolo: Protocolo de recuperacin de correo usado por la cuenta externa, puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS. Puerto: Puerto usado para conectar al servidor de correo externo.
Para obtener el correo externo, eBox usa el programa Fetchmail 6 .

5 6
La conguracin del rincn del usuario se explica en la seccin Rincn del Usuario. Fetchmail The Fetchmail Home Page http://fetchmail.berlios.de/ .
130
Lenguaje Sieve y protocolo ManageSieve El lenguaje Sieve (o vacaciones). ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8 . Para usar ManageSieve en eBox, debes activar el servicio en Correo General Opciones de servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios con cuenta de correo. Si ManageSieve est activado y el mdulo de correo web gestin para scripts Sieve estar disponible en el correo web. La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est activado o no.
9 7
permite el control al usuario de cmo su correo es recibido, permitiendo, entre
otras cosas, clasicarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada
en uso, el interfaz de
Conguracin del cliente de correo A no ser que los usuarios slo usen el correo a travs del mdulo de de correo web o a travs de la aplicacin de correo de groupware, debern congurar su cliente de correo para usar el servidor de correo de eBox. El valor de los parmetros necesarios dependern de la conguracin del servicio de correo. Hay que tener en cuenta que diferentes clientes de correo podrn usar distintos nombres para estos parmetros, por lo que debido a la multitud de clientes existente esta seccin es meramente orientativa.
5.1.4 Parmetros SMTP

Servidor SMTP: Introducir la direccin del servidor eBox. La direccin puede ser descrita como una direccin IP o como nombre de dominio. Puerto SMTP: 25, si usas TLS puedes usar en su lugar el puerto 465.
7 8 9
Para mas informacin sobre Sieve http://sieve.info/ . Para tener una lista de clientes Sieve http://sieve.info/clients . El mdulo de correo web (webmail) se explica en el captulo Servicio de correo web.
131
Conexin segura: Seleccionar TLS si tienes activada la opcin TLS para el servidor SMTP, en otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece ms adelante sobre TLS/SSL. Usuario SMTP: Como nombre de usuario se debe usar la direccin de correo completa del usuario, no uses su nombre de usuario o alguno de sus alias de correo. Esta opcin slo es obligatoria si est habilitado el parmetro Exigir autenticacin. Contrasea SMTP: La contrasea del usuario.
5.1.5 Parmetros POP3

Slo puedes usar conguracin POP3 cuando el servicio POP3 o POP3S est activado en eBox. Servidor POP3: Introducir la direccin de eBox de la misma manera que la seccin de parmetros SMTP. Puerto POP3: 110 o 995 en el caso de usar POP3S. Conexin segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece ms adelante sobre TLS/SSL. Usuario POP3: Direccin de correo completa del usuario, no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contrasea POP3: La contrasea del usuario.
5.1.6 Parmetros IMAP

Slo se puede usar la conguracin IMAP si el servicio IMAP o IMAPS est activo. Servidor IMAP: Introducir la direccin de eBox de la misma manera que la seccin de parmetros SMTP. Puerto IMAP: 443 o 993 en el caso de usar IMAPS. Conexin segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece ms adelante sobre TLS/SSL. Usuario IMAP: Direccin de correo completa del usuario, no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contrasea IMAP: La contrasea del usuario.
132
Warning:
En las implementaciones de los clientes de correo a veces hay confusin sobre el
uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con TLS, otros usan TLS para indicar que van a tratar de conectar al servicio a travs de un puerto tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes har falta probar tanto los modos SSL como TLS para averiguar cual de los mtodos funciona correctamente. Tienes mas informacin sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL .
5.1.7 Parmetros para ManageSieve

Para conectar a ManageSieve, se necesitan los siguientes parmetros: Servidor Sieve: El mismo que tu servidor IMAP o POP3. Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto nmero 2000 como puerto por defecto para ManageSieve. Conexin segura: Activar esta opcin. Nombre de usuario: Direccin de correo completa, como anteriormente evitar el nombre de usuario o cualquiera de sus alias de correo. Contrasea: Contrasea del usuario. Algunos clientes permiten indicar que se va a usar la misma autenticacin que para IMAP o POP, si esto es posible, hay que seleccionar dicha opcin.
Cuenta para recoger todo el correo Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. En eBox se permite denir una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo Dominios Virtuales y despus hacer clic en la celda Opciones. Todos los mensajes enviados y recibidos por el dominio sern enviados como copia oculta (CCO BCC) a la direccin denida. Si la direccin rebota el correo, ser devuelto al remitente.
133
Ejemplo prctico
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en el dominio creado para dicho usuario. Congurar la retransmisin para el envo de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Correo, para ello marca su casilla en la columna Estado. Habilitar primero los mdulos Red y Usuarios y grupos si no se encuentran habilitados con anterioridad. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir un nombre para el dominio y pulsar el botn Aadir. Efecto: eBox nos notica de que debemos salvar los cambios para usar el dominio. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ya podemos usar el dominio de correo que hemos aadido. 5. Accin: Acceder a Usuarios y Grupos pulsar el botn Crear. Efecto: El usuario se aade inmediatamente sin necesidad de salvar cambios. Aparece la pantalla de edicin del usuario recin creado. 6. Accin: (Este paso slo es necesario si has deshabilitado la opcin de crear cuentas de correo automticamente en Usuarios y Grupos > Plantilla de Usuario por defecto > Cuenta de correo). Escribir un nombre para la cuenta de correo del usuario en la seccin Crear cuenta de correo y pulsar el botn Crear. Efecto: La cuenta se ha aadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella.
Usuarios Aadir usuario, rellenar sus datos y
134
7. Accin: Acceder al men Objetos Aadir nuevo. Escribir un nombre para el objeto y pulsar Aadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el miembro, introducir la direccin IP de la mquina desde donde se enviar el correo y pulsar Aadir. Efecto: El objeto se ha aadido temporalmente y podemos usarlo en otras partes de la interfaz de eBox, pero no ser persistente hasta que se guarden cambios. 8. Accin: Acceder a Correo
General Poltica de reenvo sobre objetos. Seleccionar
el objeto creado en el paso anterior asegurndose de que est marcada la casilla Permitir reenvo y pulsar el botn Aadir. Efecto: El botn Guardar Cambios estar activado. 9. Accin: Guardar los cambios. Efecto: Se ha aadido una poltica de reenvo para el objeto que hemos creado, que permitir el envo de correos al exterior para ese origen. 10. Accin: Congurar el cliente de correo seleccionado para que use eBox como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa. Efecto: Transcurrido un breve periodo de tiempo deberamos recibir el correo enviado en el buzn de la cuenta externa. 11. Accin: Comprobar en el servidor de correo a travs del chero de registro /var/log/mail.log como el correo se ha enviado correctamente.
5.2
Servicio de correo web

El servicio de correo web permite a los usuarios leer y enviar correo a travs de un interfaz web ofrecida por el servidor de correo. Sus principales ventajas son que el usuario no tiene que congurar nada. Y que puede acceder a su correo desde cualquier navegador web que pueda alcanzar al servidor. Sus desventajas son que la experiencia de usuario suele ser ms pobre que con un programa de correo de escritorio y que se debe permitir el acceso web al servidor de correo. Adems, incrementa la carga del servidor para mostrar los mensajes de correo, este trabajo se realiza en el cliente con el software tradicional de gestin de correo electrnico. eBox usa Roundcube para implementar este servicio 10 .
10
Roundcube webmail http://roundcube.net/ .
135
5.2.1 Congurando el correo web en eBox

El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de eBox. Sin embargo, requiere que el mdulo de correo est congurado para usar IMAP, IMAPS o ambos adems de tener el mdulo webserver habilitado. Si no lo est, el servicio rehusar activarse.
Opciones del correo web Podemos acceder a las opciones pulsando en la seccin Webmail de men izquierdo. Se puede establecer el titulo que usar el correo web para identicarse, este titulo se mostrar en la pantalla de entrada y en los ttulos HTML de pagina.
Entrar en el correo web Para entrar en el correo web, primero necesitaremos que el trco HTTP desde la direccin usada para conectar est permitido por el cortafuegos. La pantalla de entrada del correo web est disponible en http://[direccion del servidor]/webmail desde el navegador. A continuacin, se debe introducir su direccin de correo y su contrasea. Los alias no funcionarn, por tanto se debe usar la direccin real.
136
Filtros SIEVE El correo web tambin incluye una interfaz para administrar ltros SIEVE. Esta interfaz slo est disponible si el protocolo ManageSIEVE est activo en el servicio de correo.
5.3
Servicio de mensajera instantnea (Jabber/XMPP)

Las aplicaciones de mensajera instantnea permiten gestionar una lista de personas con las que uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicacin asncrona proporcionada por el correo electrnico en una comunicacin sncrona en la que los participantes pueden comunicarse en tiempo real. Adems de la conversacin bsica permite otras prestaciones como: Salas de conversacin. Transferencia de cheros. Actualizaciones de estado (por ejemplo: ocupado, al telfono, ausente). Pizarra compartida que permite ver y mostrar dibujos a los contactos. Conexin simultnea desde distintos dispositivos con prioridades (por ejemplo: desde el mvil y el ordenador dando preferencia a uno de ellos para la recepcin de mensajes). En la actualidad existen multitud de protocolos de mensajera instantnea como ICQ, AIM, MSN o Yahoo! Messenger cuyo funcionamiento es bsicamente centralizado y propietario. Sin embargo, tambin existe Jabber/XMPP que es un conjunto de protocolos y tecnologas que permiten el desarrollo de sistemas de mensajera distribuidos. Estos protocolos son pblicos, abiertos, exibles, extensibles, distribuidos y seguros. Aunque todava sigue en proceso de estandarizacin, ha sido adoptado por Cisco o Google (para su servicio de mensajera Google Talk) entre otros. eBox usa Jabber/XMPP como protocolo de mensajera instantnea, integrando los usuarios con las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPP en eBox.
11
jabberd2 - servidor XMPP <http://jabberd2.xiaoka.com/>.
137
5.3.1 Conguracin de un servidor Jabber/XMPP con eBox

Para congurar el servidor Jabber/XMPP en eBox, primero debemos comprobar en Estado del Mdulo si el mdulo Usuarios y Grupos est habilitado, ya que Jabber depende de l. Entonces marcaremos la casilla Jabber para habilitar el mdulo de eBox de Jabber/XMPP.
Figure 5.2: Conguracin general del servicio Jabber
Para congurar el servicio, accederemos a Jabber en el men izquierdo, deniendo los siguientes parmetros: Nombre de dominio: Especica el nombre de dominio del servidor. Esto har que las cuentas de los usuarios sean de la forma usuario@dominio. Tip: dominio debera estar registrado en el servidor DNS para que pueda resolverse desde los clientes. Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. Si por el contrario queremos un servidor privado, slo para nuestra red interna, deber dejarse desmarcada. Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para ms de dos usuarios). Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nombre de dominio debera estar registrado en el servidor DNS para que pueda resolverse desde los clientes tambin.
138
Soporte SSL: Especica si las comunicaciones (autenticacin y mensajes) con el servidor sern cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional ser en la conguracin del cliente Jabber donde se especique si se quiere usar SSL. Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si queremos crear una nueva cuenta o a Usuarios Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente.
Figure 5.3: Conguracin de cuenta Jabber de un usuario
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos seleccionar si la cuenta est activada o desactivada. Adems, podemos especicar si el usuario en cuestin tendr privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados al servidor, enviarles mensajes, congurar el mensaje mostrado al conectarse (MOTD, Message Of The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast).
5.3.2 Conguracin de un cliente Jabber

Para ilustrar la conguracin de un cliente Jabber, vamos a usar Pidgin y Psi, aunque en caso de utilizar otro cliente distinto, los pasos a seguir seran muy similares.
Pidgin Pidgin
12
es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Adems de
Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!.
12
Pidgin, the universal chat client <http://www.pidgin.im/>.
139
Pidgin era el cliente por omisin del escritorio Ubuntu hasta la versin Karmic, pero todava sigue siendo el cliente de mensajera ms popular. Lo podemos encontrar en Internet la ventana de gestin de cuentas tal como aparece en la imagen.
Cliente de men-
sajera Internet Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta congurada, nos aparecer
Desde esta ventana podemos tanto aadir cuentas, como modicar y borrar las cuentas existentes. Pulsando el botn Aadir, aparecern dos pestaas de conguracin bsica y avanzada. Para la conguracin Bsica de la cuenta Jabber, deberemos seleccionar en primer lugar el protocolo XMPP. El Nombre de usuario y Contrasea debern ser los mismos que la cuenta Jabber tiene en eBox. El dominio deber ser el mismo que hayamos denido en la conguracin del mdulo de Jabber/XMPP de eBox. Opcionalmente, en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros contactos.
140
En la pestaa Avanzada est la conguracin de SSL/TLS. Por defecto Requerir SSL/TLS est marcado, as que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir autenticacin en texto plano sobre hilos no cifrados.
141
Si no cambiamos el certicado SSL por defecto, aparecer un aviso preguntando si queremos aceptarlo o no.
142
Psi Psi 13 es un cliente de Jabber/XMPP que permite manejar mltiples cuentas a la vez. Rpido y ligero, Psi es cdigo abierto y compatible con Windows, Linux y Mac OS X. Al arrancar Psi, si no tenemos ninguna cuenta congurada todava, aparecer una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen. Seleccionaremos Usar una cuenta existente.
En la pestaa Cuenta deniremos la conguracin bsica como el Jabber ID o JID que es usuario@dominio y la Contrasea. Este usuario y contrasea debern ser los mismos que la cuenta Jabber tiene en eBox. El dominio deber ser el mismo que hayamos denido en la conguracin del mdulo de Jabber/XMPP de eBox.
13
Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.
143
En la pestaa Conexin podemos encontrar la conguracin de SSL/TLS entre otras. Por omisin, Cifrar conexin: Cuando est disponible est marcado. Si deshabilitamos en eBox el Soporte SSL debemos cambiar Permitir autenticacin en claro a Siempre.
Si no hemos cambiado el certicado SSL aparecer un aviso preguntando si queremos aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaa Conexin que vimos en el anterior paso.
La primera vez que conectemos, el cliente mostrar un error inofensivo porque todava no hemos publicado nuestra informacin personal en el servidor.
144
Opcionalmente, podremos publicar informacin sobre nosotros aqu.
Una vez publicada, este error no aparecer de nuevo.
5.3.3 Congurando salas de conferencia Jabber

El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar mensajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir la entrada a usuarios, requerir contrasea y muchas ms estn disponibles en las salas de Jabber. Para una especicacin completa, comprueba el borrador XEP-0045 14 . Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la seccin Jabber del men de eBox, el resto de la conguracin se realiza desde los clientes Jabber.
La especicacin de las salas de conversacin Jabber/XMPP est disponible en <http://xmpp.org/extensions/xep0045.html>.
14
145
Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea se convierte en el administrador para esa sala. Este administrador puede denir todos los parmetros de conguracin, aadir otros usuarios como moderadores o administradores y destruir la sala. Uno de los parmetros que deberamos destacar es Hacer Sala Persistente. Por omisin, todas las salas se destruyen al poco despus de que su ltimo participante salga. Estas son llamadas salas dinmicas y es el mtodo preferido para conversaciones de varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos. En Pidgin para entrar en una sala hay que ir a Contactos > Entrar en una Sala.... Aparecer una ventana de Entrar en una Sala preguntando alguna informacin como el Nombre de la sala, el Servidor que debera ser conference.dominio, el Usuario y la Contrasea en caso de ser necesaria.
El primer usuario en entrar a una nueva sala la bloquear y se le preguntar si quiere Congurar la Sala o Aceptar la Conguracin por Omisin.
En Conguracin de la Sala podremos congurar todos los parmetros de la sala. Esta ventana de conguracin puede ser abierta posteriormente ejecutando /cong en la ventana de conversacin.
146
Una vez congurada, otros usuarios podrn entrar en la sala bajo la conguracin aplicada estando la sala lista para su uso.
En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ventana de Entrar en una Sala aparecer preguntando alguna informacin como el Servidor que deber ser conference.dominio, el Nombre de la Sala, el Nombre de Usuario y la Contrasea en caso de ser necesaria.
147
El primer usuario en entrar a una nueva sala la bloquear y se le pedir que la congure. En la esquina superior derecha hay un botn que despliega un men contextual dnde aparece la opcin Congurar Sala.
En Conguracin de la Sala podremos congurar todos los parmetros de la sala.
148
Una vez congurada, otros usuarios podrn entrar en la sala bajo la conguracin aplicada estando la sala lista para su uso.
5.3.4 Ejemplo prctico

Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que eBox y los clientes sean capaces de resolver. 1. Accin: Acceder a eBox, entrar en Estado del Mdulo y activar el mdulo Jabber. Cuando nos informe de los cambios que va a realizar en el sistema, permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Aadir un dominio con el nombre que hayamos elegido y cuya direccin IP sea la de la mquina eBox, de la misma forma que se hizo en Ejemplo prctico B. Efecto: Podremos usar el dominio aadido como dominio para nuestro servicio Jabber/XMPP. 3. Accin: Acceder al men Jabber. En el campo Nombre de dominio, escribir el nombre del dominio que acabamos de aadir. Pulsar el botn Aplicar Cambios. Efecto: Se ha activado el botn Guardar Cambios. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servicio Jabber/XMPP ha quedado listo para ser usado.
149
5.4
Servicio de Voz sobre IP

La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de protocolos para enviar la seal digital en paquetes en lugar de enviarla a travs de circuitos analgicos conectados. Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes pblicas como Internet. Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y datos, sin escatimar en calidad o abilidad. Los principales problemas que se encuentra la Voz IP en su despliegue sobre las redes de datos son el NAT 15 y las dicultades que tienen los protocolos para gestionarlo, y el QoS banda.
16
, la necesidad de ofrecer un servicio de calidad en tiempo real, considerando
la latencia (tiempo que se tarda en llegar al destino), el jitter (la variacin de la latencia) y el ancho de
5.4.1 Protocolos
Son varios los protocolos involucrados en la transmisin de voz, desde los protocolos de red como IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su transporte como para su sealizacin. Los protocolos de sealizacin en Voz IP desempean las tareas de establecimiento y control de la llamada. SIP, IAX2 y H.323 son protocolos de sealizacin. El protocolo de transporte de voz ms utilizado es RTP (Realtime Transport Protocol) y su tarea es transportar la voz codicada desde el origen hasta el destino. Este protocolo se pone en marcha una vez establecida la llamada por los protocolos de sealizacin.
SIP SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF
17
para la iniciacin,
modicacin y nalizacin de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP. SIP solamente se encarga de la sealizacin funcionando sobre el puerto UDP/5060. La transmisin multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.
15 16 17
Concepto que se explica en la seccin Cortafuegos. Concepto que se explica en la seccin Moldeado de trco. Internet Engineering Task Force desarrolla y promociona estndares de comunicaciones usados en Internet.
150
IAX2 IAX2 es la versin 2 del protocolo Inter Asterisk eXchange creado para la interconexin de centralitas Asterisk
18
. Las caractersticas ms importantes de este protocolo es que la voz y la sealizacin va
por el mismo ujo de datos y adems ste puede ser cifrado. Esto tiene la ventaja directa de poder atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de comunicacin simultneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.
5.4.2 Cdecs
Un cdec es un algoritmo que adapta (codicando en origen y descodicando en destino) una informacin digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y recuperndose de los errores en la transmisin. G.711, G.729, GSM y speex son cdecs habituales dentro de la Voz IP. G.711: Es uno de los cdecs ms utilizados, con dos versiones, una americana (ulaw) y otra europea (alaw). Este cdec ofrece buena calidad pero su consumo de ancho de banda es bastante signicativo con 64kbps. Es el ms habitual para la comunicacin por voz en redes locales. G.729: Tiene una compresin mucho mayor usando solamente 8kbps siendo ideal para las comunicaciones a travs de Internet. El inconveniente es que tiene algunas restricciones en su uso. GSM: Es el mismo cdec que el usado en las redes de telefona celular. La calidad de voz no es muy buena y usa 13kbps aproximadamente. speex: Es un cdec libre de patentes diseado para voz. Es muy exible a pesar de consumir ms tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz, 16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.
5.4.3 Despliegue
Veamos los elementos implicados en el despliegue de Voz IP:
18
Asterisk es un software para centralitas telefnicas que eBox usa para implementar el mdulo de Voz IP
<http://www.asterisk.org/>.
151
Telfonos IP Son telfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo a una red Ethernet en lugar del habitual RJ11 de las redes telefnicas. Introducen caractersticas nuevas como acceso a la agenda de direcciones, automatizacin de llamadas, etc. no presentes en los telfonos analgicos convencionales.
152
Adaptadores Analgicos Tambin conocidos como adaptadores ATA (Analog Telephony Adapter ), permiten conectar un telfono analgico convencional a una red de datos IP y hacer que este funcione como un telfono IP. Para ello dispone de un puerto de red de datos RJ45 y uno o ms puertos telefnicos RJ11.
Softphones Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin ms hardware adicional que los propios altavoces y micrfono del ordenador. Existen multitud de aplicaciones para este propsito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (WengoPhone) estn disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting) o Twinkle son nativas de este ltimo.
Centralitas IP A diferencia de la telefona tradicional, dnde las llamadas pasaban siempre por la centralita, en la Voz IP los clientes (telfonos IP o softphones) se registran en el servidor, el emisor pregunta por los datos del receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento de la llamada negocian un cdec comn para la transmisin de la voz. Asterisk es una aplicacin exclusivamente software que funciona sobre cualquier servidor habitual proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar entre s distintos telfonos, a un proveedor de Voz IP, o bien a la red telefnica. Tambin ofrece servicios como buzn de voz, conferencias, respuesta interactiva de voz, etc.
153
Figure 5.4: Qutecom
Figure 5.5: Twinkle
154
Para conectar el servidor de la centralita Asterisk a la red telefnica analgica se usan unas tarjetas llamadas FXO (Foreign eXchange Ofce) que permiten a Asterisk funcionar como si fuera un telfono convencional y redirigir las llamadas a travs de la red telefnica. Para conectar un telfono analgico al servidor se debe usar una tarjeta FXS (Foreign eXchange Station) as se pueden adaptar los terminales existentes a una nueva red de telefona IP.
Figure 5.6: Digium TDM422E FXO and FXS card
5.4.4 Conguracin de un servidor Asterisk con eBox

El mdulo de Voz IP de eBox permite gestionar un servidor Asterisk con los usuarios ya existentes en el servidor LDAP del sistema y con las funcionalidades ms habituales conguradas de una forma sencilla.
Como ya es habitual, en primer lugar deberemos habilitar el mdulo. Iremos a la seccin Estado del Mdulo del men de eBox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el mdulo Usuarios y Grupos deber ser habilitado previamente ya que depende de l. A la conguracin general del servidor se accede a travs del men Voz IP General, una vez all slo necesitamos congurar los siguientes parmetros generales:
155
Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensin 400 podremos escuchar la msica de espera, llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensin 600 se dispone de una prueba de eco para darnos una idea de la latencia en las llamadas. En denitiva estas extensiones nos permiten comprobar que nuestro cliente esta correctamente congurado. Habilitar llamadas salientes: Habilita las llamadas salientes a travs del proveedor SIP que tengamos congurado para llamar a telfonos convencionales. Para realizar llamadas a travs del proveedor SIP tendremos que aadir un cero adicional antes del nmero a llamar, por ejemplo si queremos llamar a las ocinas de eBox Technologies (+34 976733506, o mejor 0034976733506), pulsaramos 00034976733506. Extensin de buzn de voz: Es la extensin donde podemos consultar nuestro buzn de voz. El usuario y la contrasea es la extensin adjudicada por eBox al crear el usuario o al asignrsela por primera vez. Recomendamos cambiar la contrasea inmediatamente desde el Rincn del Usuario 19 . La aplicacin que reside en esta extensin nos permite cambiar el mensaje de bienvenida a nuestro buzn, escuchar los mensajes en l y borrarlos. Esta extensin solamente es accesible por los usuarios de nuestro servidor, no aceptar llamadas entrantes de otros servidores por seguridad. Dominio Voz IP: Es el dominio que se asignar a las direcciones de nuestros usuarios. As pues un usuario usuario, que tenga una extensin 1122 podr ser llamado a usuario@dominio.tld o 1122@dominio.tld.
19
El Rincn del Usuario se explica en la seccin Rincn del Usuario.
156
En la seccin de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor SIP para que eBox pueda redirigir las llamadas a travs de l: Proveedor: Si estamos usando eBox VoIP Credit
20
, seleccionaremos esta opcin que precongu-
rar el nombre del proveedor y el servidor. En otro caso usaremos Personalizado. Nombre: Es el identicador que se da al proveedor dentro de eBox. Nombre de usuario: Es el nombre de usuario del proveedor. Contrasea: Es la contrasea de usuario del proveedor. Servidor: Es el nombre de dominio del servidor del proveedor. Destino de las llamadas entrantes: Es la extensin interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor. En la seccin de Conguracin NAT deniremos la posicin en la red de nuestra mquina eBox. Si tiene una IP pblica la opcin por defecto eBox est tras NAT: No es correcta. Si tiene una IP privada deberemos indicar a Asterisk cul es la IP pblica que obtenemos al salir a Internet. En caso de tener una IP pblica ja simplemente la introduciremos en Direccin IP ja; si nuestra IP pblica es dinmica tendremos que congurar el servicio de DNS dinmico (DynDNS) de eBox disponible en Red
DynDNS (o congurarlo manualmente) e introduciremos el nombre de dominio en Nombre

En la seccin de Redes locales podremos aadir las redes locales a las que accedemos desde
de mquina dinmico.
eBox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no congurados desde eBox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del protocolo SIP en entornos con NAT. A la conguracin de las conferencias se accede a travs Voz IP Conferencias. Aqu podemos congurar salas de reunin multiconferencia. La extensin de estas salas deber residir en el rango 8001-8999 y podrn tener opcionalmente una contrasea de entrada, una contrasea administrativa y una descripcin. A estas extensiones se podr acceder desde cualquier servidor simplemente marcando extension@dominio.tld. Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuario y cambiar su extensin. Hay que tener en cuenta que una extensin slamente puede asignarse a un usuario y no a ms, si necesitas llamar a ms de un usuario desde una extensin ser necesario utilizar colas.
20
Puedes comprar eBox VoIP credit en nuestra tienda si tienes Professional o Enterprise Server Subscriptions.
157
158
Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola es una extensin dnde al recibir una llamada, se llama a todos los usuarios que pertenecen a este grupo.
Si queremos congurar la msica de espera, colocaremos las canciones en formato MP3 en /var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg123.
5.4.5 Congurando un softphone para conectar a eBox

Ekiga (Gnome) Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome. Al lanzarlo por primera vez presenta un asistente para congurar datos personales del usuario, dispositivos de sonido y vdeo, la conexin a Internet y los servicios de Ekiga.net. Podemos omitir la conguracin tanto de la cuenta en Ekiga.net como de Ekiga Call Out.
21
Ekiga: Free your speech <http://ekiga.org/>
159
Desde Editar > Cuentas, seleccionando Cuentas > Aadir una cuenta SIP podremos congurar la cuenta de Voz IP de eBox Platform. Nombre: Es el identicador de la cuenta dentro de Ekiga. Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox. Usuario y Usuario para autenticacin: Son el nombre de usuario de eBox. Contrasea: Es la contrasea de usuario de eBox.
Tras congurar la cuenta se intentar registrar en el servidor.
Para realizar una llamada tan slo hay que escribir el nmero o direccin SIP en la barra superior y llamar usando el icono del telfono verde a la derecha. Para colgar se usa el icono del telfono rojo a la derecha tambin.
160
Qutecom (Multiplataforma) Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que est disponible en las tres plataformas ms extendidas: Linux, OSX y Windows. Tambin al lanzarlo por primera vez nos presentar un asistente para congurar la cuenta de Voz IP.
Tenemos un teclado numrico o una lista de contactos para realizar llamadas. Se usan los botones verde / rojo en la parte inferior para llamar y colgar.
22
QuteCom: Free VOIP Softphone http://www.qutecom.org
161
5.4.6 Usando las funcionalidades de eBox Voz IP

Transferencia de llamadas La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversacin, pulsando
# y despus introduciendo la extensin a dnde queremos reenviar la llamada podremos realizar una
transferencia. En ese momento, podremos colgar ya que esta llamada estar marcando la extensin a donde ha sido transferida.
Aparcamiento de llamadas El aparcamiento de llamadas se realiza sobre la extensin 700. Durante el transcurso de una conversacin, pulsaremos
# y despus marcaremos 700. La extensin donde la llamada ha sido aparcada
ser anunciada a la parte llamada y quien estaba llamando comenzar a escuchar la msica de espera, si est congurada. Podremos colgar en ese momento. Desde un telfono distinto u otro usuario distinto marcando la extensin anunciada podremos recoger la llamada aparcada y restablecer la conversacin. En eBox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo mximo que una llamada puede esperar son 300 segundos.
162
Ejemplo prctico Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensin a 1500. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Voz IP marcando la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no est activado deberemos activarlo previamente pues depende de l. Entonces se informa sobre los cambios que se van a realizar en el sistema. Permitiremos la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Acceder al men Voz IP. En el campo Dominio Voz IP escribir el nombre de dominio que corresponda a esta mquina. Este dominio deber poder resolverse desde las mquinas de los clientes del servicio. Pulsar el botn Cambiar. 3. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servicio de Voz IP est preparado para usarse. 4. Accin: Acceder al men Usuarios y Grupos Usuario. Efecto: eBox crea un nuevo usuario y nos muestra el perl con las opciones de este. 5. Accin: En la seccin Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o desactivada y la extensin que tiene asignada. Cerciorarse de que la cuenta est activada, ya que todos los usuarios creados mientras el mdulo de Voz IP est habilitado tienen la cuenta activada. Por ltimo, cambiar la extensin asignada por defecto, que es la primera libre del rango de extensiones de usuarios, a la extensin 1500 que desebamos. Pulsar el botn Aplicar cambios de la seccin Cuenta de Voz IP. Efecto: eBox aplica los cambios realizados inmediatamente, el usuario ya puede recibir llamadas sobre esa extensin.
Usuarios Aadir Usuario. Completar
la informacin del formulario para crear un nuevo usuario. Pulsar el botn Crear
163
164
Chapter 6 eBox Unied Threat Manager
En este apartado se vern diferentes tcnicas para proteger la red ms all de un simple cortafuegos, evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen. El correo electrnico sin un buen ltrado de correo no funciona correctamente, en este tema se vern diferentes tcnicas para evitar el correo basura (spam) y los virus en el correo electrnico con eBox. El trco Web tambin puede traer problemas dependiendo de los lugares que se visiten. Por ello, en este tema se explicar la integracin del ltrado de contenidos del proxy HTTP con un antivirus y diversas conguraciones ms avanzadas para dar mayor seguridad a la navegacin por Internet de los usuarios de la red. En este apartado, se explicar como conectar de manera segura a los empleados fuera de la ocina o a realizar conexiones entre ocinas mediante el uso de redes privadas virtuales, para ello se denirn las bases que sigue la seguridad en la red. Finalmente, la deteccin de intrusos a travs de reglas de ataque se vern tambin en este apartado. De una forma sencilla, podemos recibir noticaciones de ataques y analizar los daos que hayan podido causar.
6.1
Filtrado de correo electrnico

Los principales problemas en el sistema de correo electrnico son el spam y los virus.
165
El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene que bucear en su bandeja de entrada para encontrar los correos legtimos. Tambin genera una gran cantidad de trco que puede afectar al funcionamiento normal de la red y del servicio de correo. Aunque los virus informticos no afectan al sistema en el que est instalado eBox, un correo electrnico que contenga un virus puede infectar otras mquinas clientes de la red.
6.1.1 Esquema del ltrado de correo de eBox

Para defendernos de estas amenazas, eBox dispone de un ltrado de correo bastante potente y exible.
Figure 6.1: Esquema del ltrado de correo en eBox
En la gura se observan los diferentes pasos que sigue un correo antes de determinar si es vlido o no. En primer lugar, el servidor de correo enva el correo al gestor de polticas de listas grises. Si el correo supera este ltro, pasar al ltro de correo donde se examinarn una serie de caractersticas del correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un ltro estadstico. Si supera todos esos ltros, entonces se determina que el correo es vlido y se emite a su receptor o se almacena en un buzn del servidor. En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos ltros y cmo se conguran en eBox.
166
CHAPTER 6. EBOX UNIFIED THREAT MANAGER
Lista gris Una greylist (lista gris) o basura). En el caso de eBox, la estrategia utilizada es ngir estar fuera de servicio. Cuando un servidor nuevo quiere enviarle un correo, eBox le dice Estoy fuera de servicio en este momento, intntalo en 300 segundos.
2 1
es un mtodo de defensa contra el spam que no descarta correos, slo le
pone ms difcil el trabajo a un servidor de correo que acta como spammer (emisor de correo spam
, si el servidor remitente cumple la especicacin reenviar el correo pasado ese
tiempo y eBox lo apuntar como un servidor correcto. En eBox, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con poltica de permitir retransmisin y al que tiene como remitente una direccin que se encuentra en la lista blanca del antispam. Sin embargo, los servidores que envan Spam no suelen seguir el estndar y no reenviarn el correo. As habramos evitado los mensajes de Spam.
Figure 6.2: Esquema del funcionamiento de una lista gris
El Greylist se congura desde Correo Lista gris con las siguientes opciones:
eBox usa postgrey http://postgrey.schweikert.ch/ como gestor de esta poltica en postx. Realmente el servidor de correo enva como respuesta Greylisted, es decir, puesto en la lista gris en espera de permitir el envo de correo o no pasado el tiempo congurado.
2 1
167
Habilitado: Marcar para activar el greylisting. Duracin de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de reenviar el correo. Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha enviado algn correo durante ese tiempo, dicho servidor pasar a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. Tiempo de vida de las entradas (das): Das que se almacenarn los datos de los servidores evaluados en la lista gris. Si pasan ms de los das congurados, cuando el servidor quiera volver a enviar correos tendr que pasar de nuevo por el proceso de greylisting descrito anteriormente.
Vericadores de contenidos El ltrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizar esta tarea eBox usa un interfaz entre el MTA (postx) y dichos programas. Para ello, se usa el programa amavisd-new
3
que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer
Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta interfaz realiza las siguientes comprobaciones: Listas blancas y negras de cheros y extensiones. Filtrado de correos con cabeceras mal-formadas.
3
Amavisd-new: http://www.ijs.si/software/amavisd/
168
Antivirus El antivirus que usa eBox es ClamAV 4 , el cual es un conjunto de herramientas antivirus para UNIX especialmente diseadas para escanear adjuntos en los correos electrnicos en un MTA. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y rmas digitales a travs del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos virus que se van encontrando. Adems, el antivirus es capaz de escanear de forma nativa diversos formatos de chero como por ejemplo Zip, BinHex, PDF, etc. En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sistema.
Se puede actualizar desde Gestin de Software, como veremos en Actualizacin de software. Si el antivirus est instalado y actualizado, eBox lo tendr en cuenta dependiendo de la conguracin del ltro SMTP, el proxy POP, el proxy HTTP o incluso podra funcionar para la comparticin de cheros.
Antispam El ltro antispam asigna a cada correo un puntuacin de spam, si el correo alcanza la puntuacin umbral de spam es considerado correo basura, si no es considerado correo legtimo. A este ltimo tipo de correo se le suele denominar ham. El detector de spam usa las siguientes tcnicas para asignar la puntuacin: Listas negras publicadas va DNS (DNSBL). Listas negras de URI que siguen los sitios Web de Spam. Filtros basados en el checksum de los mensajes. Entorno de poltica de emisor (Sender Policy Framework o SPF) RFC 4408. DomainKeys Identied Mail (DKIM)
4
Clam Antivirus: http://www.clamav.net/
169
Filtro bayesiano Reglas estticas Otros.

5
Entre estas tcnicas el ltro bayesiano debe ser explicado con ms detenimiento. Este tipo de ltro hace un anlisis estadstico del texto del mensaje obteniendo una puntuacin que reeja la probabilidad de que el mensaje sea spam. Sin embargo, el anlisis no se hace contra un conjunto esttico de reglas sino contra un conjunto dinmico, que es creado suministrando mensajes ham y spam al ltro de manera que pueda aprender cuales son las caractersticas estadsticas de cada tipo. La ventaja de esta tcnica es que el ltro se puede adaptar al siempre cambiante ujo de spam, las desventajas es que el ltro necesita ser entrenado y que su precisin reejar la calidad del entrenamiento recibido. eBox usa Spamassassin 6 como detector de spam. La conguracin general del ltro se realiza desde Filtro de correo Antispam:
Existe una lista muy larga de tcnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Antispam_techniques_(e-mail) 6 The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .
5
170
Umbral de Spam: Puntuacin a partir de la cual un correo se considera como Spam. Etiqueta de asunto Spam: Etiqueta para aadir al asunto del correo en caso de que sea Spam. Usar clasicador bayesiano: Si est marcado se emplear el ltro bayesiano, si no ser ignorado. Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. Esto es, si el remitente ha enviado mucho correo como ham es altamente probable que el prximo correo que enve sea ham y no spam. Auto-aprendizaje: Si est marcado, el ltro aprender de los mensajes recibidos, cuya puntuacin traspase los umbrales de auto-aprendizaje. Umbral de auto-aprendizaje de spam: Puntuacin a partir de la cual el ltro aprender automticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam.
171
Umbral de auto-aprendizaje de ham: Puntuacin a partir de la cual el ltro aprender automticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor debera ser menor que 0. Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el ltro antispam (procesar ). Desde Entrenar ltro de spam bayesiano podemos entrenar al ltro bayesiano envindole un buzn de correo en formato Mbox
7
que nicamente contenga spam o ham. Existen en Internet
muchos cheros de ejemplo para entrenar al ltro bayesiano, pero suele ser ms exacto entrenarlo con correo recibido en los sitios a ltrar. Conforme ms entrenado est el ltro, mejor ser el resultado de la decisin de tomar un correo como basura o no.
Listas de control basadas en cheros Es posible ltrar los cheros adjuntos que se envan en los correos a travs de Filtro de correo ACL por chero (File Access Control Lists). All podemos permitir o bloquear correos segn las extensiones de los cheros adjuntos o de sus tipos MIME.
Mbox y maildir son formatos de almacenamiento de correos electrnicos y es dependiente del cliente de correo electrnico. En el primero todos los correos se almacenan en un nico chero y con el segundo formato, se almacenan en cheros separados diferentes dentro de un directorio.
7
172
Filtrado de Correo SMTP Desde Filtro de correo
Filtro de correo SMTP se puede congurar el comportamiento de los l-
tros anteriores cuando eBox reciba correo por SMTP. Desde General podemos congurar el comportamiento general para todo el correo entrante:
173
Habilitado: Marcar para activar el ltro SMTP. Antivirus habilitado: Marcar para que el ltro busque virus. Antispam habilitado: Marcar para que el ltro busque spam. Puerto de servicio: Puerto que ocupar el ltro SMTP. Noticar los mensajes problemticos que no son spam: Podemos enviar noticaciones a una cuenta de correo cuando se reciben correos problemticos que no son spam, por ejemplo con virus. Desde Polticas de ltrado se puede congurar qu debe hacer el ltro con cada tipo de correo.
Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones: Aprobar: No hacer nada, dejar pasar el correo a su destinatario. Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el mensaje ha sido descartado. Rebotar: Igual que Rechazar, pero adjuntando una copia del mensaje en la noticacin. Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente. Desde Filtro de correo
Filtro de correo SMTP Dominios virtuales se puede congurar el
comportamiento del ltro para los dominios virtuales de correo. Estas conguraciones sobreescriben las conguraciones generales denidas previamente. Para personalizar la conguracin de un dominio virtual de correo, pulsamos sobre Aadir nuevo.
174
Los parmetros que se pueden sobreescribir son los siguientes: Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan congurado en Correo Dominio Virtual. Usar ltrado de virus / spam: Si estn activados se ltrarn los correos recibidos en ese dominio en busca de virus o spam respectivamente. Umbral de spam: Se puede usar la puntuacin por defecto de corte para los correos Spam, o un valor personalizado. Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado, cuando mensajes de correo se coloquen en la carpeta de Spam sern aprendidos por el ltro como spam. De manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera aprendido como ham. Cuenta de aprendizaje de ham / spam: Si estn activados se crearn las cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para entrenar al ltro. Todo el correo enviado a ham@dominio ser aprendido como correo no spam, mientras que el correo enviado a spam@dominio ser aprendido como spam. Una vez aadido el dominio, se pueden aadir direcciones a su lista blanca, lista negra o que sea obligatorio procesar desde Poltica antispam para el emisor.
6.1.2 Listas de control de conexiones externas

Desde Filtro de correo
Filtro de correo SMTP Conexiones externas se pueden congurar las
conexiones desde MTAs externos mediante su direccin IP o nombre de dominio hacia el ltro de correo que se ha congurado usando eBox. De la misma manera, se puede permitir a esos MTAs externos ltrar correo de aquellos dominios virtuales externos a eBox que se permitan a travs de su
175
conguracin en esta seccin. De esta manera, eBox puede distribuir su carga en dos mquinas, una actuando como servidor de correo y otra como servidor para ltrar correo.
6.1.3 Proxy transparente para buzones de correo POP3

Si eBox est congurado como un proxy transparente, puede ltrar el correo POP. La mquina eBox se colocar entre el verdadero servidor POP y el usuario ltrando el contenido descargado desde los servidores de correo (MTA). Para ello, eBox usa p3scan 8 . Desde Filtro de correo ltrado:
Proxy transparente POP se puede congurar el comportamiento del
Habilitado: Si est marcada, se ltrar el correo POP.

8
Transparent POP proxy http://p3scan.sourceforge.net/
176
Filtrar virus: Si est marcada, se ltrar el correo POP en busca de virus. Filtrar spam: Si est marcada, se ltrar el correo POP en busca de spam. Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, ponindola aqu avisaremos al ltro para que tome los correos con esa cabecera como spam.
Ejemplo prctico Activar el ltro de correo y el antivirus. Enviar un correo con virus. Comprobar que el ltro surte efecto. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo ltro de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los mdulos red y cortafuegos si no se encuentran habilitados con anterioridad. Efecto: eBox solicita permiso para sobreescribir algunos cheros. 2. Accin: Leer los cambios de cada uno de los cheros que van a ser modicados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botn Guardar Cambios. 3. Accin: Acceder al men Filtro de Correo
Filtro de correo SMTP, marcar las casillas Ha-
bilitado y Antivirus habilitado y pulsar el botn Cambiar. Efecto: eBox nos avisa de que hemos modicado satisfactoriamente las opciones mediante el mensaje Hecho. 4. Accin: Acceder a Correo General Opciones de Filtrado de Correo y seleccionar Filtro de correo interno de eBox. Efecto: eBox usar su propio sistema de ltrado. 5. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El ltro de correo ha sido activado con la opcin de antivirus. 6. Accin: Descargar el chero http://www.eicar.org/download/eicar_com.zip, que contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de eBox. Efecto: El correo nunca llegar a su destino porque el antivirus lo habr descartado.
177
7. Accin: Acceder a la consola de la mquina eBox y examinar las ltimas lneas del chero /var/log/mail.log, por ejemplo mediante el uso del comando tail. Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especicndonos el nombre del virus:
Blocked INFECTED (Eicar-Test-Signature)
6.2
Conguracin Avanzada para el proxy HTTP

6.2.1 Conguracin de perles de ltrado
La conguracin de perles de ltrado se realiza en la seccin Proxy HTTP Perles de Filtrado.
Se pueden crear y congurar nuevos perles de ltrado para su uso por grupos de usuarios u objetos de red. Las opciones de conguracin son idnticas a las explicadas en la conguracin del perl por defecto, con una importante salvedad: es posible usar la misma conguracin del perl por defecto en las distintas reas de conguracin. Para ello basta con marcar la opcin Usar conguracin por defecto.
6.2.2 Perl de ltrado por objeto

Se puede seleccionar un perl de ltrado para un objeto origen. Las peticiones que procedan de este objeto usaran el perl seleccionado en vez del perl por defecto.
178
Para ello, hay que acceder a la seccin Proxy HTTP establecida a Filtrar.
Poltica de objetos y cambiar el perl
de ltrado en la linea correspondiente al objeto. Esta opcin requiere que la poltica del objeto este
6.2.3 Filtrado basado en grupos de usuarios

Es posible usar los grupos de usuarios en el control de acceso y en el ltrado. Para ello primero debemos usar como poltica global o del objeto de red desde el cul accedemos al proxy, una de las siguientes: Autorizar y permitir todo, Autorizar y denegar todo o Autorizar y ltrar. Estas polticas hacen que el proxy pida identicacin de usuario y de no ser satisfactoria se bloquear el acceso. Warning: Hay que tener en cuenta que, por una limitacin tcnica de la autenticacin HTTP, las polticas con autenticacin son incompatibles con el modo transparente. Si tenemos establecida una poltica global con autorizacin podremos tambin establecer polticas globales de grupo, la poltica nos permitir controlar el acceso a los miembros del grupo y asignarle un perl de ltrado distinto del perl por defecto. Las polticas de grupo se gestionan en la seccin Proxy HTTP
Poltica de Grupo. El acceso
del grupo puede ser permitir o denegar. Esto slo afecta al acceso a la web, la activacin del ltrado de contenidos no depende de esto sino de que tengamos una poltica global o de objeto de ltrar. A la poltica de grupo se le puede asignar un horario, fuera del horario el acceso ser denegado.
Cada poltica de grupo tiene una prioridad reejada en su posicin en la lista (primero en la lista, mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios grupos, en cuyo caso le afectarn nicamente las polticas adoptadas al grupo de mayor prioridad. Tambin aqu se le puede asignar un perl de ltrado para ser usado cuando se realice ltrado de contenidos a miembros del grupo de usuarios. En la prxima seccin se explica el uso de los perles de ltrado.
179
6.2.4 Filtrado basado en grupos de usuarios para objetos

Recordamos que es posible congurar polticas por objeto de red. Dichas polticas tienen prioridad sobre la poltica general del proxy y sobre las polticas globales de grupo. Adems en caso de que hayamos elegido una poltica con autorizacin, es posible tambin denir polticas por grupo. Las polticas de grupo en este caso slo inuyen en el acceso y no en el ltrado que vendr determinado por la poltica de objeto. Al igual que en la poltica general, las polticas con autorizacin son incompatibles con el ltrado transparente. Por ltimo, cabe destacar que no podemos asignar perles de ltrado a los grupos en las polticas de objeto. Por tanto, un grupo usar el perl de ltrado establecido en su poltica global de grupo, sea cual sea el objeto de red desde el que se acceda al proxy.
Ejemplo prctico Tenemos que crear una poltica de acceso para dos grupos: IT y Contabilidad. Los miembros del grupo de contabilidad slo podrn acceder en horario de trabajo y tendrn el contenido ltrado con mayor umbral que el resto de la empresa. Los miembros de IT podrn entrar a cualquier hora, no tendrn ltrado pero tendrn denegada la misma listas de dominios que el resto de la empresa. Asumimos que los grupos y sus usuarios ya estn creados. Para ello, podemos seguir estos pasos: 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy, para ello marcar su casilla en la columna Estado. Efecto: Una vez los cambios guardados, se pedir autenticacin a todo el que trate de acceder al contenido web y de acceder el ltrado de contenidos estar activado.
180
2. Accin: Entrar a la gestin de perles de ltrado, situada en Proxy HTTP
Perles de Fil-
trado. Primero, agregar al perl por defecto la lista de dominios prohibidos por la empresa. Entrar por medio del icono en la columna de Conguracin a los parmetros del perl por defecto. Seleccionar la pestaa Filtrado de dominios y en la lista de dominios aadir marca.es y youtube.com. A continuacin, volver a Proxy HTTP conguraremos ambos. El Perl contabilidad tan slo debe distinguirse por la poca tolerancia de su umbral, as que en umbral de ltrado lo estableceremos al valor muy estricto, el resto de conguracin debe seguir la poltica por defecto de la empresa as que tanto en Filtro de dominios, como en Filtro de extensiones de chero y en Filtro de tipos MIME marcaremos la opcin Usar conguracin por defecto asegurndonos as que el comportamiento para estos elementos no diferir de la poltica por defecto. En el Perl IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los que debemos seguir la poltica habitual. En consecuencia iremos a Filtro de dominios y marcaremos la opcin Usar conguracin por defecto, el nivel de umbral lo dejaremos en Desactivado y las listas de ltrado de extensiones de chero y tipos MIME, vacas. Efecto: Tendremos denidos los perles de ltrado necesarios para nuestros grupos de usuarios. 3. Accin: Ahora asignaremos los horarios y los perles de ltrado a los grupos. Para ello entraremos en Proxy HTTP Poltica de grupo. Pulsaremos sobre Aadir nueva, seleccionaremos Contabilidad como grupo, estableceremos el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perl de ltrado Perl de contabilidad. De igual manera crearemos una poltica para el grupo IT. Para este grupo seleccionaremos el Perl IT y no pondremos ninguna restriccin en cuanto horario. Efecto: Una vez guardados los cambios, habremos nalizado la conguracin para este caso. Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las dos polticas. Algunas cosas que podemos comprobar: Entrar como miembro de contabilidad en www.playboy.com y comprobar que es denegada por el anlisis de contenidos. A continuacin entrar como miembro de IT y comprobar que el anlisis esta desactivado entrando en dicha pgina.
Perles de Filtrado, y crear dos nuevos perles de
ltrado para nuestros grupos, con los nombres Perl IT y Perl contabilidad. Seguidamente
181
Tratar de entrar en alguno de los dominios prohibidos, comprobando que la lista est en vigor para ambos grupos. Cambiar la fecha a un da no laborable, comprobar que los miembros de IT pueden acceder pero los de Contabilidad, no.
6.3
Interconexin segura entre redes locales

6.3.1 Redes privadas virtuales (VPN)
Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios remotos a travs de Internet como para unir redes dispersas geogrcamente. Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que dichos usuarios, al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a ella. La solucin obvia es permitir la conexin a travs de Internet. Esto nos puede crear problemas de seguridad y conguracin, los cuales se tratan de resolver mediante el uso de las redes privadas virtuales. La solucin que ofrece una VPN (Virtual Private Network ) a este problema es el uso de cifrado para permitir slo el acceso a los usuarios autorizados (de ah el adjetivo privada). Para facilitar el uso y la conguracin, las conexiones aparecen como si existiese una red entre los usuarios (de ah lo de virtual). La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizacin puede desear conectar entre s redes que se encuentran en sitios distintos. Por ejemplo, ocinas en distintas ciudades. Antes, la solucin a este problema estaba en la contratacin de lneas dedicadas para conectar dichas redes, este servicio es costoso y lento de desplegar. Sin embargo, el avance de Internet proporcion un medio barato y ubicuo, pero inseguro. De nuevo las caractersticas de autorizacin y virtualizacin de las VPN resultaron la respuesta adecuada a dicho problema. A este respecto, eBox ofrece dos modos de funcionamiento. Permite funcionar como servidor para usuarios individuales y tambin como conexin entre dos o ms redes gestionadas con eBox.
182
6.3.2 Infraestructura de clave pblica (PKI) con una autoridad de certicacin (CA)
La VPN que usa eBox para garantizar la privacidad e integridad de los datos transmitidos utiliza cifrado proporcionado por tecnologa SSL. La tecnologa SSL est extendida y lleva largo tiempo en uso, as que podemos estar razonablemente seguros de su ecacia. Sin embargo, todo mecanismo de cifrado tiene el problema de cmo distribuir las claves necesarias a los usuarios, sin que estas puedan ser interceptadas por terceros. En el caso de las VPN, este paso es necesario cuando un nuevo participante ingresa en la red privada virtual. La solucin adoptada es el uso de una infraestructura de clave pblica (Public Key Infraestructure - PKI). Esta tecnologa nos permite la utilizacin de claves en un medio inseguro, como es el caso de Internet, sin que sea posible la interceptacin de la clave por observadores de la comunicacin. La PKI se basa en que cada participante genera un par de claves: una pblica y una privada. La pblica es distribuida y la privada guardada en secreto. Cualquier participante que quiera cifrar un mensaje puede hacerlo con la clave pblica del destinatario, pero el mensaje slo puede ser descifrado con la clave privada del mismo. Como esta ltima no debe ser comunicada a nadie nos aseguramos que el mensaje slo pueda ser descifrado por el destinatario. No obstante, esta solucin engendra un nuevo problema. Si cualquiera puede presentar una clave pblica, cmo garantizamos que un participante es realmente quien dice ser y no est suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certicados.
9
Figure 6.3: Cifrado con clave pblica Los certicados aprovechan otra capacidad de la PKI: la posibilidad de rmar cheros. Para rmar cheros se usa la propia clave privada del rmante y para vericar la rma cualquiera puede
Existe mucha documentacin sobre el cifrado basado en clave pblica. Este enlace puede ser un comienzo: http://en.wikipedia.org/wiki/Public-key_encryption
9
183
Figure 6.4: Firmado con clave pblica
usar la clave pblica. Un certicado es un chero que contiene una clave pblica, rmada por un participante en el que conamos. A este participante en el que depositamos la conanza de vericar las identidades se le denomina autoridad de certicacin (Certication Authority - CA).
Figure 6.5: Expedicin de un certicado
6.3.3 Conguracin de una Autoridad de Certicacin con eBox

eBox tiene integrada la gestin de la Autoridad de Certicacin y del ciclo de vida de los certicados expedidos por esta para tu organizacin. Utiliza las herramienta de consola OpenSSL
10
10
para este
OpenSSL - The open source toolkit for SSL/TLS <http://www.openssl.org/>.
184
servicio. Primero, es necesario generar las claves y expedir el certicado de la CA. Este paso es necesario para rmar nuevos certicados, as que el resto de funcionalidades del mdulo no estarn disponibles hasta que las claves de la CA se generen y su certicado, que es auto rmado, sea expedido. Tngase en cuenta que este mdulo es independiente y no necesita ser activado en Estado del Mdulo.
Accederemos a Autoridad de Certicacin
General y nos encontraremos ante el formulario
para expedir el certicado de la CA tras generar automticamente el par de claves. Se requerir el Nombre de la Organizacin y el Nmero de Das para Expirar. A la hora de establecer la duracin hay que tener en cuenta que su expiracin revocar todos los certicados expedidos por esta CA, provocando la parada de todos los servicios que dependan de estos certicados. Tambin es posible dar los siguientes datos de manera opcional: Cdigo del Pas Un acrnimo de dos letras que sigue el estndar ISO-3166. Ciudad Estado o Regin
185
Una vez que la CA ha sido creada, seremos capaces de expedir certicados rmados por esta CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certicacin
General. Los datos necesarios son el Nombre Comn del certicado y los Das para Expirar. Este ltimo dato est limitado por el hecho de que ningn certicado puede ser vlido durante ms tiempo que la CA. En el caso de que estemos usando estos certicados para un servicio como podra ser un servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio del servidor. De todas maneras, se puede poner cualquier nmero de Nombres alternativos para el sujeto HTTP
12 11
para el certicado para, por ejemplo, establecer otro nombre comn a un dominio virtual
o una direccin IP o incluso una direccin de correo para rmar los mensajes de correo
electrnico. Una vez el certicado haya sido creado, aparecer en la lista de certicados y estar disponible para los mdulos de eBox que usen certicados y para las dems aplicaciones externas. Adems, a travs de la lista de certicados podemos realizar distintas acciones con ellos: Descargar las claves pblica, privada y el certicado. Renovar un certicado.
Para tener ms informacin sobre los nombres alternativos para un sujeto, visita http://www.openssl.org/docs/apps/x509v3_cong.html#Subject_Alternative_Name 12 Para ms informacin sobre los dominios virtuales en HTTP, investiga en la seccin Dominios virtuales para obtener ms detalles.
11
186
Revocar un certicado. Si renovamos un certicado, el certicado actual ser revocado y uno nuevo con la nueva fecha de expiracin ser expedido junto al par de claves.
Si revocamos un certicado no podremos utilizarlo ms ya que esta accin es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razn para revocarlo: unspecied Motivo no especicado keyCompromise La clave privada ha sido comprometida CACompromise La clave privada de la autoridad de certicacin ha sido comprometida aflliationChanged Se ha producido un cambio en la aliacin de la clave pblica rmada hacia otra organizacin. superseded El certicado ha sido renovado y por tanto reemplaza al emitido. cessationOfOperation Cese de operaciones de la entidad certicada. certicateHold Certicado suspendido. removeFromCRL Actualmente sin implementar da soporte a los CRLs delta o diferenciales.
Si se renueva la CA, todos los certicados se renovarn con la nueva CA tratando de mantener la antigua fecha de expiracin, si esto no es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se establecer la fecha de expiracin de la CA.
187
Cuando un certicado expire, el resto de mdulos sern noticados. La fecha de expiracin de cada certicado se comprueba una vez al da y cada vez que se accede al listado de certicados.
Certicados de Servicios
En Autoridad de Certicacin Certicados de Servicios podemos encontrar la lista de mdulos de eBox usando certicados para sus servicios. Por omisin estos son generados por cada mdulo, pero si estamos usando la CA podemos remplazar estos certicados auto rmados por uno expedido por la CA de nuestra organizacin. Para cada servicio podemos denir el Nombre Comn del certicado y si no hay un certicado con ese Nombre Comn, la CA expedir uno. Para ofrecer este par de claves y el certicado rmado al servicio deberemos Activar el certicado para ese servicio. Cada vez que un certicado se renueva se ofrece de nuevo al mdulo de eBox pero es necesario reiniciar ese servicio para forzarlo a usar el nuevo certicado.
Ejemplo prctico A Crear una autoridad de certicacin (CA) vlida durante un ao, despus crear un certicado llamado servidor y crear dos certicados para clientes llamados cliente1 y cliente2. 1. Accin: En Autoridad de Certicacin General, en el formulario Expedir el Certicado de la Autoridad de Certicacin rellenamos los campos Nombre de la Organizacin y Das para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certicacin. Efecto: El par de claves de la Autoridad de Certicacin es generados y su certicado expedido. La nueva CA se mostrar en el listado de certicados. El formulario para crear la Autoridad de Certicacin ser sustituido por uno para expedir certicados normales.
188
2. Accin: Usando el formulario Expedir un Nuevo Certicado para expedir certicados, escribiremos servidor en Nombre Comn y en Das para Expirar un nmero de das menor o igual que el puesto en el certicado de la CA. Repetiremos estos pasos con los nombres cliente1 y cliente2. Efecto: Los nuevos certicados aparecern en el listado de certicados, listos para ser usados.
6.3.4 Conguracin de una VPN con eBox

El producto seleccionado por eBox para crear las VPN es OpenVPN ientes ventajas: Autenticacin mediante infraestructura de clave pblica. Cifrado basado en tecnologa SSL. Clientes disponibles para Windows, MacOS y Linux. Cdigo que se ejecuta en espacio de usuario, no hace falta modicacin de la pila de red (al contrario que con IPSec). Posibilidad de usar programas de red de forma transparente.
13
. OpenVPN posee las sigu-
Cliente remoto con VPN Se puede congurar eBox para dar soporte a clientes remotos (conocidos familiarmente como Road Warriors). Esto es, una mquina eBox trabajando como puerta de enlace y como servidor OpenVPN, que tiene una red de rea local (LAN) detrs, permitiendo a clientes en Internet (los road warriors) conectarse a dicha red local va servicio VPN. La siguiente gura puede dar una visin ms ajustada: Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos ltimos entre s. Para ello, necesitamos crear una Autoridad de Certicacin y certicados para los dos clientes remotos. Tenga en cuenta que tambin se necesita un certicado para el servidor OpenVPN. Sin embargo, eBox crear este certicado automticamente cuando cree un nuevo servidor OpenVPN. En este escenario, eBox acta como una Autoridad de Certicacin.
13
OpenVPN: An open source SSL VPN Solution by James Yonan http://openvpn.net.
189
Figure 6.6: eBox y clientes remotos de VPN
Una vez tenemos los certicados, deberamos poner a punto el servidor OpenVPN en eBox mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un servidor es el nombre. eBox hace que la tarea de congurar un servidor OpenVPN sea sencilla, ya que establece valores de forma automtica. Los siguientes parmetros de conguracin son aadidos automticamente por eBox, y pueden ser modicados si es necesario: una pareja de puerto/protocolo, un certicado (eBox crear uno automticamente usando el nombre del servidor OpenVPN) y una direccin de red. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direccin de red nos deberemos asegurar que no entra en conicto con una red local. Adems, las redes locales, es decir, las redes conectadas directamente a los interfaces de red de la mquina, se anunciarn automticamente a travs de la red privada. Como vemos, el servidor OpenVPN estar escuchando en todas las interfaces externas. Por tanto, debemos poner al menos una de nuestras interfaces como externa va Red
Interfaces. En
nuestro escenario slo se necesitan dos interfaces, una interna para la LAN y otra externa para el lado colocado hacia Internet. Es posible congurar nuestro servidor para escuchar en las interfaces internas, activando la opcin de Network Address Translation (NAT), pero de momento la vamos a ignorar. Si queremos que los clientes puedan conectarse entre s usando su direccin de VPN, debemos activar la opcin Permitir conexiones entre clientes. El resto de opciones de conguracin las podemos dejar con sus valores por defecto.
190
Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor OpenVPN est funcionando. Tras ello, debemos anunciar redes, dichas redes sern accesibles por los clientes OpenVPN autorizados. Hay que tener en cuenta que eBox anunciar todas las redes internas automticamente. Por supuesto, podemos aadir o eliminar las rutas que necesitemos. En nuestro escenario, se habr aadido automticamente la red local para hacer visible el cliente 3 a los otros dos clientes. Una vez hecho esto, es momento de congurar los clientes. La forma ms sencilla de congurar un cliente OpenVPN es utilizando nuestros bundles. Estos estn disponibles en la tabla que aparece en VPN
Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se han
creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS o GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certicados que se van dar al cliente y se establece la direccin IP externa a la cual los clientes VPN se deben conectar. Si el sistema seleccionado es Windows, se incluye tambin un instalador de OpenVPN para Win32. Los bundles de conguracin los descargar el administrador de eBox para distribuirlos a los clientes de la manera que crea ms oportuna.
191
Un bundle incluye el chero de conguracin y los cheros necesarios para comenzar una conexin VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del recientemente creado directorio, el siguiente comando:
openvpn --config filename

Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Hay que tener en cuenta que el servicio local de DNS de eBox no funciona a travs de la red privada a no ser que se conguren los clientes remotos para que usen eBox como servidor de nombres. Es por ello que no podremos acceder a los servicios de las mquinas de la LAN por nombre, nicamente podremos hacerlo por direccin IP. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos por Windows, para navegar en los recursos compartidos desde la VPN se deben explcitamente permitir el trco de difusin del servidor SMB/CIFS. Para conectar entre s los clientes remotos, necesitamos activar la opcin Permitir conexiones cliente-a-cliente dentro de la conguracin del servidor OpenVPN. Para comprobar que la conguracin es correcta, observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se han aadido al interfaz virtual tapX. Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de eBox.
Ejemplo prctico B En este ejercicio vamos a congurar un servidor de VPN. Conguraremos un cliente en un ordenador residente en una red externa, conectaremos a la VPN y a travs de ella accederemos a una mquina residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna.
Para ms informacin sobre comparticin de cheros ir a la seccin Servicio de comparticin de cheros y de autenticacin
14
192
Para ello: 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo OpenVPN, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para realizar algunas acciones. 2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo. Efecto: Se ha activado el botn Guardar cambios. 3. Accin: Acceder a la interfaz de eBox, entrar en la seccin VPN un nombre para el servidor. Efecto: El nuevo servidor aparecer en la lista de servidores. 4. Accin: Pulsar en Guardar cambios y aceptar todos los cambios. Efecto: El servidor est activo, podemos comprobar su estado en la seccin Dashboard. 5. Accin: Para facilitar la conguracin del cliente, descargar el bundle de conguracin para el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y rellenar el formulario de conguracin. Introducir las siguientes opciones: Tipo de cliente: seleccionar Linux, ya que es el SO del cliente. Certicado del cliente: elegir cliente1. Si no est creado este certicado, crearlo siguiendo las instrucciones del ejercicio anterior. Direccin del servidor: aqu introducir la direccin por la que el cliente puede alcanzar al servidor VPN. En nuestro escenario coincide con la direccin de la interfaz externa conectada a la misma red que el ordenador cliente. Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el cliente. Ser un archivo en formato comprimido .tar.gz. 6. Accin: Congurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio. Observar que el bundle contena los cheros con los certicados necesarios y un chero de conguracin con la extensin .conf. Si no han existido equivocaciones en los pasos anteriores ya tenemos toda la conguracin necesaria y no nos queda ms que lanzar el programa. Para lanzar el cliente ejecutar el siguiente comando dentro del directorio:
Servidores, pulsar sobre
Aadir nuevo, aparecer un formulario con los campos Habilitado y Nombre. Introduciremos
193
openvpn --config
[ nombre_del_fichero.conf ]
Efecto: Al lanzar el comando en la ventana de terminal se irn imprimiendo las acciones realizadas por el programa. Si todo es correcto, cuando la conexin est lista se leer en la pantalla Initialization Sequence Completed; en caso contrario se leern mensajes de error que ayudarn a diagnosticar el problema. 7. Accin: Antes de comprobar que existe conexin entre el cliente y el ordenador de la red privada, debemos estar seguros que este ltimo tiene ruta de retorno al cliente VPN. Si estamos usando eBox como puerta de enlace por defecto, no habr problema, en caso contrario necesitaremos aadir una ruta al cliente. Primero comprobaremos que existe la conexin con el comando ping, para ello ejecutaremos el siguiente comando:
ping -c 3
[ direccin_ip_del_otro_ordenador ]
Para comprobar que no slo hay comunicacin sino que podemos acceder a los recursos del otro ordenador, iniciar una sesin de consola remota, para ello usamos el siguiente comando desde el ordenador del cliente:
ssh
[ direccin_ip_del_otro_ordenador ]
Despus de aceptar la identidad del ordenador e introducir usuario y contrasea, accederemos a la consola del otro ordenador.
Cliente remoto NAT con VPN

Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la mquina no posee interfaces externos, entonces necesitaremos activar la opcin de Network Address Translation. Como es una opcin del cortafuegos, tendremos que asegurarnos que el mdulo de cortafuegos est activo, de lo contrario no podremos activar esta opcin. Con dicha opcin, el servidor VPN se encargar de actuar como representante de los clientes VPN dentro de la red local. En realidad, lo ser de todas las redes anunciadas, para asegurarse que recibe los paquetes de respuesta que posteriormente reenviar a travs de la red privada a sus clientes. Esta situacin se explica mejor con el siguiente grco:
194
Figure 6.7: Conexin desde un cliente VPN a la LAN con VPN usando NAT
Interconexin segura entre redes locales

En este escenario tenemos dos ocinas en diferentes redes que necesitan estar conectadas a travs de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace. Una actuar como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situacin:
Figure 6.8: eBox como servidor OpenVPN vs. eBox como cliente OpenVPN
Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos congurar un servidor OpenVPN como hacemos en el Ejemplo prctico B. Sin embargo, se necesita hacer dos pequeos cambios habilitando la opcin Permitir tneles eBox a eBox para intercambiar rutas entre mquinas eBox y contrasea tnel eBox a eBox para establecer la conexin en un entorno ms seguro entre las dos ocinas. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redes anunciadas.
195
Para congurar eBox como un cliente OpenVPN, podemos hacerlo a travs de VPN Clientes. Debes dar un nombre al cliente y activar el servicio. Se puede establecer la conguracin del cliente manualmente o automticamente usando el bundle dado por el servidor VPN, como hemos hecho en el Ejemplo prctico B. Si no se usa el bundle, se tendr que dar la direccin IP y el par protocolopuerto donde estar aceptando peticiones el servidor. Tambin ser necesaria la contrasea del tnel y los certicados usados por el cliente. Estos certicados debern haber sido creados por la misma autoridad de certicacin que use el servidor.
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en la red 2 ejecutndose como cliente con la conexin objetivo dirigida a la otra eBox dentro de la LAN 1.
Cuando la conexin est completa, la mquina que tiene el papel de servidor tendr acceso a todas las rutas de las maquinas clientes a travs de la VPN. Sin embargo, aquellas cuyo papel sea de
196
cliente slo tendrn acceso a aquellas rutas que el servidor haya anunciado explcitamente.
Ejemplo prctico C El objetivo de este ejercicio es montar un tnel entre dos redes que usan servidores eBox como puerta de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar entre s. 1. Accin: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el tnel. Asegurarse de que el mdulo de VPN est activado y activarlo si es necesario. Una vez en la seccin VPN conguracin: Puerto: elegir un puerto que no est en uso, como el 7766. Direccin de VPN: introducir una direccin privada de red que no est en uso en ninguna parte de nuestra infraestructura, por ejemplo 192.168.77.0/24. Habilitar Permitir tneles eBox-a-eBox. Esta es la opcin que indica que va a ser un servidor de tneles. Introducir una contrasea para tneles eBox-a-eBox. Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir la interfaz externa con la que podr conectar la eBox cliente. Para concluir la conguracin del servidor se deben anunciar redes siguiendo los mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente suministrar todas sus rutas automticamente al servidor. Nos resta habilitar el servidor y guardar cambios. Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, podemos comprobar su estado en el Dashboard. 2. Accin: Para facilitar el proceso de conguracin del cliente, obtener un bundle de conguracin del cliente, descargndolo del servidor. Para descargarlo, acceder de nuevo a la interfaz Web de eBox y en la seccin VPN
Servidores, crear un nuevo servidor. Usar los siguientes parmetros de
Servidores, pulsar en Descargar bundle de congu-
racin del cliente en nuestro servidor. Antes de poder descargar el bundle se deben establecer algunos parmetros en el formulario de descarga: Tipo de cliente: elegir Tnel eBox a eBox.
197
Certicado del cliente: elegir un certicado que no sea el del servidor ni est en uso por ningn cliente ms. Sino se tienen sucientes certicados, seguir los pasos de ejercicios anteriores para crear un certicado que pueda usar el cliente. Direccin del servidor: aqu se debe introducir la direccin por la que el cliente pueda conectar con el servidor, en nuestro escenario la direccin de la interfaz externa conectada a la red visible tanto por el servidor como el cliente ser la direccin adecuada. Una vez introducidos todos los datos pulsamos el botn de Descargar. Efecto: Descargamos un archivo tar.gz con los datos de conguracin necesarios para el cliente. 3. Accin: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Comprobar que el mdulo VPN est activo, ir a la seccin VPN
Clientes. En esta seccin se
ve una lista vaca de clientes, para crear uno pulsar sobre Aadir cliente e introducir un nombre para l. Como no est congurado no se podr habilitar, as que se debe volver a la lista de clientes y pulsar en el apartado de conguracin correspondiente a nuestro cliente. Dado que se tiene un bundle de conguracin de cliente, no se necesita rellenar las secciones a mano. Usaremos la opcin Subir bundle de conguracin del cliente, seleccionar el archivo obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la conguracin, se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparecer un formulario donde podremos marcar la opcin de Habilitado. Ahora tenemos el cliente totalmente congurado y slo nos resta guardar los cambios. Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos comprobar en el Dashboard. Si tanto la conguracin del servidor como del cliente son correctas, el cliente iniciar la conexin y en un instante tendremos el tnel listo. 4. Accin: Ahora se comprobar que los ordenadores en las redes internas del servidor y del cliente pueden verse entre s. Adems de la existencia del tnel sern necesarios los siguientes requisitos: Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si, como en nuestro escenario, eBox est siendo utilizado como puerta de enlace no habr necesidad de introducir rutas adicionales. El cortafuegos deber permitir conexiones entre las rutas para los servicios que utilicemos.
198
Una vez comprobados estos requisitos podremos pasar a comprobar la conexin, para ello entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las siguientes comprobaciones: Ping a un ordenador en la red del cliente VPN. Tratar de iniciar una sesin SSH en un ordenador de la red del cliente VPN. Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN.
6.4
Sistema de Deteccin de Intrusos (IDS)

Un Sistema de Deteccin de Intrusos (IDS) es una aplicacin diseada para evitar accesos no deseados a nuestras mquinas, principalmente ataques provenientes de Internet. Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los paquetes del trco entrante. Adems de registrar todos los eventos sospechosos, aadiendo informacin til (como puede ser la direccin IP de origen del ataque), a una base de datos o chero de registro; algunos IDS combinados con el cortafuegos tambin son capaces de bloquear los intentos de intrusin. Existen distintos tipos de IDS, el ms comn de ellos es el Sistema de Deteccin de Intrusos de Red (NIDS), se encarga de examinar todo el trco de una red local. Uno de los NIDS ms populares es Snort 15 , que es la herramienta que integra eBox para realizar dicha tarea.
6.4.1 Conguracin de un IDS con eBox

La conguracin del Sistema de Deteccin de Intrusos en eBox es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especicar en qu interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos. A ambas opciones de conguracin se accede a travs del men IDS. En la pestaa Interfaces aparecer una tabla con la lista de todas las interfaces de red que tengamos conguradas. Por defecto, todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU
15
Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www.snort.org
199
que genera la inspeccin de trco. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de seleccin.
En la pestaa Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema (cheros bajo el directorio /etc/snort/rules). Por defecto, se encuentra habilitado un conjunto tpico de reglas. Podemos ahorrar tiempo de CPU desactivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos tambin activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces.
200
6.4.2 Alertas del IDS

Con lo que hemos visto hasta ahora podemos tener funcionando el mdulo IDS, pero su nica utilidad sera que podramos observar manualmente las distintas alertas en el chero /var/log/snort/alert. Como vamos a ver, gracias al sistema de registros y eventos de eBox podemos hacer que esta tarea sea ms sencilla y eciente. El mdulo IDS se encuentra integrado con el mdulo de registros de eBox, as que si este ltimo se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. As mismo, podemos congurar un evento para que cualquiera de estas alertas sea noticada al administrador del sistema por alguno de los distintos medios disponibles. Para ms informacin al respecto, consultar el captulo Registros.
Ejemplo prctico Habilitar mdulo IDS y lanzar un ataque basado en el escaneo de puertos contra la mquina eBox. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo IDS, para ello marcar su casilla en la columna Estado. Nos informa de que se modicar la conguracin de Snort. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Del mismo modo, activar el mdulo registros, en caso de que no se encontrase activado previamente. Efecto: Cuando el IDS entre en funcionamiento podr registrar sus alertas. 3. Accin: Acceder al men IDS y en la pestaa Interfaces activar una interfaz que sea alcanzable desde la mquina en la que lanzaremos el ataque. Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden los cambios. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora el IDS se encuentra analizando el trco de la interfaz seleccionada. 5. Accin: Instalar el paquete nmap en otra mquina mediante el comando aptitude install nmap.
201
Efecto: La herramienta nmap se encuentra instalada en el sistema. 6. Accin: Desde la misma mquina ejecutar el comando nmap pasndole como nico argumento de lnea de comandos la direccin IP de la interfaz de eBox seleccionada anteriormente. Efecto: Se efectuarn intentos de conexin a distintos puertos de la mquina eBox. Se puede interrumpir el proceso pulsando Ctrl-c. 7. Accin: Acceder a Registros dominio IDS. Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar.
Consulta Registros y seleccionar Informe completo para el
202
Chapter 7 eBox Core
En eBox no slo se conguran los servicios de red de manera integrada. Sino que adems ofrece una serie de caractersticas que facilitan y hacen ms eciente la administracin de eBox. Este conjunto de caractersticas es lo que denominamos el ncleo del sistema eBox. Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber qu ha pasado y cundo, noticaciones ante incidencias o determinados eventos, monitorizacin de la mquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en este apartado.
7.1
Registros
eBox proporciona una infraestructura para que sus mdulos puedan registrar todo tipo de eventos que puedan ser tiles para el administrador. Estos registros se pueden consultar a travs de la interfaz de eBox de manera comn. Estos registros se almacenan en una base de datos para hacer la consulta, los informes y las actualizaciones de manera ms sencilla y eciente. El gestor de base de datos que se usa es PostgreSQL 1 . Adems podemos congurar distintos manejadores para los eventos, de forma que el administrador pueda ser noticado por distintos medios (Correo, Jabber o RSS 2 ). Disponemos de registros para los siguientes servicios:
1 2
PostgreSQL The worlds most advanced open source database http://www.postgresql.org/.
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas http://www.rssboard.org/rss-specication/.
203
OpenVPN (Redes privadas virtuales (VPN)) SMTP Filter (Filtrado de Correo SMTP) POP3 proxy (Proxy transparente para buzones de correo POP3) Impresoras (Servicio de comparticin de impresoras) Cortafuegos (Cortafuegos) DHCP (Servicio de conguracin de red (DHCP)) Correo (Servicio de correo electrnico (SMTP/POP3-IMAP4)) Proxy HTTP (Servicio Proxy HTTP) Ficheros compartidos (Servicio de comparticin de cheros y de autenticacin) IDS (Sistema de Deteccin de Intrusos (IDS)) As mismo, podemos recibir noticaciones de los siguientes eventos: Valores especcos de los registros. Estado de salud de eBox. Estado de los servicios. Eventos del subsistema RAID por software Espacio libre en disco. Problemas con los routers de salida a Internet. Finalizacin de una copia completa de datos. En primer lugar, para que funcionen los registros, al igual que con el resto de mdulos de eBox, debemos asegurarnos de que este se encuentre habilitado. Para habilitarlo debemos ir a Estado del mdulo y seleccionar la casilla registros. Para obtener informes de los registros existentes, podemos acceder a la seccin Registros del men de eBox. Podemos obtener un Informe completo de todos los dominios de registro. Adems, algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visin global del funcionamiento del servicio durante un periodo de tiempo. En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. La informacin proporcionada es dependiente de cada dominio. Por ejemplo,
Consultar registros
204
CHAPTER 7. EBOX CORE
Figure 7.1: Pantalla de consulta de registros
para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un certicado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que nos permita ltrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de evento para que nos avise cuando ocurra alguna coincidencia. Adems, si la consulta se realiza hasta el momento actual, el resultado se ir refrescando con nuevos datos. El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un da, una hora, una semana o un mes. La informacin que obtenemos es una o varias grcas, acompaadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver, como ejemplo, las estadsticas de peticiones y trco del proxy HTTP al da.
7.1.1 Conguracin de registros

Una vez que hemos visto como podemos consultar los registros, es importante tambin saber que podemos congurarlos en la seccin Registros Congurar los registros del men de eBox. Los valores congurables para cada dominio instalado son: Habilitado: Si esta opcin no est activada no se escribirn los registros de ese dominio. Purgar registros anteriores a: Establece el tiempo mximo que se guardarn los registros. Todos aquellos valores cuya antigedad supere el periodo especicado, sern desechados.
205
Figure 7.2: Pantalla de informe completo
Adems podemos forzar la eliminacin instantnea de todos los registros anteriores a un determinado periodo. Esto lo hacemos mediante el botn Purgar de la seccin Forzar la purga de registros, que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 das.
Ejemplo prctico Habilitar el mdulo de registros. Usar el Ejemplo prctico como referencia para generar trco de correo electrnico conteniendo virus, spam, remitentes prohibidos y cheros prohibidos. Observar los resultados en Registros Consulta Registros Informe completo. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo registros, para ello marcar su casilla en la columna Estado. Nos informa de que se crear una base de datos para guardar los registros. Permitir la operacin pulsando el botn Aceptar. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Acceder al men Registros Congurar registros y comprobar que los registros para el dominio Correo se encuentran habilitados. Efecto: Hemos habilitado el mdulo registros y nos hemos asegurado de tener activados los registros para el correo.
206
Figure 7.3: Pantalla de informe resumido
207
Figure 7.4: Pantalla de congurar registros
3. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora quedarn registrados todos los correos que enviemos. 4. Accin: Volver a enviar unos cuantos correos problemticos (con spam o virus) como se hizo en el tema correspondiente. Efecto: Como ahora el mdulo registros est habilitado, los correos han quedado registrados, a diferencia de lo que ocurri cuando los enviamos por primera vez. 5. Accin: Acceder a Registros dominio Correo. Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando distintas informaciones de cada uno.
Consulta Registros y seleccionar Informe completo para el
208
7.2
Monitorizacin
El mdulo de monitorizacin permite al administrador conocer el estado del uso de los recursos del servidor eBox. Esta informacin es esencial tanto para diagnosticar problemas como para planicar los recursos necesarios con el objetivo de evitar problemas. Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos valores son normales o estn fuera del rango comn de valores, tanto en su valor inferior como superior. El principal problema de la monitorizacin es la seleccin de aquellos valores signicativos del sistema. Para cada una de las mquinas esos valores pueden ser diferentes. Por ejemplo, en un servidor de cheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador la memoria disponible y la carga son valores mucho ms signicativos para conocer el estado del servicio ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo concreto. Es por ello que las mtricas que monitoriza eBox son relativamente limitadas. Estas son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de cheros. La monitorizacin se hace mediante grcas que permiten hacerse fcilmente una idea de la evolucin del uso de recursos. Para acceder a las grcas se hace a travs de la entrada Monitorizacin. Ah se muestran las grcas de las medidas monitorizadas. Colocando el cursor encima de algn punto de la lnea de la grca en el que estemos interesados podremos saber el valor exacto para ese momento. Podemos elegir la escala temporal de las grcas entre una hora, un da, un mes o un ao. Para ello simplemente pulsaremos sobre la pestaa correspondiente.
209
7.2.1 Mtricas
Carga del sistema La carga del sistema trata de medir la relacin entre la demanda de trabajo y el realizado por el computador. Esta mtrica se calcula usando el nmero de tareas ejecutables en la cola de ejecucin y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos. La interpretacin de esta mtrica es la capacidad de la CPU usada en el periodo elegido. As, una carga de 1 signicara que esta operando a plena capacidad. Un valor de 0.5 signicara que podra llegar a soportar el doble de trabajo. Y siguiendo la misma proporcin, un valor de 2 se interpretara como que le estamos exigiendo el doble del trabajo que puede realizar. Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En estos casos no se correspondera bien con el uso de la CPU, pero seguira siendo til para estimar la relacin entre la demanda y la capacidad de trabajo.
210
Uso de la CPU Con esta grca tendremos una informacin detallada del uso de la CPU. En caso de que dispongamos de una maquina con mltiples CPUs tendremos una grca para cada una de ellas. En la grca se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados, ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera de una operacin de entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling conocidos como jifes. En la mayora de sistemas Linux ese valor es 100 por segundo pero no hay ninguna limitacin o posibilidad que dicho valor sea diferente.
211
Uso de la memoria La grca nos muestra el uso de la memoria. Se monitorizan cuatro variables: Memoria libre: Cantidad de memoria no usada Cach de pagina: Cantidad destinada a la cach del sistema de cheros Buffer cache: Cantidad destinada a la cach de los procesos Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachs.
Uso del sistema de cheros Esta grca nos muestra el espacio usado y libre del sistema de cheros en cada punto de montaje.
212
Temperatura Con esta grca es posible leer la informacin disponible sobre la temperatura del sistema en grados centgrados usando el sistema ACPI 3 . Para tener activada esta mtrica, es necesario que existan datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone.
3 La especicacin Advanced Conguration and Power Interface (ACPI) es un estndar abierto para la conguracin de dispositivos centrada en sistemas operativos y en la gestin de energa del computador. http://www.acpi.info/
213
7.2.2 Alertas
Las grcas no tendran ninguna utilidad si no se ofreciera noticaciones cuando se producen algunos valores de la monitorizacin. De esta manera, podemos saber cuando la mquina est sufriendo una carga inusual o est llegando a su mxima capacidad. Las alertas de monitorizacin deben congurarse en el mdulo de eventos. Entrando en Eventos Congurar eventos, podemos ver la lista de eventos disponibles, los eventos de monitorizacin estn agrupados en el vento Monitor.
Pulsando en la celda de conguracin, accederemos a la conguracin de este evento. Podremos elegir cualquiera de las mtricas monitorizadas y establecer umbrales que disparen el evento.
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo as discriminar entre la gravedad del evento. Tenemos la opcin de invertir: que har que los valores considerados correctos sean considerados fallos y a la inversa. Otra opcin importante es la de persistente:. Dependiendo de la mtrica tambin podremos elegir otros parmetros relacionados con
214
esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser til la carga a corto plazo, etc. Cada medida tiene una mtrica que se describe como sigue: Carga del sistema: Los valores deben ser en nmero de tareas ejecutables media en la cola de ejecucin. Uso de la CPU: Los valores se deben disponer en jifes o unidades de scheduling. Uso de la memoria fsica: Los valores deben establecerse en bytes. Sistema de cheros: Los valores deben establecerse en bytes. Temperatura: Los valores a establecer debe establecer en grados. Una vez congurado y activado el evento deberemos congurar al menos un observador para recibir las alertas. La conguracin de los observadores es igual que la de cualquier evento, as que deberemos seguir las indicaciones contenida en el captulo de Incidencias (eventos y alertas).
7.3
Incidencias (eventos y alertas)

Aunque la posibilidad de hacer consultas personalizadas a los registros, o la visualizacin de los resmenes son opciones muy tiles. Se complementan mejor todava con las posibilidades de monitorizacin de eventos a travs de la noticacin. Disponemos de los siguientes mecanismos emisores para la noticacin de incidencias: Correo 4 Jabber Registro RSS Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del mdulo y seleccionar la casilla eventos. A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por defecto, para los eventos tendremos que activar explcitamente aquellos que nos interesen.
4
Teniendo instalado y conguracin el mdulo de correo (Servicio de correo electrnico (SMTP/POP3-IMAP4)).
215
Para activar cualquiera de ellos accederemos al men Eventos Congurar eventos. Podemos editar el estado de cada uno mediante el icono del lpiz. Para ello marcaremos la casilla Habilitado y pulsaremos el botn Cambiar.
Figure 7.5: Pantalla de congurar eventos
Adems, algunos eventos como el observador de registros o el observador de espacio restante en disco tienen sus propios parmetros de conguracin. La conguracin para el observador de espacio en disco libre es sencilla. Slo debemos especicar el porcentaje mnimo de espacio libre con el que queremos ser noticados (cuando sea menor de ese valor). En el caso del observador de registros, podemos elegir en primer lugar qu dominios de registro queremos observar. Despus, por cada uno de ellos, podemos aadir reglas de ltrado especcas dependientes del dominio. Por ejemplo: peticiones denegadas en el proxy HTTP, concesiones DHCP a una determinada IP, trabajos de cola de impresin cancelados, etc. La creacin de alertas para monitorizar tambin se puede hacer mediante el botn Guardar como evento a travs de Registros
Consultar registros Informe completo.

Respecto a la seleccin de medios para la noticacin de los eventos, podemos seleccionar los emisores que deseemos en la pestaa Congurar emisores.
216
Figure 7.6: Pantalla de congurar observadores de registros
Figure 7.7: Pantalla de congurar emisores
217
De idntica forma a la activacin de eventos, debemos editarlos y seleccionar la casilla Habilitado. Excepto en el caso del chero de registro (que escribir implcitamente los eventos recibidos al chero /var/log/ebox/ebox.log), el resto de emisores requieren una conguracin adicional que detallamos a continuacin: Correo: Debemos especicar la direccin de correo destino (tpicamente la del administrador de eBox), adems podemos personalizar el asunto de los mensajes. Jabber: Debemos especicar el nombre y puerto del servidor Jabber, el nombre de usuario y contrasea del usuario que nos noticar los eventos, y la cuenta Jabber del administrador que recibir dichas noticaciones. RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el enlace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para nadie, o autorizar slo a una direccin IP u objeto determinado.
7.3.1 Ejemplo prctico

Usar el mdulo eventos para hacer aparecer el mensaje eBox is up and running en el chero
/var/log/ebox/ebox.log. Dicho mensaje se generar cada vez que se reinicie el mdulo

de eventos. 1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo eventos, para ello marcar su casilla en la columna Estado. Efecto: Se ha activado el botn Guardar Cambios. 2. Accin: Acceder al men Eventos y a la pestaa Congurar eventos. Pulsar el icono del lpiz sobre la la Estado. Marcar la casilla Habilitado y pulsar el botn Cambiar. Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado. 3. Accin: Acceder a la pestaa Congurar emisores. Pulsar el icono del lpiz sobre la la Registro. Marcar la casilla Habilitado y pulsar el botn Cambiar. Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro. 4. Accin: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. En el chero de registro /var/log/ebox/ebox.log aparecer un evento con el mensaje eBox is up and running.
218
5. Accin: Desde la consola de la mquina eBox, ejecutar el comando sudo /etc/init.d/ebox events restart. Efecto: En el chero de registro /var/log/ebox/ebox.log volver a aparecer un nuevo evento con el mensaje eBox is up and running.
7.4
Copias de seguridad
7.4.1 Diseo de un sistema de copias de seguridad
La prdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos. Fallos de hardware, fallos de software o un error humano pueden provocar un dao irreparable en el sistema o la prdida de datos importantes. Es por tanto imprescindible disear un correcto procedimiento para realizar, comprobar y restaurar copias de seguridad o respaldo del sistema, tanto de conguracin como de datos. Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lgica adicional para la restauracin de la copia de seguridad. La decisin ms habitual es realizar copias incrementales y de vez en cuando hacer una copia completa a otro medio, pero esto depender de nuestras necesidades y recursos de almacenamiento disponibles. Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma mquina o a otra remota. El uso de una mquina remota ofrece un nivel de seguridad mayor debido a la separacin fsica. Un fallo de hardware, un fallo de software, un error humano o una intrusin en el servidor principal no deberan de afectar la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de copias debera ser exclusivamente dedicado para tal n y no ofrecer otros servicios adicionales ms all de los requeridos para realizar las copias. Tener dos servidores no dedicados realizando copias uno del otro es denitivamente una mala idea, ya que un compromiso en uno lleva a un compromiso del otro.
219
7.4.2 Conguracin de las copias de seguridad con eBox

En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente. En caso de ste ltimo, necesitaremos especicar que protocolo se usa para conectarse al servidor remoto.
Figure 7.8: Conguracin
Mtodo: Los distintos mtodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de cheros. Debemos tener en cuenta que dependiendo del mtodo que seleccione deberemos proporcionar ms o menos informacin: direccin del servidor remoto, usuario o contrasea. Todos los mtodos salvo Sistema de cheros acceden servicios remotos. sto signica que proporcionaremos los credenciales adecuados para conectar con el servidor. Esto es, si se selecciona FTP, Rsync o SCP tendremos que introducir la direccin del servidor remoto. Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la
huella del servidor remoto para aadirlo a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el servidor. Servidor o destino: Para FTP, y SCP tenemos que proporcionar el nombre del servidor
220
remoto o su direccin IP. En caso de usar Sistema de cheros, introduciremos la ruta de un directorio local. Usuario: Nombre de usuario para autenticarse en la mquina remota. Contrasea: Contrasea para autenticarse en la mquina remota. Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simtrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado asimtrico a tus datos. Frecuencia de copia de seguridad completa: Este parmetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario, Semanal y Mensual. Si seleccionas Semanal o Mensual, aparecer una segunda seleccin para poder decidir el da exacto de la semana o del mes en el que se realizar la copia. Nmero de copias totales almacenadas: Este valor se usa para limitar el nmero de copias totales que estn almacenadas. Es importante y debemos familiarizarnos con lo que signica. Tiene relacin directa con Frecuencia de copia de seguridad completa. Si seleccionamos una frecuencia Semanal y el nmero de copias almacenadas a 2, la copia de respaldando ms antigua ser de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo ms antigua ser de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos almacenar de las copias de respaldo y el espacio en disco que tengamos. Frecuencia de copia incremental: Este valor tambin est relacionado con Frecuencia de copia de seguridad completa. Una conguracin tpica de copias de respaldo consiste en realizar copias incrementales entre las copias completas. Estas copias deben hacerse con ms frecuencia que las completas. Esto signica que si tenemos copias completas semanales, las copias incrementales se harn diarias. Por el contrario, no tiene sentido hacer copias incrementales con las misma frecuencia que las completas. Para entender sto mejor veamos un ejemplo: Si la copia incremental est activa podemos seleccionar una frecuencia Diaria o Semanal. En el ltimo caso, se debe decidir el da de la semana. Sin embargo, hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa. En los das en que se realice una copia completa, se saltar cualquier copia incremental programada. Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la ocina ya que puede consumir bastante ancho de banda de subida.
221
Nmero de copias totales almacenadas: Este valor se usa para limitar el nmero de copias totales que estn almacenadas. Puedes elegir limitar por nmero o por antigedad. Si limitas por nmero, solo el nmero indicados de copias ser guardado; la ltima copia completa no se cuenta. En el caso que lmites por antigedad, slo se guardarn las copias completas que sean ms recientes que el perodo indicado. Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella tambin son borradas.
Conguracin de los directorios y cheros que son respaldados La conguracin por defecto efectuar una copia de todo el sistema de cheros. Esto signica que ante un eventual desastre seremos capaces de restaurar la mquina completamente. Es un buena idea no cambiar esta conguracin al menos que tengas problemas de espacio. Una copia completa de una mquina eBox con todos sus mdulos ocupa alrededor de 300 MB.
Figure 7.9: Lista de inclusin y exclusin
El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de echas. Note: Puedes excluir archivos por su extensin usando una exclusin con expresin regular.
Por ejemplo si quieres que los archivos AVI no guren en la copia de respaldo, puedes seleccionar Exclusin por expresin regular y aadir .avi$.
222
La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, y /proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podra fallar. La lista por defecto de directorios incluidos es: /. Podemos excluir extensiones de chero utilizando caracteres de shell. Por ejemplo, si quieres saltarte cheros de vdeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresin regular y aadir *.avi.
Comprobando el estado de las copias Podemos comprobar el estado de las copias de respaldo en la seccin Estado de las copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada. Note: Si por cualquier razn borras manualmente los archivos del backup, puedes forzar a
regenerar este listado con el comando:
# /etc/init.d/ebox ebackup restart
Figure 7.10: Estado de las copias
Cmo comenzar un proceso de copia de respaldo manualmente El proceso de copia de respaldo se inicia automticamente a la hora congurada. Sin embargo, si necesitamos comenzarlo manualmente podemos ejecutar:
# /usr/share/ebox-ebackup/ebox-remote-ebackup --full
O para iniciar una copia incremental:
223
# /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental
Restaurar cheros Hay dos formas de restaurar un chero. Dependiendo del tamao del chero o del directorio que deseemos restaurar. Es posible restaurar cheros directamente desde el panel de control de eBox. En la seccin Copia de seguridad
Restaurar cheros tenemos acceso a la lista de todos los cheros y directorios que
contiene la copia remota, as como las fecha de las distintas versiones que podemos restaurar. Si la ruta a restaurar es un directorio todos sus contenidos se restauraran, incluyendo subdirectorios. El archivo se restaurar con sus contenidos en la fecha seleccionada, si el archivo no esta presente en la copia de respaldo en esa fecha se restaurara la primera versin que se encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se noticara con un mensaje de error. Warning: Los archivos mostrados en la interfaz son aquellos que estn presentes en la ltima copia de seguridad. Los archivos que estn almacenados en copias anteriores pero no en la ltima no se muestran, pero pueden ser restaurados a travs de la lnea de comandos. Podemos usar este mtodo con cheros pequeos. Con cheros grandes, el proceso es costoso en tiempo y no se podr usar el interfaz Web de eBox mientras la operacin est en curso. Debemos ser especialmente cautos con el tipo de chero que restauramos. Normalmente, ser seguro restaurar cheros de datos que no estn siendo abiertos por aplicaciones en ese momento. Estos archivos de datos estn localizados bajo el directorio /home/samba. Sin embargo, restaurar cheros del sistema de directorios como /lib, /var o /usr mientras el sistema est en funcionamiento puede ser muy peligroso. No hagas sto a no ser que sepas muy bien lo que ests haciendo. Los cheros grandes y los directorios y cheros de sistema deben ser restaurados manualmente. Dependiendo del chero, podemos hacerlo mientras el sistema est en funcionamiento. Sin embargo, para directorios de sistema usaremos un CD de rescate como explicamos ms tarde. En cualquier caso, debemos familiarizarnos con la herramienta que usa este mdulo: duplicity. El proceso de restauracin de un chero o directorio es muy simple. Se ejecuta el siguiente comando:
duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL r
224
Figure 7.11: Restaurar un chero
La opcin -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D signica hace tres das. Usando now podemos restaurar la copia ms actual. Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la seccin Restaurar cheros en eBox.
Figure 7.12: URL remota y argumentos
Por ejemplo, si queremos restaurar el chero /home/samba/users/john/balance.odc ejecutaramos el siguiente comando:
225
# duplicity restore --file-to-restore home/samba/users/john/balance.odc \ scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption /tmp/balance.odc

El comando mostrado arriba restaurara el chero en /tmp/balance.odc. Si necesitamos sobreescribir un chero o un directorio durante una operacin de restauracin necesitamos aadir la opcin force, de lo contrario duplicity rechazar sobreescribir los archivos.
7.4.3 Como recuperarse de un desastre

Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y experiencia para llevar a cabo una recuperacin en un momento crtico. Debemos ser capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo. Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate que incluye el software de copia de respaldos duplicity. El nombre de este CD-ROM es grml. Descargaremos la imagen de grml y arrancaremos la mquina con ella. Usaremos el parmetro nofb en caso de problemas con el tamao de la pantalla. Una vez que el proceso de arranque ha nalizado podemos obtener un intrprete de comandos pulsando la tecla enter. Si nuestra red no est congurada correctamente, podemos ejecutar netcardcong para congurarla. El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer que nuestra particin raz es /dev/sda1. As que ejecutamos:
# mount /dev/sda1 /mnt

El comando de arriba montar la particin en el directorio /mnt. En este ejemplo haremos una restauracin completa. Primero eliminaremos todos los directorios existentes en la particin. Por supuesto, si no haces una restauracin completa este paso no es necesario. Para eliminar los cheros existentes y pasar a la restauracin ejecutamos:
# rm -rf /mnt/*
Instalaremos duplicity en caso de no tenerlo disponible:
226
Figure 7.13: Arranque grml
Figure 7.14: Comenzar un intrprete de comandos
227
# apt-get update # apt-get install duplicity

Antes de hacer una restauracin completa necesitamos restaurar /etc/passwd y /etc/group. En caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numricos. As pues, tendremos problemas si restauramos cheros en un sistema en el que el nombre de usuario o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group en el sistema de rescate. Ejecutamos:
# duplicity restore --file-to-restore etc/passwd \ # scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption --force # duplicity restore --file-to-restore etc/group \ # scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption --force
Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para aadir el servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el servidor. Ahora podemos proceder con la restauracin completa ejecutando duplicity manualmente:
# duplicity restore
scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-encryp
Por ltimo debemos crear los directorios excluidos de la copia de respaldo as como limpiar los directorios temporales:
# # # # #
mkdir -p /mnt/dev mkdir -p /mnt/sys mkdir -p /mnt/proc rm -fr /mnt/var/run/* rm -fr /mnt/var/lock/*
El proceso de restauracin ha nalizado y podemos reiniciar el sistema original.
228
7.4.4 Copias de seguridad de la conguracin

eBox Platform dispone adicionalmente de otro mtodo para realizar copias de seguridad de la conguracin y restaurarlas desde la propia interfaz. Este mtodo guarda la conguracin de todos los mdulos que hayan sido habilitados por primera vez en algn momento, los usuarios del LDAP y cualquier otro chero adicional para el funcionamiento de cada mdulo. Tambin permite realizar copia de seguridad de los datos que almacena cada mdulo (directorios de usuarios, buzones de voz, etc.). Sin embargo, desde la versin 1.2 se desaconseja esta opcin en favor del mtodo comentado anteriormente a lo largo de este captulo, ya que no est preparado el sistema para manejar grandes cantidades de datos. Para acceder a las opciones de estas copias de seguridad lo haremos, como de costumbre, a travs del men principal Sistema
Backup. No se permite realizar copias de seguridad si existen
cambios en la conguracin sin guardar, como puede verse en el aviso que aparece en la imagen.
Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (conguracin o completo) y pulsando el botn Backup, aparecer una pantalla donde se mostrar el progreso de los distintos mdulos hasta que nalice con el mensaje de Backup nalizado con xito. Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la pgina aparece una Lista de backups. A travs de esta lista podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. As mismo aparecen como datos informativos el tipo de copia, la fecha de realizacin de la misma y el tamao que ocupa. En la seccin Restaurar backup desde un archivo podemos enviar un chero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalacin anterior
229
de eBox Platform en otra mquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedir conrmacin, hay que tener cuidado porque la conguracin actual ser reemplazada por completo. El proceso de restauracin es similar al de copia, despus de mostrar el progreso se nos noticar el xito de la operacin si no se ha producido ningn error.
Herramientas de linea de comandos para copias de seguridad de la conguracin Existen dos herramientas disponibles a travs de la lnea de comandos que tambin nos permiten guardar y restaurar la conguracin . Residen en /usr/share/ebox, se denominan ebox-make-backup y ebox-restore-backup. ebox-make-backup nos permite realizar copias de seguridad de la conguracin, entre sus opciones estn elegir qu tipo de copia de seguridad queremos realizar. Entre estos est el bug-report que ayuda a los desarrolladores a arreglar un fallo al enviarlo, incluyendo informacin extra. Cabe destacar que en este modo, las contraseas de los usuarios son reemplazadas para mayor condencialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web. Podemos ver todas las opciones del programa con el parmetro help. ebox-restore-backup nos permite restaurar cheros de copia de seguridad de la conguracin. Posee tambin una opcin para extraer la informacin del chero. Otra opcin a sealar es la posibilidad de hacer restauraciones parciales, solamente de algunos mdulos en concreto. Es el caso tpico cuando queremos restaurar una parte de una copia de una versin antigua. Tambin es til cuando el proceso de restauracin ha fallado por algn motivo. Tendremos que tener especial cuidado con las dependencias entre los mdulos. Por ejemplo, si restauramos una copia del mdulo de cortafuegos que depende de una conguracin del mdulo objetos y servicios debemos restaurar tambin estos primero. An as, existe una opcin para ignorar las dependencias que puede ser til usada con precaucin. Si queremos ver todas las opciones de este programa podemos usar tambin el parmetro help.
7.5
Actualizacin de software
Como todo sistema de software, eBox Platform requiere actualizaciones peridicas, bien sea para aadir nuevas caractersticas o para reparar defectos o fallos del sistema.
230
eBox distribuye su software mediante paquetes y usa la herramienta estndar de Ubuntu, APT 5 , sin embargo para facilitar la tarea ofrece una interfaz web que simplica el proceso.
6
Mediante la interfaz web podremos ver para qu componentes de eBox est disponible una nueva versin e instalarlos de un forma sencilla. Tambin podemos actualizar el software en el que se apoya eBox, principalmente para corregir posibles fallos de seguridad.
7.5.1 Gestin de componentes de eBox

La gestin de componentes de eBox permite instalar, actualizar y eliminar mdulos de eBox. El propio gestor de componentes es un mdulo ms, y como cada mdulo de eBox, debe ser habilitado antes de ser usado. Para gestionar los componentes de eBox debemos entrar en Gestin de Software Componentes de eBox.
Presenta una lista con todos los componentes de eBox, as como la versin instalada y la ultima versin disponible. Aquellos componentes que no estn instalados o actualizados, pueden instalarse o actualizarse pulsando en el icono correspondiente en la columna de Acciones. Existe un botn de Actualizar todos los paquetes para actualizar todos aquellos que tengan actualizacin disponible. Tambin podemos desinstalar componentes pulsando el icono apropiado para esta accin. Antes de realizar la desinstalacin, se muestra un dilogo con la lista de aquellos paquetes de software que
5 Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto Debian que simplica en gran medida la instalacin y eliminacin de programas en el sistema operativo GNU/Linux
http://wiki.debian.org/Apt 6 Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el captulo al respecto de la documentacin ocial https://help.ubuntu.com/8.04/serverguide/C/package-management.html
231
se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que al ser usados por otros conlleva tambin la eliminacin de los ltimos. Algunos componentes son bsicos y no pueden desinstalarse, ya que hara que se desinstalase eBox Platform.
7.5.2 Actualizaciones del sistema

Las actualizaciones del sistema actualizan programas usados por eBox. Para llevar a cabo su funcin, eBox Platform usa diferentes programas del sistema para llevar a cabo sus funciones, en los distintos paquetes de los componentes de eBox. Dichos programas son referenciados como dependencias asegurando que al instalar eBox, son instalados tambin ellos asegurando el correcto funcionamiento de eBox Platform. De manera anloga, estos programas pueden tener dependencias tambin. Normalmente una actualizacin de una dependencia no es sucientemente importante como para crear un nuevo paquete de eBox con nuevas dependencias, pero s puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad. Para ver las actualizaciones del sistema debemos ir a Gestin de Sofware
Actualizaciones
del sistema. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema est ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web, los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de bsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha bsqueda se puede hacer ejecutando:
$ sudo ebox-software
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo de ms informacin. Si es una actualizacin de seguridad podemos ver el fallo de seguridad con el registro de cambios del paquete, pulsando sobre el icono. Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la accin y pulsar el botn correspondiente. Como atajo tambin tenemos un botn de Actualizar todos los paquetes. Durante la actualizacin se irn mostrando mensajes sobre el progreso de la operacin.
232
233
7.5.3 Actualizaciones automticas

Las actualizaciones automticas consisten en que eBox Platform automticamente instala cualquier actualizacin disponible. Dicha actualizacin se realiza cada noche a la medianoche. Podremos activar esta caracterstica accediendo a la pagina Gestin de Software ciones automticas.
Actualiza-
No es aconsejable usar esta opcin si el administrador quiere tener una mayor seguridad en la gestin de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles errores en las mismas no pasen desapercibidos.
7.6
Cliente del Centro de Control

eBox Control Center es una solucin tolerante a fallos que permite la monitorizacin en tiempo real y la administracin de mltiples instalaciones de eBox de un modo centralizado. Incluye caractersticas como administracin segura, centralizada y remota de grupos de eBox, copias de seguridad de conguracin automticas remotas, monitorizacin de red e informes personalizados.
7
A continuacin se describe la conguracin del lado del cliente con el Centro de Control.
7.6.1 Subscribir eBox al Centro de Control

Para congurar eBox para suscribirse al Centro de Control, debes instalar el paquete eboxremoteservices que se instala por defecto si usas el instalador de eBox. Adems, la conexin a Internet debe estar disponible. Una vez est todo preparado, ve a Centro de Control y rellena los siguientes campos: Nombre de Usuario o Direccin de Correo: Se debe establecer el nombre de usuario o la direccin de correo que se usa para entrar en la pgina Web del Centro de Control. Contrasea: Es la misma contrasea que se usa para entrar en la Web del Centro de Control.
7
http://www.ebox-technologies.com/products/controlcenter/
234
Nombre de eBox: Es el nombre nico que se usar para esta eBox desde el Centro de Control. Este nombre se muestra en el panel de control y debe ser un nombre de dominio vlido. Cada eBox debera tener un nombre diferente, si dos eBoxes tiene el mismo nombre para conectarse al Centro de Control, entonces slo una de ellas se podr conectar.
Figure 7.16: Subscribiendo eBox al Centro de Control Tras introducir los datos, la subscripcin tardar alrededor de un minuto. Nos tenemos que asegurar que tras terminar el proceso de subscripcin se guardan los cambios. Durante el proceso se habilita una conexin VPN entre eBox y el Centro de Control, por tanto, se habilitar el mdulo vpn.
8
Figure 7.17: Tras suscribirse eBox al Centro de Control
Si la conexin funcion correctamente con el Centro de Control, entonces un widget aparecer en el dashboard indicando que la conexin se estableci correctamente.
Figure 7.18: Widget de conexin al Centro de Control
Para ms informacin sobre VPN, ir a la seccin Redes privadas virtuales (VPN).
235
7.6.2 Copia de seguridad de la conguracin al Centro de Control

Una de las caractersticas usando el Centro de Control es la copia de seguridad automtica de la conguracin de eBox
9
que se almacena en el Centro de Control. Esta copia se hace diariamente
si hay algn cambio en la conguracin de eBox. Ir a Sistema > Backup
Backup remoto para
comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la conguracin de manera manual si quieres estar seguro que tu ltima conguracin est almacenada en el Centro de Control.
Figure 7.19: Copia de seguridad de la conguracin remota
Se pueden restaurar, descargar o borrar copias de seguridad de la conguracin que se almacenan en el Centro de Control. Adems para mejorar el proceso de restauracin ante un desastre, se puede restaurar o descargar la conguracin almacenada de uno del resto de eBox suscritos al Centro de Control usando tu par usuario/correo electrnico y contrasea. Para hacer eso, ir a la pestaa Sistema Backup Backup remoto de otras mquinas suscritas.
Las copias de seguridad de la conguracin en eBox se explican en la seccin Copias de seguridad de la congu-
racin.
236
Figure 7.20: Copia de seguridad de la conguracin remota desde otra mquina suscrita
237

Ebox For Network Administrators

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ebox For Network Administrators

Uploaded by

Copyright:

Available Formats

eBox 1.

4 para Administradores de Redes

eBox 1.4 para Administradores de Redes

Servicio de sincronizacin de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .

Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2

RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 3.5.2

Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.1 3.6.2 3.6.3 3.6.4

5 eBox Unied Communications 5.1 Servicio de correo electrnico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . .

Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicio de mensajera instantnea (Jabber/XMPP) . . . . . . . . . . . . . . . . .

Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Conguracin Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . .

Interconexin segura entre redes locales . . . . . . . . . . . . . . . . . . . . . .

Sistema de Deteccin de Intrusos (IDS)

6.4.1 6.4.2 7 eBox Core 7.1 7.2

Conguracin de un IDS con eBox . . . . . . . . . . . . . . . . . . . . . Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

199 201 203

Registros 7.1.1 7.2.1 7.2.2

Actualizacin de software 7.5.1 7.5.2 7.5.3

Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.6.1 7.6.2

Chapter 1 eBox Platform: servidor Linux para PYMEs

eBox 1.4 para Administradores de Redes

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

eBox 1.4 para Administradores de Redes

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Para ms informacin sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/.

eBox 1.4 para Administradores de Redes

1.2.1 El instalador de eBox Platform

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.2: Pantalla de inicio del instalador

Figure 1.3: Usuario administrador

eBox 1.4 para Administradores de Redes

Figure 1.4: Contrasea administrativa

Figure 1.5: Conrmar contrasea administrativa

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.6: Mtodo de instalacin de paquetes

Figure 1.7: Perles de eBox a instalar

eBox 1.4 para Administradores de Redes

Figure 1.8: Paquetes de eBox a instalar

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.9: Instalando eBox Platform

Figure 1.10: Tipo de servidor

eBox 1.4 para Administradores de Redes

Figure 1.11: Seleccin de la interfaz de red externa

La interfaz web de administracin

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.12: Conguracin del servidor de correo

Figure 1.13: Preconguracin de los paquetes

eBox 1.4 para Administradores de Redes

Figure 1.14: Interfaz web de administracin de eBox

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.15: Pantalla principal

Figure 1.16: Men lateral izquierdo

eBox 1.4 para Administradores de Redes

Figure 1.18: Formulario de conguracin

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

Figure 1.19: Dashboard

Figure 1.20: Conguracin del dashboard

eBox 1.4 para Administradores de Redes

Figure 1.21: Widget de estado de los mdulos

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

1.3.2 Aplicando los cambios en la conguracin

Figure 1.22: Guardar Cambios

eBox 1.4 para Administradores de Redes