eBox for Network Administrators ES

5/10/2018 eBox for Network Administrators ES - slidepdf.com

http://slidepdf.com/reader/full/ebox-for-network-administrators-es 1/242

eBox 1.4 para Administradores de Redes

REVISIÓN1.4

EBOX PLATFORM - FORMACIÓN

http://www.ebox-technologies.com/

GUÍA DEL ESTUDIANTE




Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo

la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/es/ )

En este documento se han empleado imágenes de “Tango Desktop Project” distribuídas bajo

Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.

http://tango.freedesktop.org/



Contents

1 eBox Platform: servidor Linux para PYMEs 1

1.1 Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2.1 El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . . 6

1.3 La interfaz web de administración . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.3.1 Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.3.2 Aplicando los cambios en la configuración . . . . . . . . . . . . . . . . . 19

1.3.3 Configuración del estado de los módulos . . . . . . . . . . . . . . . . . . 20

1.4 ¿Cómo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . . 21

1.5 Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.5.1 Configuración de la red local . . . . . . . . . . . . . . . . . . . . . . . . 22

1.5.2 Configuración de red con eBox Platform . . . . . . . . . . . . . . . . . . 231.5.3 Diagnóstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2 eBox Infrastructure 33

2.1 Servicio de configuración de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . 33

2.1.1 Configuración de un servidor DHCP con eBox . . . . . . . . . . . . . . . . 34

2.2 Servicio de resolución de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . . 40

2.2.1 Configuración de un servidor caché DNS con eBox . . . . . . . . . . . . . 40

2.2.2 Configuración de un servidor DNS con eBox . . . . . . . . . . . . . . . . 41

2.3 Servicio de publicación de información web (HTTP) . . . . . . . . . . . . . . . . . 46

2.3.1 Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . 46

2.3.2 El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . . 492.3.3 Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

2.3.4 Configuración de un servidor HTTP con eBox . . . . . . . . . . . . . . . . 50

2.4 Servicio de sincronización de hora (NTP) . . . . . . . . . . . . . . . . . . . . . . 52

2.4.1 Configuración de un servidor NTP con eBox . . . . . . . . . . . . . . . . 52

3 eBox Gateway 55

i



3.1 Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . . 553.1.1 Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

3.1.2 Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

3.2 Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

3.2.1 El cortafuegos en GNU/Linux: Netfilter . . . . . . . . . . . . . . . . . . . 60

3.2.2 Modelo de seguridad de eBox . . . . . . . . . . . . . . . . . . . . . . . 61

3.3 Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

3.3.1 Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . 66

3.3.2 Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . . 71

3.3.3 Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . . 73

3.4 Moldeado de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

3.4.1 Calidad de servicio (QoS) . . . . . . . . . . . . . . . . . . . . . . . . . 753.4.2 Configuración de la calidad de servicio en eBox . . . . . . . . . . . . . . . 76

3.5 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

3.5.1 Configuración del servidor RADIUS con eBox . . . . . . . . . . . . . . . . 79

3.5.2 Configuración del Punto de Acceso . . . . . . . . . . . . . . . . . . . . . 80

3.6 Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

3.6.1 Configuración de política de acceso . . . . . . . . . . . . . . . . . . . . . 82

3.6.2 Conexión al proxy y modo transparente . . . . . . . . . . . . . . . . . . . 84

3.6.3 Control de parámetros de la caché . . . . . . . . . . . . . . . . . . . . . 85

3.6.4 Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . . 85

4 eBox Office 91

4.1 Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

4.1.1 Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

4.2 Servicio de compartición de ficheros y de autenticación . . . . . . . . . . . . . . . 100

4.2.1 Compartición de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . 100

4.2.2 SMB/CIFS y su implementación Linux Samba . . . . . . . . . . . . . . . . 100

4.2.3 Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . . 101

4.2.4 eBox como servidor de ficheros . . . . . . . . . . . . . . . . . . . . . . . 101

4.2.5 Configuración de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . . 104

4.2.6 eBox como un servidor de autenticación . . . . . . . . . . . . . . . . . . 107

4.2.7 Configuración de clientes PDC . . . . . . . . . . . . . . . . . . . . . . . 1094.3 Servicio de compartición de impresoras . . . . . . . . . . . . . . . . . . . . . . . 110

4.4 Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

4.4.1 Configuración de servicio de groupware con eBox . . . . . . . . . . . . . . 115

5 eBox Unified Communications 121

5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . . 121

ii



5.1.1 Cómo funciona el correo electrónico en Internet . . . . . . . . . . . . . . . 1225.1.2 Configuración de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . . 124

5.1.3 Recibiendo y retransmitiendo correo . . . . . . . . . . . . . . . . . . . . 124

5.1.4 Parámetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

5.1.5 Parámetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

5.1.6 Parámetros IMAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

5.1.7 Parámetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . . 133

5.2 Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

5.2.1 Configurando el correo web en eBox . . . . . . . . . . . . . . . . . . . . 136

5.3 Servicio de mensajería instantánea (Jabber/XMPP) . . . . . . . . . . . . . . . . . 137

5.3.1 Configuración de un servidor Jabber/XMPP con eBox . . . . . . . . . . . . 138

5.3.2 Configuración de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . 1395.3.3 Configurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . 145

5.3.4 Ejemplo práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

5.4 Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

5.4.1 Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

5.4.2 Códecs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

5.4.3 Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

5.4.4 Configuración de un servidor Asterisk con eBox . . . . . . . . . . . . . . . 155

5.4.5 Configurando un softphone para conectar a eBox . . . . . . . . . . . . . . 159

5.4.6 Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . . 162

6 eBox Unified Threat Manager 165

6.1 Filtrado de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

6.1.1 Esquema del filtrado de correo de eBox . . . . . . . . . . . . . . . . . . . 166

6.1.2 Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . 175

6.1.3 Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . . 176

6.2 Configuración Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . . 178

6.2.1 Configuración de perfiles de filtrado . . . . . . . . . . . . . . . . . . . . . 178

6.2.2 Perfil de filtrado por objeto . . . . . . . . . . . . . . . . . . . . . . . . . 178

6.2.3 Filtrado basado en grupos de usuarios . . . . . . . . . . . . . . . . . . . 179

6.2.4 Filtrado basado en grupos de usuarios para objetos . . . . . . . . . . . . . 180

6.3 Interconexión segura entre redes locales . . . . . . . . . . . . . . . . . . . . . . 1826.3.1 Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . 182

6.3.2 Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) 183

6.3.3 Configuración de una Autoridad de Certificación con eBox . . . . . . . . . . 184

6.3.4 Configuración de una VPN con eBox . . . . . . . . . . . . . . . . . . . . 189

6.4 Sistema de Detección de Intrusos (IDS) . . . . . . . . . . . . . . . . . . . . . . 199

iii



6.4.1 Configuración de un IDS con eBox . . . . . . . . . . . . . . . . . . . . . 1996.4.2 Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

7 eBox Core 203

7.1 Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

7.1.1 Configuración de registros . . . . . . . . . . . . . . . . . . . . . . . . . 205

7.2 Monitorización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

7.2.1 Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

7.2.2 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

7.3 Incidencias (eventos y alertas) . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

7.3.1 Ejemplo práctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

7.4 Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2197.4.1 Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . 219

7.4.2 Configuración de las copias de seguridad con eBox . . . . . . . . . . . . . 220

7.4.3 Como recuperarse de un desastre . . . . . . . . . . . . . . . . . . . . . 225

7.4.4 Copias de seguridad de la configuración . . . . . . . . . . . . . . . . . . 228

7.5 Actualización de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

7.5.1 Gestión de componentes de eBox . . . . . . . . . . . . . . . . . . . . . 230

7.5.2 Actualizaciones del sistema . . . . . . . . . . . . . . . . . . . . . . . . 231

7.5.3 Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . 232

7.6 Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234

7.6.1 Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . . 234

7.6.2 Copia de seguridad de la configuración al Centro de Control . . . . . . . . . 235

iv



Chapter 1

eBox Platform: servidor Linux para PYMEs

1.1 Presentación

Aunque las PYMEs constituyen la inmensa mayoría del tejido empresarial mundial, sorprendente-

mente suelen carecer de soluciones tecnológicas que se ajusten a sus necesidades o recursos (hu-

manos, monetarios o técnicos) disponibles. En el mercado de los servidores, esto ha significado que

hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en

soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin quetampoco tuvieran alternativas de gestión de redes que integrasen todos los componentes necesarios

y que fueran sencillas de administrar.

Aparentemente es una buena oportunidad para que el software libre entre en el mercado con

una solución potente, escalable, flexible y de bajo coste que pueda ser soportada por una multitud

de proveedores externos potenciales. De hecho, Linux parece ser una opción perfecta como servidor

para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones

pequeñas. Sin emabrgo, el uso de Linux como servidor de PYME es ínfimo, siendo Microsoft el

principal actor del mercado con Windows Small Business Server. ¿Por qué?

Linux, combinado con otras herramientas de software libre para la gestión de redes (Samba,

Postfix, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enormeen el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho,

son gratis). Además, de igual manera que otras tecnologías disruptivas, empezaron ofreciendo un

nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y

las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores

1




del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzadoesta tecnología).

Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia

muy reducida como servidores de PYMEs. La razón es sencilla: para que una solución de servidor

sea adoptada en una PYME necesita que todos sus componentes estén estrechamente integrados y

que sea fácil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar

soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de

Microsoft cubren bien las necesidades tecnológicas de las PYMEs.

Es aquí donde una solución como eBox Platform (<http://ebox-platform.com/ >) encuentra su en-

caje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software

libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionalesTIC y a proveedores de servicios gestionados administrar todos los servicios de una red informática,

tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compar-

tidos o las comunicaciones, a través de una única plataforma. Todas estas funcionalidades están

estrechamente integradas, automatizando la mayoría de las tareas y ahorrando tiempo en la admin-

istración de sistemas. Estas características pueden desplegarse en distintas máquinas o en un único

servidor, eligiendo para cada caso la combinación funcional y de hardware más conveniente.

Todas estas características son de gran importancia para los departamentos TIC de PYMEs y

proveedores de servicio técnico, ya que tienen que hacerse cargo de un cada vez mayor tráfico de

redes y crecientes demandas de fiabilidad, seguridad y servicios adicionales con recursos mínimos.

En este panorama, eBox Platform aumenta significativamente la capacidad de estos recursos, permi-tiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de

los profesionales experimentados, eliminar riesgos de cometer errores de configuración y aumentar la

seguridad de los sistemas automatizando la mayoría de las tareas.

Además, eBox Platform es un software de código abierto, el cual se puede descargar libremente

de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando

las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igual-

mente, eBox Platform es parte integral de la distribución Ubuntu desde hace tres años, lo que ayuda

a aumentar su difusión y credibilidad como producto tecnológico. Su uso está extendido a prácti-

camente todos los países del globo, siendo Estados Unidos, Alemania, España, Italia y Brasil los

países que cuentan con más instalaciones. eBox Platform se usa principalmente en PYMEs, perotambién en otros entornos como centros educativos, administraciones públicas, hospitales o incluso

en instituciones de alto prestigio como la propia NASA.

Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, lla-

mado eBox Control Center, un producto alojado en la nube que permite la administración y moni-

torización centralizada, segura y a tiempo real de múltiples redes eBox. Además, posibilita la progra-

2

http://ebox-platform.com/

http://ebox-platform.com/



CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES

mación de tareas para grupos de redes, la aplicación masiva de actualizaciones de seguridad o la

realización de informes de actividad periódicos. Adicionalmente, a través de eBox Control Center se

ofrecen una serie de servicios de subscripción complementarios, como pueden ser backup remoto y

seguro de datos para la recuperación rápida de desastres o la contratación de crédito VoIP para la

realización de llamadas a bajo coste a cualquier teléfono del mundo a través de eBox como centralita

telefónica.

eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una

solución muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs)

y revendedores de valor añadido (VARs) puesto que pueden obtener toda la tecnología y servicios

necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un único proveedor,llegando a un nivel de integración que alcanza todos los aspectos que influyen en la gestión de redes.

eBox Technologies es la empresa detrás del desarrollo y comercialización de eBox Platform y sus

productos y servicios asociados, basando su modelo de negocio en la subscripción a eBox Control

Center y a los servicios remotos asociados, además de soporte técnico y formación certificada, tanto

de forma directa como a través de su red Global de Partners.

Este manual describe las principales características técnicas incluidas en la versión 1.4 de eBox

Platform, incluyendo los siguientes servicios:

• Gestión de redes:

– Cortafuegos y encaminador

* Filtrado de tráfico

* NAT y redirección de puertos

* Redes locales virtuales (VLAN 802.1Q)

* Soporte para múltiples puertas de enlace, balanceo de carga y auto-adaptación

ante la pérdida de conectividad.

* Moldeado de tráfico (soportando filtrado a nivel de aplicación)

*RADIUS

* Monitorización de tráfico

* Soporte de DNS dinámico

– Objetos y servicios de red de alto nivel

– Infraestructura de red

* Servidor DHCP

3




* Servidor DNS

* Servidor NTP

– Redes privadas virtuales (VPN)

* Auto-configuración dinámica de rutas

– Proxy HTTP

* Caché

* Autenticación de usuarios

* Filtrado de contenido (con listas categorizadas)

* Antivirus transparente

– Servidor de correo

* Filtro de Spam y Antivirus

* Filtro transparente de POP3

* Listas blancas, negras y grises

* Servicio de correo web

– Servidor web

* Dominios virtuales

– Sistema de Detección de Intrusos (IDS)

– Autoridad de Certificación

• Trabajo en grupo:

– Directorio compartido usando LDAP (Windows/Linux/Mac)

* Autenticación compartida (incluyendo PDC de Windows)

– Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red)

– Impresoras compartidas

– Servidor de Groupware : calendarios, agendas, ...

– Servidor de VozIP

* Buzón de voz

4




* Conferencias

* Llamadas a través de proveedor externo

– Servidor de mensajería instantánea (Jabber/XMPP)

* Conferencias

– Rincón del usuario para que estos puedan modificar sus datos

• Informes y monitorización

– Dashboard para tener la información de los servicios centralizada

– Monitorización de disco, memoria, carga, temperatura y CPU de la máquina

– Estado del RAID por software e información del uso de disco duro

– Registros de los servicios de red en BBDD, permitiendo la realización de informes diarios,

semanales, mensuales y anuales

– Sistema de monitorización a través de eventos

* Notificación vía Jabber, correo y subscripción de noticias (RSS)

• Gestión de la máquina:

– Copia de seguridad de configuración y datos – Actualizaciones

– Centro de control para administrar y monitorizar fácilmente varias máquinas eBox desde

un único punto 1

1.2 Instalación

eBox Platform está pensada para su instalación en una máquina (real o virtual) de forma, en principio,

exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a través de la interfaz

que deberán ser configurados manualmente.

Funciona sobre el sistema operativo GNU/Linux con la distribución Ubuntu Server Edition 2 ver-

sión estable Long Term Support (LTS) 3. La instalación puede realizarse de dos maneras diferentes:

1 Para más información sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/ .2 Ubuntu es una distribución de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores

portátiles, sobremesa y servidores <http://www.ubuntu.com/ >.3 Cuyo soporte es mayor que en una versión normal y para la versión para servidores llega a los 5 años.

5

http://www.ebox-technologies.com/products/controlcenter/


http://www.ubuntu.com/

http://www.ubuntu.com/





• Usando el instalador de eBox Platform (opción recomendada).

• Instalando a partir de una instalación de Ubuntu Server Edition .

En el segundo caso es necesario añadir los repositorios oficiales de eBox Platform y proceder a

instalar eBox con aquellos paquetes que se deseen.

Sin embargo, en el primer caso se facilita la instalación y despliegue de eBox Platform ya que se

encuentran todas las dependencias en un sólo CD y además se realizan algunas preconfiguraciones

durante el proceso de instalación.

1.2.1 El instalador de eBox Platform

El instalador de eBox Platform está basado en el instalador de Ubuntu así que el proceso de insta-

lación resultará muy familiar a quien ya lo conozca.

Figure 1.1: Selección del idioma

Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro

y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. También

podemos seleccionar la opción expert mode que permite realizar un particionado personalizado. La

mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén instalando en un

servidor con requisitos especiales, como por ejemplo RAID por software.

Tras instalar el sistema base y reiniciar, comenzará la instalación de eBox Platform. El primer

paso será crear un usuario en el sistema. Este usuario podrá entrar en el sistema y tendrá privilegios

de administrador mediante el comando sudo .

6




Figure 1.2: Pantalla de inicio del instalador

Figure 1.3: Usuario administrador

7




Después preguntará la contraseña para este usuario recién creado. Esta contraseña además se

usará para identificarse en la interfaz de eBox.

Figure 1.4: Contraseña administrativa

Se preguntará de nuevo la contraseña para confirmar que no ha habido ninguna equivación al

teclearla.

Figure 1.5: Confirmar contraseña administrativa

Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existendos métodos para esta selección:

Simple: Se instalarán un conjunto de paquetes que agrupan una serie de funcionalidades según la

tarea que vaya a desempeñar el servidor.

Avanzado: Se seleccionarán los paquetes de manera individualizada. Si algún paquete tiene como

dependencia otro, posteriormente se seleccionará automáticamente.

8




Figure 1.6: Método de instalación de paquetes

Si la selección es simple, aparecerá la lista de perfiles disponibles. Como se puede observar en la

figura Perfiles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual.

Figure 1.7: Perfiles de eBox a instalar

eBox Gateway : eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y

controlado.

eBox Unified Threat Manager : eBox protege la red local contra ataques externos, intrusiones, ame-nazas en la seguridad interna y posibilita la interconexión segura entre redes locales a través

de Internet u otra red externa.

eBox Infrastructure : eBox gestiona la infraestructura de la red local con los servicios básicos: DHCP,

DNS, NTP, servidor HTTP, etc.

eBox Office : eBox es el servidor de recursos compartidos de la red local: ficheros, impresoras, cal-

endarios, contactos, autenticación, perfiles de usuarios y grupos, etc.

9




eBox Unified Communications : eBox se convierte en el centro de comunicaciones de la empresa

incluyendo correo, mensajería instantánea y voz sobre IP.

Podemos seleccionar varios perfiles para hacer que eBox tenga, de forma simultánea, diferentes

roles en la red.

Sin embargo, si el método seleccionado es avanzado, entonces aparecerá la larga lista de módu-

los de eBox Platform y se podrán seleccionar individualmente aquellos que se necesiten.

Figure 1.8: Paquetes de eBox a instalar

Al terminar la selección, se instalarán también los paquetes adicionales necesarios. Además esta

selección no es definitiva, pudiendo posteriormente instalar y desinstalar paquetes según se necesite.

Una vez seleccionados los componentes a instalar, comenzará la instalación que irá informando

de su estado con una barra de progreso.

El instalador tratará de preconfigurar algunos parámetros importantes dentro de la configuración.

Primero tendremos que seleccionar el tipo de servidor para el modo de operación de Usuarios y Gru-

pos . Si sólo vamos a tener un servidor elegiremos Un sólo servidor. Si por el contrario estamos

desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Mi-

crosoft Windows Active Directory, elegiremos Avanzado. Este paso aparecerá solamente si el módulo

usuarios y grupos está instalado.

También preguntará, si alguna de las interfaces de red es externa a la red local, es decir, si va a

ser utilizada para conectarse a Internet u otras redes externas. Se aplicarán políticas estrictas para

10




Figure 1.9: Instalando eBox Platform

Figure 1.10: Tipo de servidor

11




todo el tráfico entrante a través de interfaces de red externas. Este paso aparecerá solamente si el

módulo de red está instalado y el servidor tiene más de una interfaz de red.

Figure 1.11: Selección de la interfaz de red externa

Después, seguiremos con la configuración del correo, definiendo el principal dominio virtual. Este

paso solo presentará si hemos instalado el módulo de correo.Una vez hayan sido respondidas estas preguntas, se realizará la preconfiguración de cada uno

de los módulos instalados preparados para su utilización desde la interfaz web.

Una vez terminado el proceso de instalación de eBox Platform, obtendremos un interfaz gráfico

con un navegador para autenticarnos en la interfaz web de administración de eBox utilizando la con-

traseña introducida en los primeros pasos del instalador.

1.3 La interfaz web de administración

Una vez instalado eBox Platform, la dirección para acceder a la interfaz web de administración, desde

cualquier máquina de la red interna, es:

https://direccion_de_red/ebox/

Donde direccion_de_red es la dirección IP o el nombre de la máquina donde está instalado eBox

que resuelve a esa dirección.

12






Figure 1.12: Configuración del servidor de correo

Figure 1.13: Preconfiguración de los paquetes

13




Figure 1.14: Interfaz web de administración de eBox

Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores

como Microsoft Internet Explorer pueden dar problemas.

La primera pantalla solicita la contraseña del administrador:

Tras autenticarse aparece la interfaz de administración que se encuentra dividida en tres partes

fundamentales:

Menú lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar me-

diante eBox Platform, separados por categorías. Cuando se ha seleccionado algún servicioen este menú puede aparecer un submenú para configurar cuestiones particulares de dicho

servicio.

Menú superior: Contiene las acciones para guardar los cambios realizados en el contenido y hac-

erlos efectivos, así como para el cierre de sesión.

14




Figure 1.15: Pantalla principal

Figure 1.16: Menú lateral izquierdo

15




Figure 1.17: Menú superior

Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios

o tablas con información acerca de la configuración del servicio seleccionado a través del

menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una

barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la

sección a la que hemos accedido.

Figure 1.18: Formulario de configuración

1.3.1 Dashboard

El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo

momento se pueden reorganizar pulsando en los títulos y arrastrándolos.

Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets .Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central.

Estado de los módulos

Hay un widget muy importante dentro del dashboard que muestra el estado de todos los módulos

instalados en eBox.

16




Figure 1.19: Dashboard

Figure 1.20: Configuración del dashboard

17




Figure 1.21: Widget de estado de los módulos

18




La imagen muestra el estado para un servicio y una acción que se puede ejecutar sobre él. Los

estados disponibles son los siguientes:

Ejecutándose: Los demonios del servicio se están ejecutando para aceptar conexiones de los

clientes. Se puede reiniciar el servicio usando Reiniciar.

Ejecutándose sin ser gestionado: Si no has configurado el servicio todavía, es posible encontrarlo

ejecutando con la configuración por defecto de la distribución. Por tanto, no es gestionado por

eBox hasta el momento.

Parado: Ha ocurrido algún problema ya que el servicio debería estar ejecutándose pero está parado

por alguna razón. Para descubrirla, se deberían comprobar los ficheros de registro para elservicio o el fichero de registro de eBox mismo como describe la sección ¿Cómo funciona

eBox Platform? . Se puede intentar iniciar el servicio pinchando en Arrancar.

Deshabilitado: El servicio ha sido deshabilitado explícitamente por el administrador como se explica

en Configuración del estado de los módulos .

1.3.2 Aplicando los cambios en la configuración

Una particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las

configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios enel formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente

se tendrá que presionar Guardar Cambios del menú superior. Este botón cambiará a color rojo

para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perderán todos

los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Existen algunos casos

especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.

Figure 1.22: Guardar Cambios

Además de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas

o no estás seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en

cuenta que si modificas la configuración de las interfaces de red o el puerto de administración, puedes

perder la conexión con eBox. Para recuperarla quizás debas reescribir la URL en el navegador.

19




1.3.3 Configuración del estado de los módulos

Como se ha discutido previamente, eBox se construye modularmente. El objetivo de la mayoría de

módulos es gestionar servicios de red que debes habilitar a través de Estado del módulo .

Figure 1.23: Configuración del estado de los módulos

Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio

DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de

las interfaces de red configuradas. Por tanto, las dependencias se muestran en la columna Depende.

Habilitar un módulo por primera vez es conocido dentro de la jerga eBox como configurar un

módulo. Dicha configuración se realiza una vez por módulo. Seleccionando la columna Estado,habilitas o deshabilitas el módulo. Si es la primera vez, se presenta un diálogo para completar una

serie de acciones y modificaciones a ficheros que implica la activación del módulo 4. Tras ello, puedes

guardar los cambios para llevar a acabo las modificaciones.

4 Este proceso es obligatorio para cumplir la política de Debian/Ubuntu http://www.debian.org/doc/debian-policy/

20

http://www.debian.org/doc/debian-policy/

http://www.debian.org/doc/debian-policy/




Figure 1.24: Diálogo de confirmación para configurar un módulo

1.4 ¿Cómo funciona eBox Platform?

EBox Platform no es sólo una interfaz web que sirve para administrar los servicios de red más co-

munes 5. Entre sus principales funciones destaca el dar cohesión y unicidad a un conjunto de servicios

de red que de lo contrario funcionarían de forma independiente.

Toda la configuración de cada uno de los servicios es escrita por eBox de manera automática.

Para ello utiliza un sistema de plantillas. Con esta automatización se evitan los posibles errores

cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada

uno de los formatos de los ficheros de configuración de cada servicio. Por tanto, no se deben editar

5 Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un análisis

extenso al código de eBox Platform en <http://www.ohloh.net/p/ebox/analyses/latest>.

21

http://www.ohloh.net/p/ebox/analyses/latest

http://www.ohloh.net/p/ebox/analyses/latest




los ficheros de configuración originales del sistema ya que se sobreescribirían al guardar cambios al

estar gestionados automáticamente por eBox.

Los informes de los eventos y posibles errores de eBox se almacenan en el directorio

/var/log/ebox/ y se distribuyen en los siguientes ficheros:

/var/log/ebox/ebox.log : Los errores relacionados con eBox Platform.

/var/log/ebox/error.log : Los errores relacionados con el servidor web de la interfaz.

/var/log/ebox/access.log : Los accesos al servidor web de la interfaz.

Si se quiere aumentar la información sobre algún error que se haya producido, se puede habilitarel modo de depuración de errores a través de la opción debug en el fichero /etc/ebox/99ebox.conf . Tras

habilitar esta opción se deberá reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox

apache restart .

1.5 Emplazamiento en la red

1.5.1 Configuración de la red local

eBox Platform puede utilizarse de dos maneras fundamentales:

• Encaminador y filtro de la conexión a internet.

• Servidor de los distintos servicios de red.

Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias.

La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar

el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unión entre redes como un

servidor dentro de la propia red.

A lo largo de esta documentación se verá cómo configurar eBox Platform para desempeñar un

papel de puerta de enlace y encaminador. Y por supuesto también veremos la configuración en loscasos que actúe como un servidor más dentro de la red.

22




Figure 1.25: Distintas ubicaciones en la red

1.5.2 Configuración de red con eBox Platform

Si colocamos el servidor en el interior de una red, lo más probable es que se nos asigne una dirección

IP a través del protocolo DHCP. A través de Red → Interfaces se puede acceder a cada una de

las tarjetas de red detectadas por el sistema y se puede configurar de manera estática (dirección

configurada manualmente), dinámica (dirección configurada por DHCP) o como Trunk 802.1Q , para

la creación de redes VLAN.

Figure 1.26: Configuración de interfaces de red

Si configuramos la interfaz como estática podemos asociar una o más Interfaces Virtuales a

dicha interfaz real para servir direcciones IP adicionales con lo que se podría atender a diferentes

redes o a la misma con diferente dirección.

Si no se dispone de un router con soporte PPPoE, eBox puede gestionar también este tipo de

conexiones. Para ello, solo hay que seleccionar PPPoE como Método e introducir el Nombre de

usuario y Contraseña proporcionado por el proveedor de ADSL.

23




Figure 1.27: Configuración estática de interfaces de red

Figure 1.28: Configuración PPPoE de interfaces de red

24




Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno

o varios servidores de nombres en Red → DNS .

Figure 1.29: Configuración de servidores DNS

Si tu conexión a Internet tiene una IP pública dinámica y quieres que un nombre de dominio

apunte a ella, se necesita un proveedor de DNS dinámico. eBox da soporte para conectar con algunos

de los proveedores de DNS dinámico más populares.

Para configurar un nombre de DNS dinámico en eBox desde Red → DynDNS selecciona el

proveedor del servicio y configura el nombre de usuario, contraseña y nombre de dominio que quer-

emos actualizar cuando la dirección pública cambie. Sólo resta Activar DNS Dinámico y GuardarCambios.

Figure 1.30: Configuración de DNS Dinámico

25




eBox se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción

de dirección red que haya entre nosotros e Internet . Si estamos utilizando esta funcionalidad en

un escenario con multirouter 6, no hay que olvidar crear una regla que haga que las conexiones al

proveedor use siempre la misma puerta de enlace.

1.5.3 Diagnóstico de redes

Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red → Diag-

nóstico .

Figure 1.31: Herramientas de diagnóstico de redes

ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP para observar la

conectividad hasta una máquina remota mediante una sencilla conversación entre ambas.

Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes

encaminados a través de las distintas redes hasta llegar a una máquina remota determinada. Con

esta herramienta podemos ver el camino que siguen los paquetes para diagnósticos más avanzados.

Y también contamos con la herramienta dig que se utiliza para comprobar el correcto fun-

cionamiento del servicio de resolución de nombres.

Ejemplo práctico A

Vamos a configurar eBox para que obtenga la configuración de la red mediante DHCP.

Para ello:

6 Consultar Reglas multirouter y balanceo de carga para obtener más detalles.

26




Figure 1.32: Herramienta ping

27




Figure 1.33: Herramienta traceroute

28




Figure 1.34: Herramienta dig

29




1. Acción: Acceder a la interfaz de eBox, entrar en Red → Interfaces y seleccionar para la

interfaz de red eth0 el Método DHCP . Pulsar el botón Cambiar.

Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos

introducidos.

2. Acción: Entrar en Estado del módulo y activar el módulo Red, para ello marcar su casilla en

la columna Estado.

Efecto: eBox solicita permiso para sobreescribir algunos ficheros.

3. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar

permiso a eBox para sobreescribirlos.

Efecto: Se ha activado el botón Guardar Cambios y algunos módulos que dependen de red

ahora pueden ser activados.

4. Acción: Guardar los cambios.

Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo

muestra.

Ahora eBox gestiona la configuración de la red.

5. Acción: Acceder a Red → Herramientas de Diagnóstico . Hacer ping a ebox-platform.com.

Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con el servidor

de internet.

6. Acción: Acceder a Red → Herramientas de Diagnóstico . Hacer ping a una eBox de un com-

pañero de aula.

Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina.

7. Acción: Acceder a Red → Herramientas Diagnóstico . Ejecutar traceroute hacia ebox-

technologies.com.

Efecto: Se muestra como resultado la serie de máquinas que un paquete recorre hasta llegar

a la máquina destino.

30




Ejemplo práctico B

Para el resto de ejercicios del manual es una buena práctica habilitar los registros.

Para ello:

1. Acción: Acceder a la interfaz de eBox, entrar en Estado del módulo y activar el módulo Reg-

istros, para ello marcar su casilla en la columna Estado.

Efecto: eBox solicita permiso para realizar una serie de acciones.

2. Acción: Leer los acciones que va a realizar eBox y aceptarlas.

Efecto: Se ha activado el botón Guardar Cambios.



muestra.

Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros →

Consultar registros . De todas maneras, en la sección Registros .

31




32



Chapter 2

eBox Infrastructure

En este apartado explicaremos varios de los servicios para gestionar y optimizar el tráfico interno y la

infraestructura de una red local, incluyendo la gestión de dominio, la auto-configuración de red en los

clientes, la publicación de sitios Web internos y la sincronización de la hora via Internet. La configu-

ración de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente

esta tarea.

El servicio de DHCP es ampliamente utilizado para configurar automáticamente diversos parámet-

ros de red como pueden ser la dirección IP de una máquina, o la puerta de enlace o gateway queutilizará para alcanzar Internet.

El servicio de DNS permite acceder a servicios y máquinas utilizando nombres en lugar de direc-

ciones IP, las cuales son más difíciles de memorizar.

Además, en muchas empresas se utilizan aplicaciones Web a las que sólo se tiene acceso de

manera interna.

2.1 Servicio de configuración de red (DHCP)

Como hemos comentado, DHCP (Dynamic Host Configuration Protocol ) es un protocolo que permite

a un dispositivo pedir y obtener una dirección IP desde un servidor que tiene una lista de direcciones

disponibles para asignar.

El servicio DHCP 1 se usa también para obtener otros muchos parámetros tales como la puerta de

enlace por defecto , la máscara de red , las direcciones IP de los servidores de nombres o el dominio

1 eBox usa “ISC DHCP Software ” (https://www.isc.org/software/dhcp) para configurar el servicio de DHCP

33

https://www.isc.org/software/dhcp






de búsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una

configuración manual por parte del cliente.

Cuando un cliente DHCP se conecta a la red envía una petición de difusión ( broadcast ). El

servidor DHCP responde a esa petición con una dirección IP, su tiempo de concesión y los otros

parámetros explicados previamente. La petición suele suceder durante el período de arranque del

cliente y debe completarse antes de seguir con el arranque del resto de servicios de red.

Existen dos métodos de asignación de direcciones:

Manual: La asignación se hace a partir de una tabla de correspondencia entre direcciones físicas

(MAC ) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla.Dinámica: El administrador de la red asigna un rango de direcciones IP por un proceso de petición y

concesión que usa el concepto de alquiler con un período controlado de tiempo en el que la IP

concedida es válida. El servidor guarda una tabla con las asignaciones anteriores para intentar

volver a asignar la misma IP a un cliente en sucesivas peticiones.

2.1.1 Configuración de un servidor DHCP con eBox

Para configurar el servicio DHCP con eBox, se necesita al menos una interfaz configurada estática-

mente. Una vez la tenemos, vamos al menú DHCP donde se configurará el servidor DHCP.Como hemos dicho, se pueden enviar algunos parámetros de la red junto con la dirección IP,

estos parámetros se pueden configurar en la pestaña de Opciones comunes .

Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra

ruta por la que enviar el paquete a su destino. Su valor puede ser eBox, una puerta de enlace

ya configurada en el apartado Red → Routers o una dirección IP personalizada.

Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas siguiendo la

forma <máquina>.sub.dominio.com , se podría configurar el dominio de búsqueda como

“sub.dominio.com”. De esta forma, cuando se intente resolver un nombre de dominio sin éxito,

se intentará de nuevo añadiéndole el dominio de búsqueda al final o partes de ese dominio.

Por ejemplo, si smtp no se puede resolver como dominio, se intentará resolver

smtp.dominio.com en la máquina cliente.

Podemos escribir el dominio de búsqueda, o podemos seleccionar uno que se haya configurado

en el servicio de DNS.

34



CHAPTER 2. EBOX INFRASTRUCTURE

Figure 2.1: Vista general de configuración del servicio DHCP

35




Servidor de nombres primario: Se trata de aquel servidor DNS 2 con el que contactará el cliente

en primer lugar cuando tenga que resolver un nombre o traducir una dirección IP a un nombre.

Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de

eBox, hay que tener en cuenta que el módulo dns debe estar habilitado) o una dirección IP de

otro servidor DNS.

Servidor de nombres secundario: Servidor DNS con el que contactará el cliente si el primario no

está disponible. Su valor debe ser una dirección IP de un servidor DNS.

Servidor NTP: Este es el servidor NTP (Network Transport Protocol ) 3 que el cliente usará cuando

quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que

tener en cuenta que el módulo ntp debe estar habilitado) o un servidor NTP personalizado.

Servidor WINS: Este es el servidor WINS (Windows Internet Name Service ) 4 que el cliente usará

para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en

cuenta que el módulo samba debe estar habilitado) o uno personalizado.

Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen

mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP esté activo,

al menos debe haber un rango de direcciones a distribuir o una asignación estática. En caso contrario,

el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red.

Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una deter-

minada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Cualquierdirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas.

Añadir un rango en la sección Rangos se hace introduciendo un nombre con el que identificar el

rango y los valores que se quieran asignar dentro del rango que aparece encima.

Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas

en el apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar parte

de ningún rango. Se puede añadir una descripción opcional para la asignación también.

La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se

tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas ). Este tiempo varía

desde 1800 segundos hasta 7200. Las asignaciones estáticas también están limitadas en el tiempo.De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.

2 Ir a la sección Servicio de resolución de nombres (DNS) para tener más detalles sobre este servicio.3 Comprobar la sección Servicio de sincronización de hora (NTP) para obtener detalles sobre el servicio de sin-

cronización de hora4 WINS es una implementación para NBNS (NetBIOS Name Service ). Para obtener más información sobre ello, ir a la

sección Servicio de compartición de ficheros y de autenticación .

36




Figure 2.2: Aspecto de la configuración avanzada para DHCP

Un Cliente Ligero es una máquina sin disco duro (y hardware modesto) que arranca a través de

la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros.

eBox permite configurar a qué servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se

encargará de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema,se debe configurar por separado.

El servidor PXE puede ser una dirección IP o un nombre, en cuyo caso será necesario indicar la

ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el fichero de la imagen.

Actualizaciones dinámicas de DNS

El servidor DHCP tiene la habilidad de actualizar dinámicamente el servidor DNS 6. Esto es, el servidor

DHCP actualizará en tiempo real los registros A y PTR para mapear una dirección IP a un nombre de

máquina y viceversa cuando se sirva una dirección IP. La manera en que esto se hace es dependiente

de la configuración del servidor DHCP.

5 Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red in-

dependientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados

(http://en.wikipedia.org/wiki/Preboot_Execution_Environment)6 El RFC 2136 explica como hacer actualizaciones automáticas en el Sistema de Nombres de Dominio (DNS).

37

http://en.wikipedia.org/wiki/Preboot_Execution_Environment


http://tools.ietf.org/html/rfc2136.html






Con eBox es posible usar la actualización dinámica de DNS integrando los módulos de dhcp y

dns de la misma máquina dentro la pestaña Opciones de DNS dinámico . Para habilitar esta carac-

terística, el módulo DNS debe ser habilitado también. Se debe disponer un Dominio dinámico y un

Dominio estático, que ambos se añadirán a la configuración de DNS automáticamente. El dominio

dinámico mapea los nombres de máquinas cuya dirección IP corresponde a una del rango y el nom-

bre asociado sigue este patrón: dhcp-<dirección-IP-ofrecida>.<dominio-dinámico> . Con respecto al

dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático> siendo el

nombre que se establece en la tabla de Asignaciones estáticas. Hay que tener en cuenta que una

actualización desde el cliente DHCP es ignorada por eBox.

Figure 2.3: Configuración de actualizaciones DNS dinámicas

La actualización se hace usando un protocolo seguro 7 y, actualmente, sólo el mapeo directo está

soportado por eBox.

Ejemplo práctico

Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde

otra máquina cliente usando dhclient que funciona correctamente.

Para configurar DHCP debemos tener activado y configurado el módulo Red. La interfaz de

red sobre la cual vamos a configurar el servidor DHCP deberá ser estática (dirección IP asignadamanualmente) y el rango a asignar deberá estar dentro de la subred determinada por la máscara de

red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0).

1. Acción: Entrar en eBox y acceder al panel de control. Entrar en Estado del módulo y activar

el módulo DHCP, para ello marcar su casilla en la columna Estado.

7 La comunicación se realiza usando TSIG (Transaction SIGnature ) para autenticar las peticiones de actualizaciones

dinámicas usando una clave secreta compartida.

38








3. Acción: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurará el servidor.

La pasarela puede ser la propia eBox, alguna de las pasarelas de eBox, una dirección

específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio de

búsqueda (dominio que se añade a todos los nombres DNS que no se pueden resolver)

y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario).A continuación eBox nos informa del rango de direcciones disponibles, vamos a elegir un

subconjunto de 20 direcciones y en Añadir nueva le damos un nombre significativo al

rango que pasará a asignar eBox.



muestra.

Ahora eBox gestiona la configuración del servidor DHCP.

5. Acción: Desde otro equipo conectado a esa red solicitamos una IP dinámica del rango medi-ante dhclient:

$ sudo dhclient eth0

There is already a pid file /var/run/dhclient.pid with pid 9922

killed old client process, removed PID file

Internet Systems Consortium DHCP Client V3.1.1

Copyright 2004-2008 Internet Systems Consortium.

All rights reserved.

For info, please visit http://www.isc.org/sw/dhcp/

wmaster0: unknown hardware address type 801wmaster0: unknown hardware address type 801

Listening on LPF/eth0/00:1f:3e:35:21:4f

Sending on LPF/eth0/00:1f:3e:35:21:4f

Sending on Socket/fallback

DHCPREQUEST on wlan0 to 255.255.255.255 port 67

DHCPACK from 10.1.2.254

bound to 10.1.2.1 -- renewal in 1468 seconds.

39




6. Acción: Comprobar desde el Dashboard que la dirección concedida aparece en el widget

DHCP leases 8.

2.2 Servicio de resolución de nombres (DNS)

La funcionalidad de DNS (Domain Name System) es convertir nombres de máquinas, legibles y fáciles

de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es

una arquitectura arborescente cuyos objetivos son evitar la duplicación de la información y facilitar la

búsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporteUDP y TCP.

2.2.1 Configuración de un servidor caché DNS con eBox

Un servidor de nombres puede actuar como caché 9 para las consultas que él no puede responder.

Es decir, la primera vez consultará al servidor adecuado porque se parte de una base de datos sin

información, pero posteriormente responderá la caché , con la consecuente disminución del tiempo de

respuesta.

En la actualidad, la mayoría de los sistemas operativos modernos tienen una biblioteca local paratraducir los nombres que se encarga de almacenar una caché propia de nombres de dominio con las

peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).

Ejemplo práctico A

Comprobar el correcto funcionamiento del servidor caché DNS. ¿Qué tiempo de respuesta hay ante

la misma petición www.example.com ?

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo DNS, para ello

marcar su casilla en la columna Estado.




8 Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DHCP.9 Caché es una colección de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado

con el tiempo de lectura de la caché (http://en.wikipedia.org/wiki/Cache)

40

http://en.wikipedia.org/wiki/Cache







3. Acción: Ir a Red → DNS y añadir un nuevo Servidor de nombres de dominio con valor

127.0.0.1 .

Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa.



muestra.

Ahora eBox gestiona la configuración del servidor DNS.5. Acción: Comprobar a través de la herramienta Resolución de Nombres de Dominio

disponible en Red → Diagnóstico comprobar el funcionamiento de la caché consultado

el dominio www.example.com consecutivamente y comprobar el tiempo de respuesta.

2.2.2 Configuración de un servidor DNS con eBox

DNS posee una estructura en árbol y el origen es conocido como ‘.’ o raíz. Bajo el ‘.’ existen los TLD

(Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si éste

no conoce la respuesta, se buscará recursivamente en el árbol hasta encontrarla. Cada ‘.’ en unadirección (por ejemplo, home.example.com ) indica una rama del árbol de DNS diferente y un ámbito

de consulta diferente que se irá recorriendo de derecha a izquierda.

Como se puede ver en la figura Árbol de DNS , cada zona tiene un servidor de nombre autor-

izado 10. Cuando un cliente hace una petición a un servidor de nombres, delega la resolución a aquel

servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo,

un cliente pide la dirección IP de www.casa.example.com a un servidor que es autoridad para exam-

ple.com . Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para

la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debería

saber la dirección IP para esa máquina.

Otro aspecto importante es la resolución inversa (in-addr.arpa ), ya que desde una dirección IPpodemos traducirla a un nombre del dominio. Además a cada nombre asociado se le pueden añadir

tantos alias (o nombres canónicos) como se desee, así una misma dirección IP puede tener varios

nombres asociados.

10 Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la información para resolver la consulta

para ese dominio

41




Figure 2.4: Árbol de DNS

Una característica también importante del DNS es el registro MX. Dicho registro indica el lugar

donde se enviarán los correos electrónicos que quieran enviarse a un determinado dominio. Por

ejemplo, si queremos enviar un correo a [email protected], el servidor de correo preguntará porel registro MX de example.com y el servicio responderá que es mail.example.com .

La configuración en eBox se realiza a través del menú DNS . En eBox, se pueden configurar tantos

dominios DNS como deseemos.

Para configurar un nuevo dominio, desplegamos el formulario pulsando Añadir nuevo. Desde allí

se configura el nombre del dominio y una dirección IP opcional a la que hará referencia el dominio.

Cuando se añade un nuevo dominio, se puede apreciar la presencia de un campo llamado

dinámico con valor falso. Un dominio se establece como dinámico cuando es actualizado automáti-

camente por un proceso sin reiniciar el servidor. Un ejemplo típico para esto es cuando un servidor

42

mailto:[email protected]





DHCP actualiza los registros DNS para un dominio cuando ofrece una dirección IP a una máquina. Ve

a la sección Actualizaciones dinámicas de DNS para obtener detalles sobre esta configuración con

eBox. Actualmente, si un dominio se establece como dinámico, no se puede configurar manualmente

desde el interfaz de eBox.

Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com , tenemos la

posibilidad de rellenar la lista de máquinas (hostnames ) para el dominio. Se podrán añadir tantas

direcciones IP como se deseen usando los nombres que decidamos. La resolución inversa se añade

automáticamente. Además, para cada pareja nombre-dirección se podrán también poner tantos alias

como se deseen.

Con eBox se establece automáticamente el servidor autorizado para los dominios configurados

a la máquina con nombre ns. Si esa máquina no existe, entonces se usa 127.0.0.1 como servidor

de nombres autorizado. Si quieres configurar el servidor de nombres autorizado manualmente para

tus dominios (registros NS), ve a servidores de nombres y elige una de las máquinas del dominio o

una personalizada. En el escenario típico, se configurará una máquina con nombre ns usando como

dirección IP una de las configuradas en la sección Red →

Interfaces .

43




Como característica adicional, podemos añadir nombres de servidores de correo a través de los

intercambiadores de correo (Mail Exchangers ) eligiendo un nombre de los dominios en los que eBox

es autoridad o uno externo. Además se le puede dar una preferencia cuyo menor valor es el que da

mayor prioridad, es decir, un cliente de correo intentará primero aquel servidor con menor número de

preferencia.

Para profundizar en el funcionamiento de DNS, veamos qué ocurre en función de la consulta que

se hace a través de la herramienta de diagnóstico dig que se encuentra en Red → Diagnóstico .

Si hacemos una consulta a uno de los dominios que hemos añadido, el propio servidor DNS de

eBox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS

lanza una petición a los servidores DNS raíz, y responderá al usuario tan pronto como obtenga una

respuesta de éstos. Es importante tener en cuenta que los servidores de nombres configurados en

Red → DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNSno los utiliza de ningún modo. Si queremos que eBox resuelva nombres utilizando su propio DNS

debemos configurar 127.0.0.1 como servidor DNS primario en dicha sección.

Ejemplo práctico B

Añadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una dirección de red al

nombre de una máquina. Desde otra máquina comprobar usando la herramienta dig que resuelve

correctamente.

1. Acción: Comprobar que el servicio DNS está activo a través de Dashboard en el widget Es-tado de módulos. Si no está activo, habilitarlo en Estado de módulos .

2. Acción: Entrar en DNS y en Añadir nueva introducimos el dominio que vamos a gestionar. Se

desplegará una tabla donde podemos añadir nombres de máquinas, servidores de correo

para el dominio y la propia dirección del dominio. Dentro de Nombres de máquinas

procedemos de la misma manera añadiendo el nombre de la máquina y su dirección IP

asociada.

44





Efecto: eBox solicitará permiso para escribir los nuevos ficheros.

4. Acción: Aceptar sobreescribir dichos ficheros y guardar cambios.

Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo mues-

tra.

5. Acción: Desde otro equipo conectado a esa red solicitamos la resolución del nombre me-

diante dig, siendo por ejemplo 10.1.2.254 la dirección de nuestra eBox y mirror.ebox-

platform.com el dominio a resolver:

$ dig mirror.ebox-platform.com @10.1.2.254

; <<>> DiG 9.5.1-P1 <<>> mirror.ebox-platform.com @10.1.2.254

;; global options: printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33835

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITION

;; QUESTION SECTION:

;mirror.ebox-platform.com. IN A

;; ANSWER SECTION:

mirror.ebox-platform.com. 600 IN A 87.98.190.119

;; AUTHORITY SECTION:

ebox-platform.com. 600 IN NS ns1.ebox-platfo

ebox-platform.com. 600 IN NS ns2.ebox-platfo

;; ADDITIONAL SECTION:

ns1.ebox-platform.com. 600 IN A 67.23.0.68

ns2.ebox-platform.com. 600 IN A 209.123.162.63

;; Query time: 169 msec

;; SERVER: 10.1.2.254#53(10.1.2.254)

;; WHEN: Fri Mar 20 14:37:52 2009

;; MSG SIZE rcvd: 126

45




2.3 Servicio de publicación de información web (HTTP)

La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara

visible para la mayoría de los usuarios.

Una página Web empezó siendo la manera más cómoda de publicar información en una red.

Para acceder basta con un navegador Web , que se encuentra instalado de serie en las plataformas de

escritorio actuales. Una página Web es fácil de crear y se puede visualizar desde cualquier ordenador.

Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de

verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio.En este capítulo veremos una introducción al funcionamiento interno de la Web , así como la

configuración de un servidor Web con eBox.

2.3.1 Hyper Text Transfer Protocol

Una de las claves del éxito de la Web ha sido el protocolo de capa de Aplicación empleado, HTTP

(Hyper Text Transfer Protocol ), y es que HTTP es muy sencillo a la vez que flexible.

HTTP es un protocolo orientado a peticiones y respuestas. Un cliente, también llamado User

Agent , realiza una solicitud a un servidor. El servidor la procesa y devuelve una respuesta.

Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar, y el 443 para conexiones

cifradas (HTTPS). Una de las tecnologías más usadas para el cifrado es TLS 11.

Una solicitud del cliente contiene los siguientes elementos:

• Una primera línea conteniendo <método> <recurso solicitado> <versión HTTP> . Por ejemplo

GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo

HTTP/1.1.

• Cabeceras, como User-Agent: Mozilla/5.0 ... Firefox/3.0.6 que identifican el tipo de cliente que

solicita la información.

• Una línea en blanco.

• Un cuerpo del mensaje opcional. Se utiliza, por ejemplo, para enviar ficheros al servidor usando

el método POST.

11 TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan

seguridad e integridad de datos para las comunicaciones en Internet. En la sección Redes privadas virtuales (VPN) se

ahondará en el tema.

46




Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del

servidor. Encaminadores y proxies en medio.

47




Hay varios métodos 12 con los que el cliente puede pedir información. Los más comunes son GET

y POST:

GET: Se utiliza GET para solicitar un recurso. Es un método inocuo para el servidor, ya que no se

debe modificar ningún fichero en el servidor si se hace una solicitud mediante GET.

POST: Se utiliza POST para enviar una información que debe procesar el servidor. Por ejemplo en

un webmail cuando pulsamos Enviar Mensaje , se envía al servidor la información del correo

electrónico a enviar. El servidor debe procesar esa información y enviar el correo electrónico.

OPTIONS: Sirve para solicitar qué métodos se pueden emplear sobre un recurso.

HEAD: Solicita información igual que GET, pero la respuesta no incluirá el cuerpo, sólo la cabecera.De esta forma se puede obtener la meta-información del recurso sin descargarlo.

PUT: Solicita que la información del cuerpo sea almacenada y accesible desde la ruta indicada.

DELETE: Solicita la eliminación del recurso indicado

TRACE: Indica al servidor que debe devolver la cabecera que envía el cliente. Es útil para ver cómo

modifican la solicitud los proxies intermedios.

CONNECT: La especificación se reserva este método para realizar túneles.

La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la

primera fila. En este caso la primera fila sigue la forma <status code> <text reason> , que correspondenal código de respuesta y a un texto con la explicación respectivamente.

Los códigos de respuesta 13 más comunes son:

200 OK: La solicitud ha sido procesada correctamente.

403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el re-

curso solicitado.

404 Not Found: Si el recurso solicitado no se ha encontrado.

500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecu-

ción de la solicitud.12 Una explicación más detallada se puede encontrar en la sección 9 del RFC 261613 En la sección 10 del RFC 2616 se pueden encontrar el listado completo de códigos de respuesta del servidor HTTP.

48








HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el

servidor no puede recordar a los clientes entre conexiones. Una solución para este problema es el

uso de cookies . Por otro lado, el servidor no puede iniciar una conversación con el cliente. Si el cliente

quiere alguna notificación del servidor, deberá solicitarla periódicamente.

El servicio HTTP puede ofrecer dinámicamente los resultados de aplicaciones software . Para ello,

el cliente realiza una petición a una determinada URL con unos parámetros y el software se encarga

gestionar la petición para devolver un resultado. El primer método utilizado fue conocido como CGI

(Common Gateway Interface ) que se ejecuta un comando por URL. Este mecanismo ha sido superado

debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones:

FastCGI : Un protocolo de comunicación entre las aplicaciones software y el servidor HTTP, teniendoun único proceso para resolver las peticiones realizadas por el servidor HTTP.

SCGI (Simple Common Gateway Interface ): Es una versión simplificada del protocolo de FastCGI

Otros mecanismos de expansión: Estos mecanismos dependerán del servidor HTTP utilizado y

pueden permitir la ejecución de software dentro del propio servidor.

2.3.2 El servidor HTTP Apache

El servidor HTTP Apache

14

es el programa más popular para servir páginas Web desde abril de1996. EBox usa dicho servidor tanto para su interfaz Web de administración como para el módulo

Web . Su objetivo es ofrecer un sistema seguro, eficiente y extensible siguiendo los estándares HTTP.

Ofrece la posibilidad de extender las funcionalidades del núcleo (core ), utilizando módulos adicionales

para incluir nuevas características. Es decir, una de sus principales ventajas es la extensibilidad.

Algunos de los módulos nos ofrecen interfaces para lenguajes de script . Ejemplos de ello son

mod_perl , mod_python , TCL ó PHP , lo que permite crear páginas Web usando los lenguajes de pro-

gramación Perl, Python, TCL o PHP. También tenemos módulos para varios sistemas de autenticación

como mod_access , mod_auth , entre otros. Además, permite el uso de SSL y TLS con mod_ssl , mó-

dulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite . En

definitiva, disponemos de una gran cantidad de módulos de Apache 15 para añadir diversas funcional-

idades.

14 Apache HTTP Server project http://httpd.apache.org.15 Podemos consultar la lista completa en http://modules.apache.org.

49

http://httpd.apache.org/


http://modules.apache.org/







2.3.3 Dominios virtuales

El objetivo de los dominios virtuales (Virtual Hosts ) es alojar varios sitios Web en un mismo servidor.

Si el servidor dispone de una dirección IP pública por cada sitio Web , se puede realizar una

configuración por cada interfaz de red. Vistos desde fuera dará la impresión de que son varios Hosts

en la misma red. El servidor redirigirá el tráfico de cada interfaz a su sitio Web correspondiente.

Sin embargo, lo más normal es disponer de una o dos IPs por máquina. En ese caso habrá

que asociar cada sitio Web con su dominio. El servidor Web leerá las cabeceras de los clientes

y dependiendo del dominio de la solicitud lo redirigirá a un sitio Web u otro. A cada una de estas

configuraciones se le llama Virtual Host , ya que sólo hay un Host en la red, pero se simula queexisten varios.

2.3.4 Configuración de un servidor HTTP con eBox

A través del menú Web podemos acceder a la configuración del servicio.

Figure 2.6: Aspecto de la configuración del módulo Web

En el primer formulario podemos modificar los siguientes parámetros:

Puerto de escucha Dónde va a escuchar peticiones HTTP el demonio.

Habilitar el public_html por usuario Con esta opción, si está habilitado el módulo Samba (eBox

como servidor de ficheros ) los usuarios pueden crear un subdirectorio llamado public_html en

su directorio personal dentro de samba que será expuesto por el servidor Web a través de

la URL http://<eboxIP>/~<username>/ donde username es el nombre del usuario que quiere

publicar contenido.

50




Respecto a los Dominios virtuales , simplemente se introducirá el nombre que se desea para el

dominio y si está habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en

el módulo DNS (si está instalado) de tal manera que si se añade el dominio www.company.com , se

creará el dominio company.com con el nombre de máquina www cuya dirección IP será la dirección

de la primera interfaz de red que sea estática.

Para publicar datos estos deben estar bajo /var/www/<vHostname> , donde vHostName es el

nombre del dominio virtual. Si se quiere añadir cualquier configuración personalizada, por ejemplo

capacidad para servir aplicaciones en Python usando mod_python , se deberán crear los ficheros de

configuración necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/user-

ebox-<vHostName>/ .

Ejemplo práctico

Habilitar el servicio Web . Comprobar que está escuchando en el puerto 80. Configurarlo para que

escuche en un puerto distinto y comprobar que el cambio surte efecto.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo servidor web, para

ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en

el sistema. Permitir la operación pulsando el botón Aceptar.

Efecto: Se ha activado el botón Guardar Cambios.2. Acción: Guardar los cambios.


muestra.

El servidor Web ha quedado habilitado por defecto en el puerto 80.

3. Acción: Utilizando un navegador, acceder a la siguiente dirección http://ip_de_eBox/ .

Efecto: Aparecerá una página por defecto de Apache con el mensaje ‘It works!’ .

4. Acción: Acceder al menú Web . Cambiar el valor del puerto de 80 a 1234 y pulsar el botón

Cambiar.




muestra.

Ahora el servidor Web está escuchando en el puerto 1234.

51




6. Acción: Volver a intentar acceder con el navegador a http://<ip_de_eBox>/ .

Efecto: No obtenemos respuesta y pasado un tiempo el navegador informará de que ha sido

imposible conectar al servidor.

7. Acción: Intentar acceder ahora a http://<ip_de_eBox>:1234/ .

Efecto: El servidor responde y obtenemos la página de ‘It works!’ .

2.4 Servicio de sincronización de hora (NTP)

El protocolo NTP (Network Time Protocol ) fue diseñado para sincronizar los relojes de las computado-

ras sobre una red no fiable, con latencia variable. Este servicio escucha en el puerto 123 del protocolo

UDP. Está diseñado para resistir los efectos de la latencia variable ( jitter ).

Es uno de los protocolos más antiguos de Internet (desde antes de 1985). NTP versión 4 puede

alcanzar una exactitud de hasta 200µs o incluso mejor si el reloj está en la red local. Existen diferentes

estratos que definen la distancia del reloj de referencia y su asociada exactitud. Existen hasta 16

niveles. El estrato 0 es para los relojes atómicos que no se conectan a la red sino a otro ordenador

con conexión serie RS-232 y estos son los de estrato 1. Los de estrato 2 son los ordenadores que se

conectan, ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en

los sistemas operativos más conocidos como GNU/Linux, Windows, o MacOS.

2.4.1 Configuración de un servidor NTP con eBox

Para configurar eBox dentro de la arquitectura NTP 16, en primer lugar eBox tiene que sincronizarse

con algún servidor externo de estrato superior (normalmente 2) que se ofrecen a través de Sistema

→ Fecha/hora . Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org ) que son

una colección dinámica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus

clientes a través de Internet.

16 Proyecto del servicio público NTP http://support.ntp.org/bin/view/Main/WebHome.

52

http://support.ntp.org/bin/view/Main/WebHome






Una vez que eBox se haya sincronizado como cliente NTP 17, el propio eBox podrá actuar también

como servidor NTP, con una hora sincronizada mundialmente.

Ejemplo práctico

Habilitar el servicio NTP y sincronizar la hora de nuestra máquina utilizando el comando ntpdate.

Comprobar que tanto eBox como la máquina cliente tienen la misma hora.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo ntp, para ello marca

su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema.

Permitir la operación pulsando el botón Aceptar.


2. Acción: Acceder al menú Sistema → Fecha/Hora . En la sección Sincronización con servi-

dores NTP seleccionar Activado y pulsar Cambiar.

Efecto: Desaparece la opción de cambiar manualmente la fecha y hora y en su lugar aparecen

campos para introducir los servidores NTP con los que se sincronizará.



muestra.

Nuestra máquina eBox actuará como servidor NTP.

17 eBox usa ntpdate para sincronizarse por primera vez, una vez sincronizado usa ntpd para mantener la sincronía.

http://www.ece.udel.edu/~mills/ntp/html/

53






4. Acción: Instalar el paquete ntpdate en nuestra máquina cliente. Ejecutar el comando ntpdate

<ip_de_eBox> .

Efecto: La hora de nuestra máquina habrá quedado sincronizada con la de la máquina eBox.

Podemos comprobarlo ejecutando el comando date en ambas máquinas.

54



Chapter 3

eBox Gateway

En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. eBox Gateway

puede hacer tu red más fiable, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar

en tu red.

En este apartado hay un capítulo que se centra en el funcionamiento del módulo cortafuegos de

eBox, el cual nos permite la gestión de reglas para el tráfico entrante y saliente de nuestra red interna.

La configuración del cortafuegos no se realiza directamente, sino que se apoya en otros dosmódulos que facilitan la gestión de objetos y servicios de red, los cuales se describen en la primera

parte del apartado.

Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas según el tráfico

saliente. Además, se explica en este apartado el moldeado de tráfico, que se utiliza para asegurar

que las aplicaciones críticas se sirven correctamente e incluso para limitar aquellas aplicaciones que

generan mucho tráfico en la red.

Finalmente, se ofrece una introducción al servicio de proxy HTTP que ofrece eBox. Este servicio

permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado,

incluyendo reglas basadas en el contenido.

3.1 Abstracciones de red a alto nivel de eBox

55




3.1.1 Objetos de red

Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto

de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red,

pudiendo elegir comportamientos para dichos objetos.

Por ejemplo, pueden servir para dar un nombre significativo a una dirección IP o a un grupo de

ellas. Si es el segundo caso, en lugar de definir reglas de acceso de cada una de las direcciones,

bastaría simplemente con definirlas para el objeto de red. Así, todas las direcciones pertenecientes al

objeto adquirirían dicha configuración.

Figure 3.1: Representación de objetos de red

Gestión de los objetos de red con eBox

Para su gestión en eBox se debe ir al menú Objetos y ahí se crean nuevos objetos, que tendrán

asociado un nombre, y una serie de miembros.

Se puede crear, editar y borrar objetos. Estos objetos serán usados más tarde por otros módulos

como por ejemplo el cortafuegos, el Proxy caché Web o el de correo.

56



CHAPTER 3. EBOX GATEWAY

Figure 3.2: Aspecto general del módulo de objetos de red

Cada uno de ellos tendrá al menos los siguientes valores: nombre, dirección IP y máscara de

red utilizando notación CIDR. La dirección física sólo tendrá sentido para miembros que representen

una única máquina.

Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener

mucho cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tener

problemas de seguridad.

3.1.2 Servicios de red

Un servicio de red es la abstracción de uno o más protocolos de aplicación que pueden ser usados

en otros módulos como el cortafuegos o el módulo de moldeado de tráfico.

La utilidad de los servicios es similar a la de los objetos. Si veíamos que con los objetos podíamos

hacer referencia fácilmente a un conjunto de direcciones IP usando un nombre significativo, podemos

57




así mismo identificar un conjunto de puertos numéricos, difíciles de recordar y engorrosos de teclear

varias veces en distintas configuraciones, con un nombre acorde a su función (típicamente el nombre

del protocolo de nivel 7 o aplicación que usa esos puertos).

Figure 3.3: Conexión de un cliente a un servidor

Gestión de los servicios de red con eBox

Para su gestión en eBox se debe ir al menú Servicios donde es posible crear nuevos servicios, que

tendrán asociado un nombre, una descripción y un indicador de si el servicio es externo o interno. Un

servicio es interno si los puertos configurados para dicho servicio se están usando en la máquina en

la que está eBox instalado. Además cada servicio tendrá una serie de miembros. Cada uno de ellos

tendrá los siguientes valores: protocolo, puerto origen y puerto destino.

En todos estos campos podemos introducir el valor cualquiera , por ejemplo para especificar ser-

vicios en los que sea indiferente el puerto origen.

Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que más

se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino

conocido. Los puertos del 1 al 1023 se llaman puertos “bien conocidos” y en sistemas operativos

tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. Del 1024 al 49.151

son puertos registrados. Y del 49.152 al 65.535 son puertos efímeros y son utilizados como puertos

temporales, sobre todo por los clientes al comunicarse con los servidores. Existe una lista de servicios

de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el fichero /etc/services .

1 La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a

puertos bien conocidos. La lista completa se encuentra en http://www.iana.org/assignments/port-numbers

58

http://www.iana.org/assignments/port-numbers

http://www.iana.org/assignments/port-numbers




El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para

evitar tener que añadir dos veces un mismo puerto que se use para ambos protocolos.

Figure 3.4: Aspecto general del módulo de servicios de red

Se puede crear, editar y borrar servicios. Estos servicios serán usados más adelante en el corta-fuegos o el moldeado de tráfico haciendo referencia simplemente al nombre significativo.

Ejemplo práctico

Crear un objeto y añadir lo siguiente: una máquina sin dirección MAC, una máquina con dirección

MAC y una dirección de red.

Para ello:

1. Acción: Acceder a Objetos . Añadir máquinas de contabilidad.Efecto: El objeto máquinas de contabilidad se ha creado.

2. Acción: Acceder a Miembros del objeto máquinas de contabilidad. Crear miembro servi-

dor contable con una dirección IP de la red, por ejemplo, 192.168.0.12/32 . Crear otro miem-

bro servidor contable respaldo con otra dirección IP, por ejemplo, 192.168.0.13/32 y una

dirección MAC válida, por ejemplo, 00:0c:29:7f:05:7d . Finalmente, crea el miembro red de

59




ordenadores contables con dirección IP una subred de tu red local, como por ejemplo,

192.168.0.64/26 . Finalmente, ir a Guardar cambios para confirmar la configuración creada.

Efecto: El objeto máquinas de contabilidad contendrá tres miembros servidor contable,

servidor contable respaldo y red de ordenadores contables de forma permanente.

3.2 Cortafuegos

Para ver la aplicación de los objetos y servicios de red, vamos a configurar un cortafuegos. Un

cortafuegos es un sistema que refuerza las políticas de control de acceso entre redes. En nuestro

caso, vamos a tener una máquina dedicada a protección de nuestra red interna y eBox de ataques

procedentes de la red exterior.

Un cortafuegos permite definir al usuario una serie de políticas de acceso, por ejemplo, cuáles

son las máquinas a las que se puede conectar o las que pueden recibir información y el tipo de la

misma. Para ello, utiliza reglas que pueden filtrar el tráfico dependiendo de determinados parámetros,

por ejemplo protocolo, dirección origen o destino y puertos utilizados.

Técnicamente, la mejor solución es disponer de un computador con dos o más tarjetas de red que

aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos

se encargue de conectar los paquetes de las redes y determinar cuáles pueden pasar o no y a quéred lo harán. Al configurar nuestra máquina como cortafuegos y encaminador podremos enlazar los

paquetes de tránsito entre redes de manera más segura.

3.2.1 El cortafuegos en GNU/Linux: Netfilter

A partir del núcleo Linux 2.4, se proporciona un subsistema de filtrado denominado Netfilter que

proporciona características de filtrado de paquetes y de traducción de redes NAT 2. La interfaz del

comando iptables permite realizar las diferentes tareas de configuración de las reglas que afectan al

sistema de filtrado (tabla filter ), reglas que afectan a la traducción de los paquetes con NAT (tabla nat )

o reglas para especificar algunas opciones de control y manipulación de paquetes (tabla mangle ). Sumanejo es muy flexible y ortogonal pero añade mucha complejidad y tiene una curva de aprendizaje

alta.

2 Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan

por un encaminador o cortafuegos. Su uso principal es permitir a varias máquinas de una red privada acceder a Internet

con una única IP pública.

60




3.2.2 Modelo de seguridad de eBox

El modelo de seguridad de eBox se basa en intentar proporcionar la máxima seguridad posible por

defecto, intentando a su vez minimizar el esfuerzo de configuración de un administrador cuando añade

nuevos servicios.

Cuando eBox actúa de cortafuegos normalmente se instala entre la red local y el router que

conecta esa red con otra red, normalmente Internet. Los interfaces de red que conectan la máquina

con la red externa (el router ) deben marcarse como tales. Esto permite al módulo Cortafuegos

establecer unas políticas de filtrado por defecto.

Figure 3.5: Red interna - Reglas de filtrado - Red externa

La política para las interfaces externas es denegar todo intento de nueva conexión a eBox. Para

las interfaces internas se deniegan todos los intentos de conexión, excepto los que se realizan a

servicios internos definidos en el módulo Servicios, que son aceptadas por defecto.

Además eBox configura el cortafuegos automáticamente de tal manera que hace NAT para los

paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta

funcionalidad, puede ser desactivada mediante la variable nat_enabled en el fichero de configuración

del módulo cortafuegos en /etc/ebox/80firewall.conf .

Configuración de un cortafuegos con eBox

Para facilitar el manejo de iptables en tareas de filtrado se usa el interfaz de eBox en Cortafuegos →

Filtrado de paquetes .

Si eBox actúa como puerta de enlace, se pueden establecer reglas de filtrado que se encargarán

de determinar si el tráfico de un servicio local o remoto debe ser aceptado o no. Hay cinco tipos de

tráfico de red que pueden controlarse con las reglas de filtrado:

61




• Tráfico de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas máquinas).

• Tráfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet

desde determinada red interna).

• Tráfico de eBox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia

máquina con eBox).

• Tráfico de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde

Internet).

• Tráfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno

desde Internet).

Hay que tener en cuenta que los dos últimos tipos de reglas pueden ser un compromiso para la

seguridad de eBox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de

filtrado en el siguiente gráfico:

Figure 3.6: Tipos de reglas de filtrado

eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una

interfaz interna (donde se encuentra la Intranet ) e Internet. Su configuración habitual se realiza por

objeto. Así podemos determinar cómo un objeto de red puede acceder a cada uno de los servicios de

62




eBox. Por ejemplo, podríamos denegar el acceso al servicio de DNS a determinada subred. Además

se manejan las reglas de acceso a Internet, por ejemplo, para configurar el acceso a Internet se debe

habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier dirección.

Figure 3.7: Lista de reglas de filtrado de paquetes desde las redes internas a eBox

Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. Por

ejemplo, las reglas de filtrado para salida de eBox sólo hace falta fijar el destinatario ya que el origen

siempre es eBox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el

tráfico de salida excepto el de SSH 3. Adicionalmente, se le puede dar una descripción para facilitar

la gestión de las reglas. Finalmente, cada regla tiene una decisión que tomar, existen tres tipos:

• Aceptar la conexión.

• Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se

ha podido establecer la conexión.

• Denegar la conexión y además registrarla. De esta manera, a través de Registros -> Consulta

registros del Cortafuegos podemos ver si una regla está funcionando correctamente.

3 SSH: Secure Shell permite la comunicación segura entre dos máquinas usando principalmente como consola remota

63




Redirecciones de puertos

Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos → Redirecciones de

puertos donde se puede hacer que todo el tráfico dirigido a un puerto externo (o rango de puertos),

se direccione a una máquina que está escuchando en un puerto determinado haciendo la traducción

de la dirección destino.

Para configurar una redirección hay que establecer la interfaz donde se va a hacer la traducción,

el destino original (puede ser eBox, una dirección IP o un objeto), el puerto de destino original

(puede ser cualquiera , un rango de puertos o un único puerto), el protocolo, la origen desde donde se

iniciará la conexión (en una configuración usual su valor será cualquiera ), la IP destino y, finalmente,el puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original

o no. Existe también un campo opcional llamado descripción que es útil para añadir un comentario

que describa el propósito de la regla.

Según el ejemplo, todas las conexiones que vayan a eBox a través del interfaz eth0 al puerto

8080/TCP se redirigirán al puerto 80/TCP de la máquina con dirección IP 10.10.10.10 .

Ejemplo práctico

Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la máquina

eBox. Añadir un servicio y una regla de cortafuegos para que una máquina interna pueda acceder al

servicio.

64




Para ello:

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Cortafuegos, para

ello marcar su casilla en la columna Estado.

Efecto: eBox solicita permiso para realizar algunas acciones.

2. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.


3. Acción:

Crear un servicio interno a través de Servicios con nombre netcat con puerto destino 6970.Seguidamente, ir a Cortafuegos → Filtrado de paquetes en Reglas de filtrado desde las

redes internas a eBox añadir la regla con, al menos, los siguientes campos:

• Decisión : ACEPTAR

• Fuente : Cualquiera

• Servicio : netcat . Creado en esta acción.

Una vez hecho esto. Guardar cambios para confirmar la configuración.

Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que

permiten conectarse al mismo.

4. Acción: Lanzar desde la consola de eBox el siguiente comando:

nc -l -p 6970

5. Acción: Desde la máquina cliente comprobar que hay acceso a dicho servicio usando el co-

mando nc:

nc <ip_eBox> 6970

Efecto Puedes enviar datos que serán visto en la terminal donde hayas lanzado netcat eneBox.

65




3.3 Encaminamiento

3.3.1 Tablas de encaminamiento

El término encaminamiento hace referencia a la acción de decidir a través de qué interfaz debe ser

enviado un determinado paquete que va a salir desde una máquina. El sistema operativo cuenta con

una tabla de encaminamiento con un conjunto de reglas para tomar esta decisión.

Cada una de estas reglas cuenta con diversos campos, pero los tres más importantes son: di-

rección de destino, interfaz y router. Se deben de leer como sigue: para llegar a una dirección de

destino dada, tenemos que dirigir el paquete a través de un router, el cual es accesible a través de

una determinada interfaz.

Cuando llega un mensaje, se compara su dirección destino con las entradas en la tabla y se

envía por la interfaz indicada en la regla cuya dirección mejor coincide con el destino del paquete,

es decir, aquella regla que es más específica. Por ejemplo, si se especifica una regla en la que para

alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B

(10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino

10.15.23.23/32, entonces el sistema operativo decidirá que se envíe al router B ya que existe una

regla más específica.

Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback ,o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o

con Internet.

Para realizar la configuración manual de una tabla de rutas estáticas se utiliza Red → Rutas

(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el

protocolo DHCP.

Puerta de enlace

A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, éste

se enviará a través de la puerta de enlace.

La puerta de enlace (gateway ) es la ruta por omisión para los paquetes que se envían a otras

redes.

Para configurar una puerta de enlace se utiliza Red → Puertas de enlace .

66




Figure 3.8: Configuración de rutas

Habilitado: Indica si realmente esta puerta de enlace es efectiva o está desactivada.

Nombre: Nombre por el que identificaremos a la puerta de enlace.

Dirección IP: Dirección IP de la puerta de enlace. Esta dirección debe ser accesible desde la

máquina que contiene eBox.

Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de

enlace se enviarán a través de esta interfaz.

Peso: Cuanto mayor sea el peso, más tráfico absorberá esa puerta de enlace cuando esté activado

el balanceo de carga.

Default: Si está activado, se toma esta como la puerta de enlace por omisión.

67




Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puertas de enlace

explíticamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden

seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden

editar el resto de los atributos.

Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE

Ejemplo práctico A

Vamos a configurar la interfaz de red de manera estática. La clase quedará dividida en dossubredes.

Para ello:

1. Acción: Acceder a la interfaz de eBox, entrar en Red → Interfaces y seleccionar para el

interfaz de red eth0 el método Estático . Como dirección IP introducir la que indique el

instructor. Como Máscara de red 255.255.255.0. Pulsar el botón Cambiar.

La dirección de red tendrá la forma 10.1.X.Y, dónde 10.1.X corresponde con la red e Y con la

máquina. En adelante usaremos estos valores.

Entrar en Red → DNS y seleccionar Añadir. Introducir como Servidor de nombres 10.1.X.1.

Pulsar Añadir.

Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos

introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el

servidor recién creado.


Efecto: eBox muestra el progreso mientras aplica los cambios.

68




3. Acción: Acceder a Red → Diagnóstico . Hacer ping a ebox-platform.com.

Efecto: Se muestra como resultado:

connect: Network is unreachable

4. Acción: Acceder a Red → Diagnóstico . Hacer ping a una eBox de un compañero de aula que

forme parte de la misma subred.



esté en la otra subred.



Ejemplo práctico B

Vamos a configurar una ruta para poder acceder a máquinas de otras subredes.

Para ello:

1. Acción: Acceder a la interfaz de eBox, entrar en Red → Rutas y seleccionar Añadir nuevo.

Rellenar el formulario con los siguientes valores:

Network 10.1.X.0 / 24

Gateway 10.1.1.1

Description Ruta a la otra subred

Pulsar el botón Añadir.

Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de rutas en la quese incluye la ruta recién creada.



3. Acción: Acceder a Red → Diagnóstico . Hacer ping a ebox-platform.com.


69








Ejemplo práctico C

Vamos a configurar una puerta de enlace que nos conecte con el resto de redes.

Para ello:

1. Acción: Acceder a la interfaz de eBox, entrar en Red → Rutas y eliminar la ruta creada en el

ejercicio anterior.

Entrar en Red → Puertas de enlace y selecciona Añadir nuevo. Rellenar con los siguientes

datos:

Nombre Default Gateway

IP Address 10.1.X.1

Interface eth0

Weight 1

Default sí


Efecto: Se ha activado el botón Guardar Cambios. Ha desaparecido la lista de rutas. Ha

aparecido una lista de puertas de enlace con la puerta de enlace recién creada.


Efecto: eBox muestra el progreso mientras aplica los cambios.3. Acción: Acceder a Red → Diagnóstico . Hacer ping a ebox-platform.com.





70




3.3.2 Reglas multirouter y balanceo de carga

Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias

conexiones a Internet de una manera transparente. Esto es útil si, por ejemplo, una oficina dispone

de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin

tener que preocuparnos de repartir el trabajo manualmente de las máquinas entre ambos routers , de

tal manera que la carga se distribuya automáticamente entre ellos.

El balanceo de carga básico reparte de manera equitativa los paquetes que salen de eBox hacia

Internet . La forma más simple de configuración es establecer diferentes pesos para cada router , de

manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacerun uso óptimo de ellas.

Las reglas multirouter permiten hacer que determinado tipo de tráfico se envíe siempre por el

mismo router en caso de que sea necesario. Ejemplos comunes son enviar siempre el correo elec-

trónico por un determinado router o hacer que una determinada subred siempre salga a Internet por

el mismo router .

eBox utiliza las herramientas iproute2 e iptables para llevar a cabo la configuración necesaria

para la funcionalidad de multirouter . Mediante iproute2 se informa al kernel de la disponibilidad

de varios routers . Para las reglas multirouter se usa iptables para marcar los paquetes que nos

interesan. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que

un paquete dado debe ser enviado.

Hay varios posibles problemas que hay que tener en cuenta. En primer lugar en iproute2 no existe

el concepto de conexión, por lo que sin ningún otro tipo de configuración los paquetes pertenecientes

a una misma conexión podrían acabar siendo enviados por diferentes routers , imposibilitando la co-

municación. Para solucionar esto se utiliza iptables para identificar las diferentes conexiones y ase-

gurarnos que todos los paquetes de una conexión se envían por el mismo router .

Lo mismo ocurre con las conexiones entrantes que se establecen, todos los paquetes de re-

spuesta a una conexión deben ser enviados por el mismo router por el cual se recibió esa conexión.

Para establecer una configuración multirouter con balanceo de carga en eBox debemos definir

tantos routers como sean necesarios en Red → Puertas de enlace . Utilizando el parámetro peso enla configuración de un router podemos determinar la proporción de paquetes que cada uno de ellos

enviará. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente, por el

primer router se enviarán 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarán a

través del segundo.

71




Las reglas multirouter y el balanceo de tráfico se establecen en la sección Red →

Balanceo de tráfico . En esta sección podemos añadir reglas para enviar ciertos paquetes a un determinado

router dependiendo de la interfaz de entrada, la fuente (puede ser una dirección IP, un objeto, eBox

o cualquiera), el destino (una dirección IP o un objeto de red), el servicio al que se quiere asociar

esta regla y por cual de los routers queremos direccionar el tipo de tráfico especificado.

Ejemplo práctico D

Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona

utilizando la herramienta traceroute.

Para ello:

1. Acción: Ponerse por parejas, dejando una eBox con la configuración actual y añadiendo en la

otra un nuevo gateway , accediendo a través del interfaz a Red → Puertas de enlace y pulsando

en Añadir nuevo, con los siguientes datos:

Nombre Gateway 2

72




Dirección IP <IP eBox compañero>

Interfaz eth0

Peso 1

Predeterminado sí


Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de puertas de

enlace con la puerta de enlace recién creada y la puerta de enlace anterior.



3. Acción: Ir a una consola y ejecutar el siguiente script :

for i in $(seq 1 254); do sudo traceroute -I -n 155.210.33.$i -m 6;

Efecto: El resultado de una ejecución de traceroute muestra los diferentes routers por los

que un paquete pasa para llegar a su destino. Al ejecutarlo en una máquina con configu-

ración multirouter el resultado de los primeros saltos entre routers debería ser diferente

dependiendo del router elegido.

3.3.3 Tolerancia a fallos (WAN Failover)

Si se está balanceando tráfico entre dos o más routers esta característica es realmente útil. En un

escenario normal sin tolerancia a fallos, supóngase que se está balanceando el tráfico entre dos

routers y uno de ellos se cae. Asumiendo que los dos routers tengan el mismo peso, la mitad del

tráfico seguiría intentando salir por el router caído, causando problemas de conectividad a todos los

clientes de la red.

En la configuración del failover se pueden definir conjuntos de reglas para cada router que nece-

site ser comprobado. Estas reglas pueden ser un ping al router , a una máquina externa, una resolu-

ción de DNS o una petición HTTP. También se puede definir cuántas pruebas se quieren realizar así

como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje

de aceptación, el router asociado a ella será desactivado. Pero las pruebas se siguen ejecutando, por

tanto, en cuanto el router vuelva a estar operativo, todas las pruebas se ejecutarán satisfactoriamente

y el router será activado de nuevo.

73




Deshabilitar un router sin conexión tiene como consecuencia que todo el tráfico salga por el otro

router que sigue habilitado, en lugar de ser balanceado. De esta forma, los usuarios de la red no

deberían sufrir problemas con su conexión a Internet . Una vez que eBox detecta que el router caído

está completamente operativo se restaura el comportamiento normal de balanceo de tráfico.

El failover está implementado como un evento de eBox. Para usarlo, primero se necesita tener el

módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover. 4

Para configurar las opciones y reglas del failover se debe acudir al menú Red → WAN Failover .

Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones.

Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulariocon los siguientes campos:

Habilitado: Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de

los routers . Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las

necesidades, sin tener que borrarlas y añadirlas de nuevo.

4 Para más detalles acerca de cómo funcionan y como se configuran los eventos en eBox se puede consultar el capítulo

Incidencias (eventos y alertas).

74




Router: Se encuentra previamente rellenado con la lista de routers configurados, sólo se necesita

seleccionar uno de ellos.

Tipo de prueba: Puede tomar uno de los siguientes valores:

Ping a puerta de enlace: Envía un paquete ICMP echo con la dirección de la puerta de en-

lace como destino.

Ping a máquina: Envía un paquete ICMP echo con la dirección IP de la máquina externa

especificada abajo como destino.

Resolución DNS: Intenta obtener la dirección IP para el nombre de máquina especificado

abajo.

Petición HTTP: Se descarga el contenido del sitio web especificado abajo.

Máquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping

a puerta de enlace.

Número de pruebas: Número de veces que se repite la prueba.

Ratio de éxito requerido: Indica que proporción de intentos satisfactorios es necesaria para consid-

erar correcta la prueba.

Se recomienda configurar un emisor de eventos para estar al tanto de las conexiones y desconex-

iones de routers que puedan producirse. Si no se hace esto, los eventos serán registrados solamenteen el fichero /var/log/ebox/ebox.log .

3.4 Moldeado de tráfico

3.4.1 Calidad de servicio (QoS)

La calidad de servicio (Quality of Service , QoS) en redes de computadores se refiere a los mecan-

ismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de

datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impues-

tas por la aplicación. Restricciones como el retraso en la entrega, la tasa de bit , la probabilidad de

pérdida de paquetes o la variación de retraso por paquete 5 pueden estar fijadas por diversas aplica-

ciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos sólo aplican cuando

5 jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes

seleccionados de un flujo.

75




los recursos son limitados (redes inalámbricas celulares) o cuando hay congestión en la red, en caso

contrario no se deberían aplicarse dichos mecanismos.

Existen diversas técnicas para dar calidad de servicio:

Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para

pedir y reservar espacio en los encaminadores. Sin embargo, esta opción se ha relegado

ya que no escala bien en el crecimiento de Internet.

Uso de servicios diferenciados (DiffServ ): Mediante el marcado de paquetes dependiendo el ser-

vicio al que sirven. Dependiendo de las marcas, los encaminadores usarán diversas técnicas

de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta técnica está actual-mente aceptada.

Como añadido a estos sistemas, existen mecanismos de gestión de ancho de banda para mejorar

la calidad de servicio basada en el moldeado de tráfico, algoritmos de scheduling o evitación de

la congestión.

Para el moldeado de tráfico existen básicamente dos algoritmos:

Token bucket : Dicta cuando el tráfico puede transmitirse, basado en la presencia de tokens en el

bucket (sitio virtual donde almacenar tokens ). Cada token es una unidad de Bytes determi-

nada, así cada vez que se envían datos, se consumen tokens , cuando no hay tokens no es

posible transmitir datos. Se proveen tokens periódicamente a cada uno de los buckets . Conesta técnica se permite el envío de datos en períodos de alta demanda 6.

Leaky bucket : Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket

hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a

una tasa continua y estable a través de dicho agujero.

3.4.2 Configuración de la calidad de servicio en eBox

eBox utiliza las capacidades del núcleo de Linux 7 para hacer moldeado de tráfico usando token bucket

que permite una tasa garantizada, limitada y una prioridad a determinados tipos de flujos de datos

(protocolo y puerto) a través del menú Moldeado de tráfico → Reglas .

Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y

una interfaz externa. También debe existir un router . Además debemos configurar las tasas de subida

y bajada de los routers en Moldeado de tráfico → Tasas de Interfaz , estableciendo el ancho de banda

6 Término conocido como burst .7 Linux Advanced Routing & Traffic Control http://lartc.org

76

http://lartc.org/

http://lartc.org/




que nos proporciona cada router que está conectado a una interfaz externa. Las reglas de moldeado

son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda

asignado y a todas las interfaces internas.

Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de eBox hacia

Internet. En cambio, si se moldea la interfaz interna, entonces se estará limitando la salida de eBox

hacia sus redes internas. El límite máximo de tasa de salida y entrada viene dado por la configuración

en Moldeado de tráfico → Tasas de Interfaz . Como se puede observar, no se puede moldear el tráfico

entrante en sí, eso es debido a que el tráfico proveniente de la red no es predecible y controlable de

casi ninguna forma. Existen técnicas específicas a diversos protocolos para tratar de controlar el

tráfico entrante a eBox, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de flujode la conexión TCP o controlando la tasa de confirmaciones ( ACK ) devueltas al emisor.

Para cada interfaz se pueden añadir reglas para dar prioridad (0: máxima prioridad, 7: mínima

prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarán al tráfico determinado por el

servicio, origen y destino del flujo.

Figure 3.10: Reglas de moldeado de tráfico

Ejemplo práctico

Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Comprobar su fun-

cionamiento.

1. Acción: Añadir un router a través de Red → Routers a tu interfaz de red externo.

Efecto: Se ha activado el botón Guardar Cambios. La lista de puertas de enlace contiene un

único router.


77





3. Acción: Acceder de nuevo a la interfaz de eBox y añadir en Servicios un servicio llamado

HTTP con protocolo TCP, tipo externo y puerto de destino simple 80.

Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio

HTTP.

4. Acción: Ir a la entrada Moldeado de tráfico → Reglas . Seleccionar la interfaz interna en la

lista de interfaces y pulsar en Añadir nuevo para añadir una nueva regla con los siguientes

datos:

Habilitada Sí

Servicio Servicio basado en puerto / HTTP

Origen cualquiera

Destino cualquiera

Prioridad 7

Tasa garantizada 0 Kb/s

Tasa limitada 160 Kb/s


Efecto: eBox muestra una tabla con la nueva regla de moldeado de tráfico.

5. Acción: Comenzar a descargar desde una máquina de tu LAN (distinta de eBox) usando el

comando wget un fichero grande accesible desde Internet (por ejemplo, una imagen ISO de

Ubuntu).

Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s).

3.5 RADIUS

RADIUS (Remote Authentication Dial In User Service ) es un protocolo de red que proporciona aut-

enticación, autorización y gestión de la tarificación, en inglés AAA (Authentication , Authorization and

Accounting ) para ordenadores que se conectan y usan una red.

El flujo de autenticación y autorización en RADIUS funciona de la siguiente manera: el usuario

o máquina envía una petición a un NAS (Network Access Server ) como podría ser un punto de

78




acceso inalámbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red uti-

lizando los credenciales de acceso. En respuesta, el NAS envía un mensaje Access Request al

servidor RADIUS solicitando autorización para acceder a la red, incluyendo todos los credenciales

de acceso necesarios, no solo nombre de usuario y contraseña, pero probablemente también realm ,

dirección IP, VLAN asignada y tiempo máximo que podrá permanecer conectado. Esta información

se comprueba utilizando esquemas de autenticación como Password Authentication Protocol (PAP),

Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP) 8

y se envía una respuesta al NAS :

Access Reject : Cuando se deniega el acceso al usuario.

Access Challenge : Cuando se solicita información adicional, como en TTLS donde un diálogo através de un túnel establecido entre el servidor RADIUS y el cliente realiza una segunda aut-

enticación.

Access Accept : Cuando se autoriza el acceso al usuario.

Los puertos oficialmente asignados por el IANA son 1812/UDP para autenticación y 1813/UDP

para tarificación. Este protocolo no transmite las contraseñas en texto plano entre el NAS y el servidor

(incluso utilizando el protocolo PAP) ya que existe una contraseña compartida que cifra la comuni-

cación entre ambas partes.

El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en eBox.

3.5.1 Configuración del servidor RADIUS con eBox

Para configurar el servidor RADIUS en eBox, primero comprobaremos en Estado del Módulo si Usuar-

ios y Grupos está habilitado, ya que RADIUS depende de él. Entonces marcaremos la casilla RA-

DIUS para habilitar el módulo de eBox de RADIUS.

Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos definir si

Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán

acceder al servicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a eBox deben ser

especificados en Clientes RADIUS. Para cada uno podemos definir:

Habilitado: Indicando si el NAS está habilitado o no.

Cliente: El nombre para este cliente, como podría ser el nombre de la máquina.

8 Estos protocolos de autenticación están definidos en RFC 1334.9 FreeRADIUS - El servidor RADIUS más popular del mundo <http://freeradius.org/ >.

79



http://freeradius.org/

http://freeradius.org/





Figure 3.11: Configuración general de RADIUS

Dirección IP: La dirección IP o el rango de direcciones IP a las que se permite enviar peticiones al

servidor RADIUS.

Contraseña compartida: Contraseña compartida entre el servidor RADIUS y el NAS para autenticar

y cifrar sus comunicaciones.

3.5.2 Configuración del Punto de Acceso

En cada dispositivo NAS necesitaremos configurar la dirección de eBox como el servidor RADIUS,

el puerto, normalmente el UDP/1812, y la contraseña compartida. Tanto WPA como WPA2 , usando

TKIP o AES (recomendado) pueden usarse con eBox RADIUS. El modo deberá ser EAP .

3.6 Servicio Proxy HTTP

Un servidor Proxy Caché Web se utiliza para reducir el consumo de ancho de banda en una conexión

HTTP (Web) 10, controlar su acceso, mejorar la seguridad en la navegación e incrementar la velocidad

de recepción de páginas de la red.

Un proxy es un programa que actúa de intermediario en la conexión a un protocolo, en este

caso el protocolo HTTP. Al intermediar puede modificar el comportamiento del protocolo, por ejemplo

actuando de caché o modificando los datos recibidos.

10 Para más información sobre el servicio HTTP, ir a la sección Servicio de publicación de información web (HTTP).

80




Figure 3.12: Configuración del Punto de Acceso

81




El servicio de proxy HTTP suministrado por eBox ofrece las siguientes funcionalidades:

• Actúa de caché de contenidos acelerando la navegación y reduciendo el consumo de ancho

de banda.

• Restricción de acceso dependiendo de la dirección de red de origen, de usuario o de horario.

• Anti-virus, bloqueando el acceso a contenidos infectados.

• Restricción de acceso a determinados dominios y tipos de fichero.

• Filtrado de contenidos.

eBox utiliza Squid 11 como proxy , apoyándose en Dansguardian 12 para el control de contenidos.

3.6.1 Configuración de política de acceso

La parte más importante de configurar el proxy HTTP es establecer la política de acceso al contenido

web a través de él. La política determina si se puede acceder a la web y si se aplica del filtro decontenidos.

El primer paso a realizar es definir una política global de acceso. Podemos establecerla en la

sección Proxy HTTP → General , seleccionando una de las seis políticas disponibles:

11 Squid: http://www.squid-cache.org Squid Web Proxy Cache 12 Dansguardian: http://www.dansguardian.org Web content filtering

82

http://www.squid-cache.org/

http://www.dansguardian.org/

http://www.dansguardian.org/

http://www.squid-cache.org/




Permitir todo: Con esta política se permite a los usuarios navegar sin restricciones. Esta falta de

restricciones no significa que no puedan disfrutar de las ventajas de la caché de páginas web.

Denegar todo: Esta política deniega el acceso web. A primera vista podría parecer poco útil ya que el

mismo efecto se puede conseguir más fácilmente con una regla de cortafuegos. Sin embargo,

como explicaremos posteriormente podemos establecer políticas particulares para cada objeto

de red , pudiendo usar esta política para denegar por defecto y luego aceptar las peticiones

web para determinados objetos.

Filtrar: Esta política permite el acceso y activa el filtrado de contenidos que puede denegar el acceso

web según el contenido solicitado por los usuarios.

Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas políticas son ver-

siones de las políticas anteriores que incluyen autorización. La autorización se explicará en

la sección Configuración Avanzada para el proxy HTTP .

Tras establecer la política global, podemos refinar nuestra política asignando políticas par ticulares

a objetos de red. Para asignarlas entraremos en la sección Proxy HTTP → Política de objetos .

Podremos elegir cualquiera de las seis políticas para cada objeto; cuando se acceda al proxy

desde cualquier miembro del objeto esta política tendrá preferencia sobre la política global. Una

dirección de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los

objetos para reflejar la prioridad. Se aplicará la política del objeto de mayor prioridad que contenga la

dirección de red. Además existe la posibilidad de definir un rango horario fuera del cual no se permitira

acceso al objeto de red.

83




Warning: La opción de rango horario no es compatible para políticas que usen filtrado de con-

tenidos.

Figure 3.13: Políticas de acceso web para objetos de red

3.6.2 Conexión al proxy y modo transparente

Para conectar al proxy HTTP, los usuarios deben configurar su navegador estableciendo eBox como

proxy web . El método específico depende del navegador, pero la información necesaria es la direccióndel servidor de eBox y el puerto donde acepta peticiones el proxy .

El proxy de eBox Platform únicamente acepta conexiones provenientes de sus interfaces de red

internas, por tanto, se debe usar una dirección interna en la configuración del navegador.

El puerto por defecto es el 3128, pero se puede configurar desde la sección Proxy HTTP →

General . Otros puertos típicos para servicios de proxy web son el 8000 y el 8080.

Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy , de-

beríamos tener denegado el tráfico HTTP en nuestro cortafuegos.

Una manera de evitar la necesidad de configurar cada navegador es usar el modo transpar-

ente. En este modo, eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia

las redes externas a eBox (Internet) serán redirigidas al proxy . Para activar este modo debemos ir

a la página Proxy HTTP → General y marcar la opción proxy transparente. Como veremos en

Configuración Avanzada para el proxy HTTP , el modo transparente es incompatible con políticas que

requieran autorización.

84




Por último, hay que tener en cuenta que el tráfico Web seguro (HTTPS) no puede ser filtrado al

estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos

para las redes internas hacia Internet dando acceso garantizado al tráfico HTTPS.

3.6.3 Control de parámetros de la caché

En el apartado Proxy HTTP → General es posible definir el tamaño de la caché en disco y qué

direcciones están exentas de su uso.

El tamaño de la caché controla el máximo de espacio usado para almacenar los elementos webcacheados. El tamaño se establece en el campo Tamaño de ficheros de caché que se puede

encontrar bajo el encabezado Configuración General.

Con un mayor tamaño se aumentará la probabilidad de que se pueda recuperar un elemento

desde la caché , pudiendo incrementar la velocidad de navegación y reducir el uso de ancho de banda.

Sin embargo, el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de

espacio usado en el disco duro sino también un aumento en el uso de la memoria RAM, ya que la

caché debe mantener índices a los elementos almacenados en el disco duro.

Corresponde a cada administrador decidir cual es el tamaño óptimo para la caché teniendo en

cuenta las características de la máquina y el tráfico web esperado.

Es posible indicar dominios que estén exentos del uso de la caché . Por ejemplo, si tenemos

servidores web locales no se acelerará su funcionamiento usando la caché HTTP y se malgastaría

memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la

caché , cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán

directamente los datos recibidos desde el servidor sin almacenarlos.

Dichos dominios se definen bajo el encabezado Excepciones a la caché que podemos encontrar

en la sección Proxy HTTP → General .

3.6.4 Filtrado de contenidos web

eBox permite el filtrado de páginas web según su contenido. Para que el filtrado tenga lugar la política

global o la particular de cada objeto desde que se accede deberá ser de Filtrar o Autorizar y Filtrar.

Con eBox se pueden definir múltiples perfiles de filtrado pero sólo trataremos en esta sección el

perfil por defecto, dejando la discusión de múltiples perfiles para la sección Configuración Avanzada

para el proxy HTTP . Para configurar las opciones de filtrado, iremos a Proxy HTTP → Perfiles de

Filtrado y seleccionaremos la configuración del perfil por defecto

85




El filtrado de contenidos de la páginas Web se basa en diferentes métodos incluyendo marcado

de frases clave, filtrado heurístico y otros filtros más sencillos. La conclusión final es determinar si unapágina puede ser visitada o no.

El primer filtro es el anti-virus. Para poder utilizarlo debemos tener el módulo de antivirus insta-

lado y activado. Podemos configurar si deseamos activarlo o no. Si está activado se bloqueará el

tráfico HTTP en el que sean detectados virus.

El filtro de contenidos principalmente consiste en el análisis de los textos presentes en las paginas

web, si se considera que el contenido no es apropiado (pornografía, violencia, etc) se bloqueará el

acceso a la página.

Para controlar este proceso se puede establecer un umbral más o menos restrictivo, siendo este

el valor que se comparará con la puntuación asignada a la página para decidir si se bloquea o no. Ellugar donde establecer el umbral es la sección Umbral de filtrado de contenido. También se puede

desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este análisis

se puede llegar a bloquear paginas inocuas, este problema se puede remediar añadiendo dominios a

una lista blanca, pero siempre existirá el riesgo de un falso positivo con páginas desconocidas.

Existen otro tipo de filtros de carácter explícito:

• Por dominio: Prohibiendo el acceso a la página de un diario deportivo en una empresa.

• Por extensión del fichero a descargar.

• Por tipo de contenidos MIME: Denegando la descarga de todos los ficheros de audio o vídeo.

Estos filtros están dispuestos en la interfaz por medio de las pestañas Filtro de extensiones de

fichero, Filtro de tipos MIME y Filtro de dominios,

86




En la pestaña de Filtro de extensiones de fichero se puede seleccionar que extensiones serán

bloqueadas.

De manera similar en Filtro de tipos MIME se puede indicar qué tipos MIME se quieren bloquear

y añadir otros nuevos si es necesario. Los tipos MIME (Multipurpose Internet Mail Extensions ) son

un estándar, concebido para extender las capacidades del correo electrónico, que define los tipos de

contenidos. Estos también se usan en otros protocolos como el HTTP para determinar el contenido

de los ficheros que se transmiten. Un ejemplo de tipo MIME es text/html que son las páginas Web . El

primero de los elementos determina el tipo de contenido que almacena (texto, vídeo, audio, imagen,

binario, ...) y el segundo el formato específico para representar dicho contenido (HTML, MPEG, gzip,

...).

En la pestaña de Filtro de dominios encontraremos los parametros que controlan el filtrado de

paginas en base al dominio al que pertenecen. Existen dos opciones de carácter general:

87




• Bloquear dominios especificados sólo como IP, esta opción bloquea cualquier dominio es-

pecificado únicamente por su IP asegurándonos así que no es posible encontrar una manera

de saltarse nuestras reglas mediante el uso de direcciones IP.

• Bloquear dominios no listados, esta opción bloquea todos los dominios que no estén pre-

sentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas

de dominios. En este último caso, las categorias con una política de Ignorar no son consider-

adas como listadas.

A continuación tenemos, la lista de dominios, donde podemos introducir nombres de dominio y

seleccionar una política para ellos entre las siguientes:

Permitir siempre: El acceso a los contenidos del dominio será siempre permitido, todos los filtros del

filtro de contenido son ignorados.

Denegar siempre: El acceso nunca se permitirá a los contenidos de este dominio.

Filtrar: Se aplicarán las reglas usuales a este dominio. Resulta útil si está activada la opción Blo-

quear dominios no listados.

En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del admin-

istrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceras

88




partes y tienen la ventaja de que los dominios están clasificados por categorías, permitiéndonos se-

leccionar una política para una categoría entera de dominios. eBox soporta las listas distribuidas por

urlblacklist 13, shalla’s blacklists 14 y cualquiera que use el mismo formato.

Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo,

podemos incorporarlo a nuestra configuración y establecer políticas para las distintas categorías de

dominios.

Las políticas que se pueden establecer en cada categoría son las mismas que se pueden asig-

nar a dominios y se aplican a todos los dominios presentes en dicha categoría. Existe una política

adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categoría a la

hora de filtrar. Dicha política es la elegida por defecto para todas las categorías.

Ejemplo práctico

Activar el modo transparente del proxy . Comprobar usando los comandos de iptables las reglas de

NAT que ha añadido eBox para activar este modo

Para ello:

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Proxy HTTP, para

ello marcar su casilla en la columna Estado.


13 URLBlacklist: http://www.urlblacklist.com14 Shalla’s blacklist: http://www.shallalist.de

89

http://www.urlblacklist.com/

http://www.shallalist.de/

http://www.shallalist.de/

http://www.urlblacklist.com/







3. Acción: Ir a Proxy HTTP → General , activar la casilla de Modo transparente. Asegurarnos

que eBox puede actuar como router , es decir, que haya al menos una interfaz de red externa y

otra interna.

Efecto: El modo transparente está configurado

4. Acción: Guardar cambios para confirmar la configuración

Efecto: Se reiniciarán los servicios de cortafuegos y proxy HTTP .

5. Acción: Desde la consola en la máquina en la que está eBox, ejecutar el comando

iptables -t nat -vL.

Efecto: La salida de dicho comando debe ser algo parecido a esto:

Chain PREROUTING (policy ACCEPT 7289 packets, 1222K bytes)

pkts bytes target prot opt in out source destinati

799 88715 premodules all -- any any anywhere anywhere

Chain POSTROUTING (policy ACCEPT 193 packets, 14492 bytes)pkts bytes target prot opt in out source destinatio

29 2321 postmodules all -- any any anywhere anywhere

0 0 SNAT all -- any eth2 !10.1.1.1 anywhere t

Chain OUTPUT (policy ACCEPT 5702 packets, 291K bytes)

pkts bytes target prot opt in out source destinatio

Chain postmodules (1 references)

pkts bytes target prot opt in out source destinatio

Chain premodules (1 references)pkts bytes target prot opt in out source destinatio

0 0 REDIRECT tcp -- eth3 any anywhere !192.168.45.2

90



Chapter 4

eBox Office

Uno de los fundamentos de la creación de las redes de computadores, fue la compartición de recursos

y de información 1. A lo largo de todo este capítulo, se van a ir explorando los diferentes recursos de

información disponibles en una red de área local dispuesta en casa o en la oficina.

La gestión de usuarios y grupos a través de un servicio de directorio para todos los servicios

de la red de forma unificada, el empleo de ficheros e impresoras compartidas, además de todos los

servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado.

4.1 Servicio de directorio (LDAP)

Para almacenar y organizar la información relativa a organizaciones (en nuestro caso, usuarios y gru-

pos) se utilizan los servicios de directorio. Estos permiten a los administradores de la red manejar

el acceso a los recursos por parte de los usuarios añadiendo una capa de abstracción entre ambos.

Este servicio da una interfaz de acceso a la información. También actúa como una autoridad central y

común a través de la cual los usuarios se pueden autenticar de manera segura.

Se podría hacer la analogía entre un servicio de directorio y las páginas amarillas. Entre suscaracterísticas destacan:

• La información es muchas más veces leída que escrita.

• Estructura jerárquica que simula la arquitectura de las organizaciones.

1 De hecho, se considera la motivación principal de su creación.

91




• A cada clase de objeto, estandarizada por la IANA 2, se le definen unas propiedades sobre las

cuales se pueden definir listas de control de acceso (ACLs).

Existen múltiples implementaciones del servicio de directorio entre las que destacamos NIS,

OpenLDAP, ActiveDirectory, etc. eBox usa OpenLDAP como servicio de directorio con tecnología

Samba para controlador de dominios Windows además de para la compartición de ficheros e impre-

soras.

4.1.1 Usuarios y grupos

Normalmente, en la gestión de una organización de mayor o menor tamaño existe la concepción

de usuario o grupo. Para facilitar la tarea de administración de recursos compartidos se diferencia

entre entre usuarios y grupos de ellos. Cada uno de los cuales puede tener diferentes privilegios con

respecto a los recursos de la organización.

Gestión de los usuarios y grupos en eBox

Modos

Como se ha explicado, eBox está diseñada de manera modular, permitiendo al administrador

distribuir los servicios entre varias máquinas de la red. Para que esto sea posible, el módulo de

usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir

usuarios entre las diferentes eBoxes.

Por defecto y a no ser que se indique lo contrario en el menú Usuarios y Grupos → Modo ,

el módulo se configurará como un directorio LDAP maestro y el Nombre Distinguido (DN) 3 del

directorio se establecerá de acuerdo al nombre de la máquina. Si se desea configurar un DN diferente,

se puede hacer en la entrada de texto LDAP DN.

2 Internet Assigned Numbers Authority (IANA) es una organización que se encarga de la asignación de direcciones IP

públicas, nombres de dominio de máximo nivel (TLD), etc. http://www.iana.org/ 3 Cada entrada en un directorio LDAP tiene un identificador único llamado nombre distinguido que tiene similitudes

con el concepto de ruta completa de fichero en un sistema de ficheros.

92

http://www.iana.org/

http://www.iana.org/



CHAPTER 4. EBOX OFFICE

Otras eBoxes pueden ser configuradas para usar un maestro como fuente de sus usuarios, con-

virtiéndose así en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en

Usuarios y Grupos →Modo . La configuración del esclavo necesita dos datos más, la IP o nombre de

máquina del directorio maestro y su clave de LDAP. Esta clave no es la de eBox, sino una generada

automáticamente al activar el módulo usuarios y grupos. Su valor puede ser obtenido en el campo

Contraseña de la opción de menú Usuarios y Grupos → Datos LDAP en la eBox maestra.

Hay un requisito más antes de registrar una eBox esclava en una eBox maestra. El maestro debe

de ser capaz de resolver el nombre de máquina del esclavo utilizando DNS. Hay varias maneras deconseguir esto. La más sencilla es añadir una entrada para el esclavo en el fichero /etc/hosts del

maestro. Otra opción es configurar el servicio DNS en eBox, incluyendo el nombre de máquina del

esclavo y la dirección IP.

Si el módulo cortafuegos está habilitado en la eBox maestra, debe ser configurado de manera

que permita el tráfico entrante de los esclavos. Por defecto, el cortafuegos prohíbe este tráfico, por lo

que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.

93




Una vez todos los parámetros han sido establecidos y el nombre de máquina del esclavo puede

ser resuelto desde el maestro, el esclavo puede registrarse en la eBox maestra habilitando el módulo

de usuarios y grupos en Estado de los módulos .

Los esclavos crean una réplica del directorio maestro cuando se registran por primera vez, que

se mantiene actualizada automáticamente cuando se añaden nuevos usuarios y grupos. Se puede

ver la lista de esclavos en el menú Usuarios y grupos → Estado de los esclavos de la eBox maestra.

Los módulos que utilizan usuarios como por ejemplo correo y compartición de ficheros pueden

instalarse ahora en los esclavos y utilizarán los usuarios disponibles en la eBox maestra. Algunos

módulos necesitan que se ejecuten algunas acciones cuando se añaden usuarios, como por ejemplocompartición de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro

notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a

los esclavos de ejecutar las acciones apropiadas.

Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno

de los esclavos está apagado. En ese caso, el maestro recordará que hay acciones pendientes que

deben realizarse y lo reintentará periódicamente. El usuario puede comprobar también el estado

de los esclavos en Usuarios y Grupos → Estado de Esclavo y forzar el reintento de las acciones

manualmente. Desde esta sección también es posible borrar un esclavo.

Hay una importante limitación en la arquitectura maestro/esclavo actual. El maestro eBox no

puede tener instalados módulos que dependan de usuarios y grupos, como por ejemplo compar-tición de ficheros o correo. Si el maestro tiene alguno de estos módulos instalados, deben ser

desinstalados antes de intentar registrar un esclavo en él.

Si en algún momento se desea cambiar el modo de operación del módulo usuarios y grupos, se

puede hacer ejecutando el script :

94




# sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall

Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los

usuarios y grupos actuales y reinstalando desde cero un directorio vacío que puede ser configurado

en un modo diferente.

Creación de usuarios y grupos

Se puede crear un grupo desde el menú Usuarios y Grupos → Grupos . Un grupo se identifica

por su nombre, y puede contener una descripción.

A través de Usuarios y Grupos → Grupos se pueden ver todos los grupos existentes para poder

editarlos o borrarlos.

Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, además

de la información que tiene que ver con aquellos módulos de eBox instalados que poseen alguna

configuración específica para los grupos de usuarios.

95




Entre otras cosas con grupos de usuarios es posible:

• Disponer de un directorio compartido entre los usuarios de un grupo.

• Dar permisos sobre una impresora a todos los usuarios de un grupo.

• Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo.

• Asignar permisos de acceso a las distintas aplicaciones de eGroupware a todos los usuarios

de un grupo.

Los usuarios se crean desde el menú Usuarios y Grupos → Usuarios , donde tendremos que

rellenar la siguiente información:

Nombre de usuario: Nombre que tendrá el usuario en el sistema, será el nombre que use para

identificarse en los procesos de autenticación.

Nombre: Nombre del usuario.

Apellidos: Apellidos del usuario.

Comentario: Información adicional sobre el usuario.

Contraseña: Contraseña que empleará el usuario en los procesos de autenticación. Esta información

se tendrá que dar dos veces para evitar introducirla incorrectamente.

Grupo: Es posible añadir el usuario a un grupo en el momento de su creación.

Desde Usuarios y Grupos → Usuarios se puede obtener un listado de los usuarios, editarlos o

eliminarlos.

96




Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre

del usuario, además de la información que tiene que ver con aquellos módulos de eBox instalados

que poseen alguna configuración específica para los usuarios. También se puede modificar la lista degrupos a los que pertenece.

Editando un usuario es posible:

• Crear una cuenta para el servidor Jabber.

• Crear una cuenta para la compartición de ficheros o de PDC con una cuota personalizada.

• Dar permisos al usuario para usar una impresora.

• Crear una cuenta de correo electrónico para el usuario y aliases para la misma.

• Asignar permisos de acceso a las distintas aplicaciones de eGroupware.

• Asignar una extensión telefónica a dicho usuario.

97




En una configuración maestro-esclavo, los campos básicos de usuarios y grupos se editan desde

el maestro, mientras que el resto de atributos relacionados con otros módulos instalados en un esclavo

dado se editan desde el mismo.

Rincón del Usuario

Los datos del usuario sólo pueden ser modificados por el administrador de eBox lo cual comienza a

ser no escalable cuando el número de usuarios que se gestiona comienza a ser grande. Tareas de

administración como cambiar la contraseña de un usuario puede hacer perder la mayoría del tiempo

del encargado de dicha labor. De ahí surge la necesidad del nacimiento del rincón del usuario. Dichorincón es un servicio de eBox para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe

ser habilitada como el resto de módulos. El rincón del usuario se encuentra escuchando en otro

puerto por otro proceso para aumentar la seguridad del sistema.

El usuario puede entrar en el rincón del usuario a través de:

https:/ / <ip_de_eBox>:<puerto_rincon_usuario>/

Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configu-

ración personal. Por ahora, la funcionalidad que se presenta es la siguiente:

• Cambiar la contraseña actual.

• Configuración del buzón de voz del usuario.

• Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido

en su cuenta del servidor de correo en eBox.

98




Ejemplo práctico A

Crear un grupo en eBox llamado contabilidad.

Para ello:

1. Acción: Activar el módulo usuarios y grupos. Entrar en Estado de los módulos y activar el

módulo en caso de que no esté habilitado.

Efecto: El módulo está activado y listo para ser usado.2. Acción: Acceder a Usuarios y Grupos → Grupos . Añadir contabilidad como grupo. El

parámetro comentario es opcional.

Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios

ya que las acciones sobre LDAP tienen efecto inmediato.

Ejemplo práctico B

Crear el usuario pedro y añadirlo al grupo contabilidad.

Para ello:

1. Acción: Acceder a Usuarios → Añadir usuario . Rellenar los distintos campos para nuestro

nuevo usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pantalla.

Efecto: El usuario ha sido añadido al sistema y al grupo contabilidad.

Comprobar desde consola que hemos añadido a nuestro usuario correctamente:

99




1. Acción: Ejecutar en la consola el comando:

# id pedro

Efecto: El resultado debería de ser algo como esto:

uid=2003(pedro) gid=1901(__USERS__)

groups=1901(__USERS__) ,2004(contabilidad)

4.2 Servicio de compartición de ficheros y de autenticación

4.2.1 Compartición de ficheros

La compartición de ficheros se realiza a través de un sistema de ficheros en red. Los principales sis-

temas existentes para ello son Network File System (NFS), de Sun Microsystems, que fue el primero

en crearse, Andrew File System (AFS) y Common Internet File System (CIFS) también conocido como

Server Message Block (SMB).

A los clientes se les da la abstracción de estar haciendo operaciones (creación, lectura, escritura)

sobre ficheros en un medio de almacenamiento de la misma máquina. Sin embargo, esta informaciónpuede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localización.

Idealmente, el cliente no debería saber si el fichero se almacena en la propia máquina o se dispersa

por la red. En realidad, eso no es posible debido a los retardos de la red y las cuestiones relacionadas

con la actualización concurrente de ficheros comunes y que no deberían interferir entre ellas.

4.2.2 SMB/CIFS y su implementación Linux Samba

El SMB (Server Message Block ) o CIFS (Common Internet File System ) se usa para compartir el

acceso a ficheros, impresoras, puertos serie y otra serie de comunicaciones entre nodos en una red

local. También ofrece mecanismos de autenticación entre procesos. Se usa principalmente entre

ordenadores Windows , sin embargo, existen implementaciones en otros sistemas operativos como

GNU/Linux a través de Samba que implementa los protocolos de los sistemas Windows utilizando

ingeniería inversa 4.

4 La ingeniería inversa trata de averiguar los protocolos de comunicación usando para ello únicamente sus mensajes.

100




Ante el auge de otros sistemas de compartición de ficheros, Microsoft decidió renombrar SMB a

CIFS añadiendo nuevas características como enlaces simbólicos y fuertes, mayores tamaños para los

ficheros y evitar el uso de NetBIOS 5 sobre el que SMB se basa.

4.2.3 Primary Domain Controller (PDC)

Un PDC es un servidor de dominios de versiones Windows NT previas a Windows 2000 . Un dominio,

según este entorno, es un sistema que permite el acceso restringido a una serie de recursos con el

uso de un única combinación nombre de usuario y contraseña. Por tanto, es posible utilizarlo para

permitir la entrada en el sistema con control de acceso remoto. PDC también ha sido recreado porSamba dentro del sistema de autenticación de SMB. En las versiones más modernas de Windows ha

pasado a denominarse simplemente Domain Controller .

4.2.4 eBox como servidor de ficheros

Nosotros nos vamos a aprovechar de la implementación de SMB/CIFS para Linux usando Samba

como servidor de ficheros y de autenticación de sistemas operativos Windows en eBox.

Los servicios de compartición de ficheros están activos cuando el módulo de Compartición de

ficheros esté activo, sin importar si la función de PDC esté activa.

Con eBox la compartición de ficheros está integrada con los usuarios y grupos. De tal manera

que cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartido

para todos sus usuarios.

El directorio personal de cada usuario es compartido automáticamente y solo puede ser accedido

por el correspondiente usuario.

También se puede crear un directorio compartido para un grupo desde Grupos → Editar grupo .

Todos los miembros del grupo tendrán acceso a ese directorio y podrán leer o escribir los ficheros y

directorios dentro de dicho directorio compartido.

5 NetBIOS (Network Basic Input/Output System ): API que permite la comunicación en una red de área local entre

ordenadores diferentes dando a cada máquina un nombre NetBIOS y una dirección IP correspondiente a un (posiblemente

diferente) nombre de máquina.

101




Ir a Compartir Ficheros → Configuración general para configurar los parámetros generales del

servicio de compartición de ficheros. Establecemos como dominio dónde se trabajará dentro de la

red local dentro de Windows , y como nombre NetBIOS el nombre que identificará a eBox dentro de

la red Windows . Se le puede dar una descripción larga para describir el dominio. Además se puede

establecer de manera opcional un límite de cuota. Con el Grupo Samba se puede opcionalmente

configurar un grupo exclusivo en el que sus usuarios tenga cuenta de compartición de ficheros en vez

de todos los usuarios, la sincronización se hace cada hora.

Para crear un directorio compartido, se accede a Compartir Ficheros → Directorios compartidos

y se pulsa Añadir nuevo.

Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos de-shabilitarlo para dejar de compartirlo manteniendo la configuración.

Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido.

Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio

dentro del directorio de eBox /home/samba/shares , o usar directamente una ruta existente del

sistema si se elige Ruta del sistema de ficheros.

102




Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los

elementos compartidos.

Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en

Añadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario

o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar

ficheros de cualquier otro usuario dentro de dicho directorio.

También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos →

Grupos . Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer

todos los ficheros en el directorio.

Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado Recy-

cleBin , se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros →

Papelera de Reciclaje . Si no se desea activar la papelera para todos los recursos compartidos, se

pueden añadir excepciones en la sección Recursos excluidos de la Papelera de Reciclaje. Tam-

bién se pueden modificar algunos otros valores por defecto para esta característica, como por ejemplo

el nombre del directorio, editando el fichero /etc/ebox/80samba.conf .

103




En Compartir ficheros → Antivirus existe también una casilla para habilitar o deshabilitar la

búsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones para aquel-

los en los que no se desee buscar. Nótese que para acceder la configuración del antivirus para el

módulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El

módulo antivirus de eBox debe estar así mismo instalado y habilitado.

4.2.5 Configuración de clientes SMB/CIFS

Una vez tenemos el servicio ejecutándose podemos compartir ficheros a través de Windows o

GNU/Linux.

Cliente Windows

A través de Mis sitios de red → Toda la red . Encontramos el dominio que hemos elegido

y después aparecerá la máquina servidora con el nombre seleccionado y podremos ver

sus recursos compartidos:

104




Cliente Linux

1. Konqueror (KDE)

En Konqueror basta con poner en la barra de búsqueda smb:// para ver la red de Windows

en la que podemos encontrar el dominio especificado:

2. Nautilus (Gnome)

105




En Nautilus vamos a Lugares → Servidores de Red → Red de Windows , ahí encontramos

nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos.

Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en lanavegación y para entrar en ellos se debe hacer directamente escribiendo la dirección en la

barra de búsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro , debería

introducir la siguiente dirección:

smb://<ip_de_ebox>/pedro

3. Smbclient

Además de las interfaces gráficas, disponemos un cliente de línea de comandos que funciona

de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de

ficheros, recoger información sobre ficheros y directorios, etc. Un ejemplo de sesión puede serel siguiente:

$ smbclient -U joe //192.168.45.90/joe

> get ejemplo

> put eaea

> ls

106




> exit

$ smbclient -U joe -L //192.168.45.90/

Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]

Sharename Type Comment

--------- ---- -------

_foo Disk

_mafia Disk

hp Printer

br Printer

IPC$ IPC IPC Service (eBox Samba Server)

ADMIN$ IPC IPC Service (eBox Samba Server)

joe Disk Home Directories

Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]

Server Comment

--------- -------

DME01 PC Verificaci

eBox-SMB3 eBox Samba Server

WARP-T42

Workgroup Master

--------- -------

eBox eBox-SMB3

GRUPO_TRABAJO POINTINICIOMS WARHOL

MSHOME SHINNER

WARP WARP-JIMBO

4.2.6 eBox como un servidor de autenticación

Para aprovechar las posibilidades del PDC como servidor de autenticación y su implementación

Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a través de Compartir ficheros

→ Configuración General .

107




Si la opción Perfiles Móviles está activada, el servidor PDC no sólo realizará la autenticación,

sino que también almacenará los perfiles de cada usuario. Estos perfiles contienen toda la información

del usuario, como sus preferencias de Windows , sus cuentas de correo de Outlook , o sus documentos.

Cuando un usuario inicie sesión, recibirá del servidor PDC su perfil. De esta manera, el usuario

dispondrá de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar

esta opción que la información de los usuarios puede ocupar varios GiB de información, el servidor

PDC necesitará espacio de disco suficiente. También se puede configurar la letra del disco al que se

conectará el directorio personal del usuario tras autenticar contra el PDC en Windows.

Es posible definir políticas para las contraseñas de los usuarios a través de Compartir ficheros →

PDC . Estas políticas suelen ser forzadas por la ley.

• Longitud mínima de contraseña.

• Edad máxima de contraseña. Dicha contraseña deberá renovarse tras superar los días con-

figurados.

• Forzar historial de contraseñas. Esta opción forzará a almacenar un máximo de contraseñas,

impidiendo que puedan ser repetidas en sucesivas modificaciones.

Estas políticas son únicamente aplicables cuando se cambia la contraseña desde Windows con

una máquina que está conectada a nuestro dominio. De hecho, Windows forzará el cumplimiento dedicha política al entrar en una máquina registrada en el dominio.

108




4.2.7 Configuración de clientes PDC

Para poder configurar la autenticación PDC en una máquina, se necesita utilizar una cuenta que tenga

privilegios de administrador en el servidor PDC. Esto se configura en Usuarios y Grupos → Usuarios

→ Cuenta de compartición de ficheros o de PDC . Adicionalmente, se puede establecer una Cuota

de disco.

Ahora vamos a otra máquina dentro de la misma red de área local (hay que tener en cuenta que

el protocolo SMB/CIFS funciona en modo difusión total) con un Windows capaz de trabajar con CIFS

(Ej. Windows XP Professional ). Allí, en Mi PC → Propiedades , lanzamos el asistente para asignaruna Id de red a la máquina. En cada pregunta se le da como nombre de usuario y contraseña la de

aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio

escrito en la configuración de Compartir Ficheros . El nombre de la máquina puede ser el mismo que

estaba, siempre y cuando no colisione con el resto de equipos a añadir al dominio. Tras finalizar el

asistente, se debe reiniciar la máquina.

109




Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecerá una

partición de red con una cuota determinada en la configuración de eBox.

4.3 Servicio de compartición de impresoras

Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos

para su uso, debemos tener accesibilidad a dicha impresora desde la máquina que contenga eBox

ya por conexión directa, puerto paralelo o USB 6, o a través de la red local. Además debemos cono-

cer información relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un

funcionamiento correcto.

Una vez tenemos todos los datos previos, se puede añadir una impresora a través de Impresoras → Añadir Impresora . Ahí se sigue un asistente en el que se irán introduciendo los datos necesarios

para su incursión en función de los datos entrantes.

En primer lugar, se establece un nombre significativo para la impresora y se configura el método

de conexión. Este método depende del modelo de impresora y de cómo esté conectada a nuestra

red. Los siguiente métodos de conexión están soportados por eBox:

6 Universal Serial Bus (USB) es un bus serie estándar para comunicación de dispositivos con la computadora.

110




Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo.

USB: Una impresora conectada al servidor eBox mediante el puerto USB.

AppSocket : Una impresora remota de red que se comunica con el protocolo AppSocket . A este

protocolo también se le conoce con el nombre de JetDirect .

IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse.

LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse.

Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo

Samba o Windows.

En función del método seleccionado, se deben configurar los parámetros de la conexión. Por

ejemplo, para una impresora en red, se debe establecer la dirección IP y el puerto de escucha de la

misma como muestra la imagen.

Posteriormente, en los siguientes cuatro pasos se debe delimitar qué controlador de impresora

debe usar eBox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controladorde impresora a utilizar y sus parámetros de configuración.

7 Internet Printing Protocol (IPP) es un protocolo de red para la impresión remota y para la gestión de cola de impresión.

Más información en RFC 2910.8 Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresión remota y el envío de

trabajos usando spooling a las impresoras para los sistemas Unix . Más información en RFC 1179.

111










Una vez finalizado el asistente, ya tenemos la impresora configurada. Por tanto, podremos obser-

var qué trabajos de impresión están pendientes o en proceso. También tendremos la posibilidad de

modificar alguno de los parámetros introducidos en el asistente a través de Impresoras → Gestionar

impresoras .

Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicional-mente podremos habilitar el demonio de impresión CUPS 9 que hará accesibles las impresoras medi-

ante IPP.

9 Common Unix Printing System (CUPS) es un sistema modular de impresión para sistemas Unix que permiten a una

máquina actuar de servidor de impresión, lo cual permite aceptar trabajos de impresión, su procesamiento y envío a la

impresora adecuada.

112




Figure 4.1: Gestión de impresoras

Si una impresora no está soportada por eBox, es decir, que eBox no dispone de los controladores

necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para añadir una

impresora por CUPS hay que habilitar su demonio de impresión como se muestra en la figura Gestión

de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede configurar a través de:

http://direccion_ebox:631

Una vez añadida la impresora a través de CUPS, eBox es capaz de exportarla usando el protocolo

de Samba para ello.

Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso adichos recursos a través de la edición del grupo o del usuario (Grupos → Editar Grupo → Impresoras

o Usuarios → Editar Usuario → Impresoras ).

113




4.4 Servicio de groupware

El groupware, también conocido como software colaborativo, es el conjunto de aplicaciones que

integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al

sistema desde distintas estaciones de trabajo de la red local o también desde cualquier punto del

mundo a través de Internet.

Algunas de las funciones más destacadas de las herramientas de groupware son:

• Comunicación entre los usuarios: correo, salas de chat , etc.

• Compartición de información: calendarios compartidos, listas de tareas, libretas de direcciones

comunes, base de conocimiento, compartición de ficheros, noticias, etc.

• Gestión de proyectos, recursos, tiempo, bugtracking , etc.

114




Existen en el mercado una gran cantidad de soluciones de groupware . Entre las opciones que

nos ofrece el Software Libre, una de las más populares es eGroupware 10 y es la seleccionada para

eBox Platform para implementar esta funcionalidad tan importante en el ámbito empresarial.

Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el

usuario no tenga que acceder a la configuración tradicional que ofrece eGroupware y pueda realizarlo

prácticamente todo desde el interfaz de eBox, salvo que necesite alguna personalización avanzada.

De hecho la contraseña para la configuración de eGroupware es auto-generada 11 por eBox y el

administrador debería usarla bajo su responsabilidad dado que si realiza una acción inapropiada el

módulo podría quedar mal configurado y en un estado inestable.

4.4.1 Configuración de servicio de groupware con eBox

La mayor parte de la configuración de eGroupware se realiza automáticamente al habilitar el módulo

y guardar los cambios. Sin requerir ninguna intervención adicional del usuario, eGroupware estará en

funcionamiento integrado con el servicio de directorio (LDAP) de eBox. Es decir, todos los usuarios

que sean añadidos en eBox a partir de ese momento podrán iniciar sesión en eGroupware sin requerir

ninguna otra acción especial.

Adicionalmente, podemos integrar el servicio de correo web (webmail ) que eGroupware nos pro-

porciona con el módulo de correo de eBox. Para ello lo único que hay que hacer es seleccionar undominio virtual previamente existente y tener habilitado el servicio de recepción de correo IMAP. Las

instrucciones relativas a la creación de un dominio de correo y configuración del servicio IMAP se

explican con detenimiento en el capítulo Servicio de correo electrónico (SMTP/POP3-IMAP4).

Para la selección del dominio que usará eGroupware accederemos a través de la pestaña Group-

ware → Dominio Virtual de Correo . El interfaz se muestra en la siguiente imagen, sólo tenemos

que seleccionar el dominio deseado y pulsar el botón Cambiar. Aunque como de costumbre esto no

tendrá efecto hasta que no pulsemos el botón Guardar Cambios.

10 eGroupware: An enterprise ready groupware software for your network http://www.egroupware.org11 Nota para usuarios avanzados de eGroupware: La contraseña se encuentra en el fichero /var/lib/ebox/conf/ebox-

egroupware.passwd y los nombres de usuario son admin y ebox para la configuración del encabezado y del dominiorespectivamente.

115

http://www.egroupware.org/

http://www.egroupware.org/




Para que nuestros usuarios puedan utilizar el servicio de correo tendrán que tener creadas susrespectivas cuentas en el mismo. En la imagen que se muestra a continuación ( Usuarios y Grupos →

Usuarios ) podemos ver que en la configuración de eGroupware se muestra un aviso indicando cuál

debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.

eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso

de cada usuario asignándole una plantilla de permisos, como se puede ver en la imagen anterior.

Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personal-

izadas.

La plantilla de permisos por defecto es útil si queremos que la mayoría de los usuarios del sistematengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que

preocuparnos de asignarle permisos, ya que éstos serán asignados automáticamente.

Para editar la plantilla por defecto accederemos a la pestaña Groupware → Aplicaciones prede-

terminadas , como se muestra en la imagen.

116




Para grupos reducidos de usuarios como es el caso de los administradores, podemos definir una

plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios.

Para definir una nueva plantilla debemos acceder a la pestaña Groupware → Plantillas definidas

por el usuario y pulsar en Añadir nueva. Una vez introducido el nombre deseado aparecerá en la

tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma análoga a

como se hace con la plantilla por defecto.

Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto, los cambios

sólo serán aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarán de

manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas

117




por el usuario, si existiesen usuarios con esa plantilla aplicada habría que editar las propiedades del

usuario y aplicarle nuevamente la misma plantilla después de modificarla.

Finalmente, cuando hayamos configurado todo, podemos acceder a eGroupware a través de la

dirección http://<ip_de_ebox>/egroupware utilizando el usuario y contraseña definidos en la interfaz

de eBox.

El manejo de eGroupware está fuera del alcance de este manual, para cualquier duda se debe

consultar el manual de usuario oficial de eGroupware. Este se encuentra disponible en Internet en su

página oficial y también está enlazado desde la propia aplicación una vez que estamos dentro.

Ejemplo práctico

Habilitar el módulo Groupware y comprobar su integración con el correo.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo Groupware, para

ello marca su casilla en la columna Estado. Nos informa de que se modificará la configuración

de eGroupware. Permitir la operación pulsando el botón Aceptar. Asegurarse de que se han

habilitado previamiente los módulos de los que depende (Correo, Webserver, Usuarios...).


2. Acción: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prác-

tico . En dicho ejemplo también se añade un usuario con su cuenta de correo correspondiente.

No son necesarios los pasos de ese ejemplo relativos a objetos o políticas de reenvío. Realizarsólo hasta el paso en que se añade el usuario.

Efecto: El usuario creado tiene una cuenta de correo válida.

3. Acción: Acceder al menú Correo → General y en la pestaña Opciones del servidor de

correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar.

118




Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden

los cambios.

4. Acción: Acceder al menú Groupware y en la pestaña Dominio Virtual de Correo seleccionar

el dominio creado anteriormente y pulsar Cambiar.


los cambios.



muestra.

A partir de ahora eGroupware se encuentra configurado correctamente para integrarse

con nuestro servidor IMAP.

6. Acción: Acceder a la interfaz de eGroupware (http:/ / <ip_de_ebox>/egroupware) con el usuario

que hemos creado anteriormente. Acceder a la aplicación de correo electrónico de eGroupware

y enviar un correo a nuestra propia dirección.

Efecto: Recibiremos el correo recién enviado en nuestro buzón de entrada.

119

http://slidepdf.com/






120



Chapter 5

eBox Unified Communications

En este apartado se van a ver los diferentes métodos de comunicación para compartir información

centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contraseña.

En primer lugar, se explica el servicio de correo electrónico, que permite su integración rápida

y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las últimas técnicas

disponibles para la prevención del correo basura.

En segundo lugar, el servicio de mensajería instántanea a través del estándar Jabber/XMPP. Estenos evita depender de empresas externas o de la conexión a Internet . Ofrece salas de conferencia

comunes y permite, mediante la utilización de cualquiera de los múltiples clientes disponibles, una

comunicación más rápida para los casos en que el correo no es suficiente.

Finalmente, veremos una introducción a la voz sobre IP, con la que cada persona puede tener una

extensión a la que llamar o hacer conferencias fácilmente. Adicionalmente, con un proveedor externo,

eBox es capaz de configurarse para conectarse a la red telefónica tradicional.

5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4)

El servicio de correo electrónico es un método de almacenamiento y envío 1 para la composición,

emisión, reserva y recepción de mensajes sobre sistemas de comunicación electrónicos.

1 Almacenamiento y envío: Técnica de telecomunicación en la cual la información se envía a una estación intermedia

que almacena y después envía la información a su destinatario o a otra estación intermedia.

121




5.1.1 Cómo funciona el correo electrónico en Internet

Figure 5.1: Diagrama correo electrónico Alice manda un correo a Bob

El diagrama muestra una secuencia típica de eventos que tienen lugar cuando Alice escribe un

mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la dirección de correo de

su destinatario.

1. Su MUA da formato al mensaje en un formato de Internet para el correo electrónico y usa el

protocolo Simple Mail Transfer Protocol (SMTP) que envía el mensaje a su agente de envío de

correos o Mail Transfer Agent (MTA).

2. El MTA mira en la dirección destino dada por el protocolo SMTP (no de la cabecera del men-

saje), en este caso [email protected], y hace una solicitud al servicio de nombres para saber la IP

del servidor de correo del dominio del destino (registro MX que vimos en el capítulo donde se

explicaba DNS).

3. El smtp.a.org envía el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el

buzón del usuario bob.

4. Bob obtiene el correo a través de su MUA, que recoge el correo usando el protocolo Post Office

Protocolo 3 (POP3).

Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo

de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer direc-

tamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios

gratuitos de correo vía Web .

122






CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

Por tanto, podemos ver como el envío y recepción de correos entre servidores de correo se realiza

a través de SMTP pero la obtención de correos por parte del usuario se realiza a través de POP3,

IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes

servidores y clientes de correo. Lamentablemente, también existen protocolos propietarios como los

que usan Microsoft Exchange o Lotus Notes de IBM.

POP3 vs. IMAP

El diseño de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo

a los usuarios recoger todo el correo de una vez para después verlo y manipularlo sin necesidadde estar conectado. Estos mensajes, normalmente, se borran del buzón del usuario en el servidor,

aunque actualmente la mayoría de MUAs permiten mantenerlos.

El más moderno IMAP, permite trabajar en línea o desconectado además de sólo borrar los men-

sajes depositados en el servidor de manera explícita. Adicionalmente, permite que múltiples clientes

accedan al mismo buzón o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo,

es un protocolo bastante complicado con más carga de trabajo en el lado del servidor que POP3, que

relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son:

• Modo de operación conectado y desconectado.

• Varios clientes a la vez conectados al mismo buzón.

• Descarga parcial de correos.

• Información del estado del mensaje usando banderas (leído, borrado, respondido, ...).

• Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno

de ellos públicos.

• Búsquedas en el lado del servidor.

• Mecanismos de extensión incluidos en el propio protocolo.

Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS.

La diferencia con la versión simple es que usan cifrado TLS por lo que el contenido de los mensajesno puede ser escuchado sin permiso.

123




5.1.2 Configuración de un servidor SMTP/POP3-IMAP4 con eBox

En el servicio de correo debemos configurar el MTA para enviar y recibir correos así como la recepción

de correos por parte de MUAs vía IMAP o POP3.

Para el envío/recepción de correos se usa Postfix 2 como servidor SMTP. Para el servicio de

recepción de correos (POP3, IMAP) se usa Dovecot 3. Ambos con soporte para comunicación segura

con SSL.

5.1.3 Recibiendo y retransmitiendo correo

Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir

correo.

La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los

destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El

correo puede ser recibido de cualquier cliente que pueda conectarse al servidor.

Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo

en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo ges-

tionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida,

de otra manera los spammers podrían usar el servidor para enviar spam en Internet .

eBox permite la retransmisión de correo en dos casos:

1. usuarios autenticados

2. una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión

permitida.

Configuración general

A través de Correo →

General →

Opciones del servidor de correo →

Autenticacion podemos ges-tionar las opciones de autenticacion. Están disponibles las siguientes opciones:

TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptación del

contenido por personas maliciosas.

2 Postfix The Postfix Home Page http://www.postfix.org .3 Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .

124

http://www.postfix.org/

http://www.dovecot.org/

http://www.dovecot.org/

http://www.postfix.org/




Exigir la autenticación: Este parámetro activa el uso de autenticación. Un usuario debe usar su

dirección de correo y su contraseña para identificarse, una vez autenticado podrá retransmitir

correo a través del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.

En la sección Correo → General → Opciones del servidor de correo → Opciones se puedenconfigurar los parámetros generales del servicio de correo:

Dirección del smarthost: Dirección IP o nombre de dominio del smarthost . También se puede es-

tablecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto

por defecto, es el puerto estándar SMTP, 25.

Si se establece esta opción eBox no enviará directamente sus mensajes sino que cada mensaje

de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso,

125




eBox actuara como un intermediario entre el usuario que envía el correo y el servidor que

enviará finalmente el mensaje.

Autenticación del smarthost: Determinar si el smarthost requiere autenticación y si es así proveer

un usuario y contraseña.

Nombre de correo del servidor: Determina el nombre de correo del sistema, será usado por el ser-

vicio de correo como la dirección local del sistema.

Dirección del postmaster: La dirección del postmaster por defecto es un alias del superusuario

(root ) pero puede establecerse a cualquier dirección, perteneciente a los dominios virtuales de

correo gestionados o no.Esta cuenta está pensada para tener una manera estándar de contactar con el administrador

de correo. Correos de notificación automáticos suelen usar postmaster como dirección de

respuesta.

Tamaño máximo de buzón: En esta opción se puede indica un tamaño máximo en MiB para los

buzones del usuario. Todo el correo que exceda el limite será rechazado y el remitente recibirá

una notificación. Esta opción puede sustituirse para cada usuario en la pagina Usuarios y

Grupos -> Usuarios .

Tamaño máximo aceptado para los mensajes: Señala, si es necesario, el tamaño máximo de men-

saje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin importar la existencia ono de cualquier límite al tamaño del buzón de los usuarios.

Periodo de expiración para correos borrados: Si esta opción está activada el correo en la carpeta

de papelera de los usuarios será borrado cuando su fecha sobrepase el limite de días estable-

cido.

Periodo de expiración para correo de spam: Esta opción se aplica de la misma manera que la op-

ción anterior pero con respecto a la carpeta de spam de los usuarios.

Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de obtención de

correo. eBox puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras

POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtener correo de

direcciones externas y ManageSieve , estos servicios se explicarán a partir de la sección Obtención

de correo desde cuentas externas .

También se puede configurar eBox para que permita reenviar correo sin necesidad de autenticarse

desde determinadas direcciones de red. Para ello, se permite una política de reenvío con objetos

de red de eBox a través de Correo → General → Política de retransmisión para objetos de red

126




basándonos en la dirección IP del cliente de correo origen. Si se permite el reenvío de correos desde

dicho objeto, cualquier miembro de dicho objeto podrá enviar correos a través de eBox.

Warning: Hay que tener cuidado con usar una política de Open Relay , es decir, permitir reenviar

correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá

en una fuente de spam .

Finalmente, se puede configurar el servidor de correo para que use algún filtro de contenidos

para los mensajes 4. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado

y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A

través de Correo → General → Opciones de Filtrado de Correo se puede seleccionar un filtro de

correo personalizado o usar eBox como servidor de filtrado.

4 En la sección Filtrado de correo electrónico se amplia este tema.

127




Creación de cuentas de correo a través de dominios virtuales

Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.

Desde Correo → Dominio Virtual , se pueden crear tantos dominios virtuales como queramos que

proveen de nombre de dominio a las cuentas de correo de los usuarios de eBox. Adicionalmente, es

posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su

alias sea indiferente.

Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros, acud-

imos a Usuarios y Grupos → Usuarios → Crear cuenta de correo . Es ahí donde seleccionamos el

dominio virtual principal del usuario. Si queremos asignar al usuario a más de una cuenta de correo

lo podemos hacer a través de los alias. Indiferentemente de si se ha usado un alias o no, el correosera almacenado una única vez en el buzón del usuario. Sin embargo, no es posible usar un alias

para autenticarse, se debe usar siempre la cuenta real.

128




Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automáticamente una

cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos

-> Plantilla de Usuario por defecto –> Cuenta de correo .

De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias

son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a

través de Usuarios y Grupos → Grupos → Crear un alias de cuenta de correo al grupo . Los alias de

grupo están sólo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.

Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias será

retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio

virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en

Correo → Dominios Virtuales → Alias a cuentas externas .

Gestión de cola

Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido enviados con

la información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:

eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos ). También hay dos botones

que permiten borrar o reencolar todos los mensajes en la cola.

129




Obtención de correo desde cuentas externas

Se puede configurar eBox para recoger correo de cuentas externas y enviarlo a los buzones de los

usuarios. Para ello, deberás activar en la sección Correo → General → Opciones del servidor de

corre → Servicios de obtención de correo . Una vez activado, los usuarios tendrán sus mensajes

de correo de sus cuentas externas recogido en el buzón de su cuenta interna. Cada usuario puede

configurar sus cuentas externas a través del rincón del usuario 5. El usuario debe tener una cuenta

de correo para poder hacerlo. Los servidores externos son consultados periódicamente, así que la

obtención del correo no es instantánea.

Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario y hacerclic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina se muestra la lista

de cuentas de correo del usuario, el usuario puede añadir, borrar y editar cuentas. Cada cuenta tiene

los siguientes parámetros:

Cuenta externa: El nombre de usuario o dirección de correo requerida para identificarse en el servi-

cio externo de recuperación de correo.

Contraseña: Contraseña para autenticar la cuenta externa.

Servidor de correo: Dirección del servidor de correo que hospeda a la cuenta externa.

Protocolo: Protocolo de recuperación de correo usado por la cuenta externa, puede ser uno de los

siguientes: POP3, POP3S, IMAP o IMAPS.

Puerto: Puerto usado para conectar al servidor de correo externo.

Para obtener el correo externo, eBox usa el programa Fetchmail 6 .

5 La configuración del rincón del usuario se explica en la sección Rincón del Usuario .6 Fetchmail The Fetchmail Home Page http://fetchmail.berlios.de/ .

130

http://fetchmail.berlios.de/

http://fetchmail.berlios.de/




Lenguaje Sieve y protocolo ManageSieve

El lenguaje Sieve 7 permite el control al usuario de cómo su correo es recibido, permitiendo, entre

otras cosas, clasificarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada

(o vacaciones).

ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para

usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8 .

Para usar ManageSieve en eBox, debes activar el servicio en Correo → General → Opciones de

servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarios con

cuenta de correo. Si ManageSieve está activado y el módulo de correo web 9 en uso, el interfaz de

gestión para scripts Sieve estará disponible en el correo web.

La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña.

Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve está

activado o no.

Configuración del cliente de correo

A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o a través de la

aplicación de correo de groupware, deberán configurar su cliente de correo para usar el servidor de

correo de eBox. El valor de los parámetros necesarios dependerán de la configuración del servicio de

correo.

Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nombres para

estos parámetros, por lo que debido a la multitud de clientes existente esta sección es meramente

orientativa.

5.1.4 Parámetros SMTP

Servidor SMTP: Introducir la dirección del servidor eBox. La dirección puede ser descrita como unadirección IP o como nombre de dominio.

Puerto SMTP: 25, si usas TLS puedes usar en su lugar el puerto 465.

7 Para mas información sobre Sieve http://sieve.info/ .8 Para tener una lista de clientes Sieve http://sieve.info/clients .9 El módulo de correo web (webmail ) se explica en el capítulo Servicio de correo web .

131

http://sieve.info/

http://sieve.info/clients

http://sieve.info/clients

http://sieve.info/




Conexión segura: Seleccionar TLS si tienes activada la opción TLS para el servidor SMTP, en

otro caso seleccionar ninguna . Si se usa TLS lee la advertencia aparece más adelante sobre

TLS/SSL.

Usuario SMTP: Como nombre de usuario se debe usar la dirección de correo completa del usuario,

no uses su nombre de usuario o alguno de sus alias de correo. Esta opción sólo es obligatoria

si está habilitado el parámetro Exigir autenticación.

Contraseña SMTP: La contraseña del usuario.

5.1.5 Parámetros POP3

Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en eBox.

Servidor POP3: Introducir la dirección de eBox de la misma manera que la sección de parámetros

SMTP.

Puerto POP3: 110 o 995 en el caso de usar POP3S.

Conexión segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se

utiliza POP3S, ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL.

Usuario POP3: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario

ni ninguno de sus alias de correo.

Contraseña POP3: La contraseña del usuario.

5.1.6 Parámetros IMAP

Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo.

Servidor IMAP: Introducir la dirección de eBox de la misma manera que la sección de parámetros

SMTP.

Puerto IMAP: 443 o 993 en el caso de usar IMAPS.

Conexión segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se

usa IMAPS, leer la advertencia que aparece más adelante sobre TLS/SSL.

Usuario IMAP: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario ni

ninguno de sus alias de correo.

Contraseña IMAP: La contraseña del usuario.

132




Warning: En las implementaciones de los clientes de correo a veces hay confusión sobre el

uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con

TLS , otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto

tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes

hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona

correctamente.

Tienes mas información sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL .

5.1.7 Parámetros para ManageSieve

Para conectar a ManageSieve , se necesitan los siguientes parámetros:

Servidor Sieve: El mismo que tu servidor IMAP o POP3.

Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto número

2000 como puerto por defecto para ManageSieve.

Conexión segura: Activar esta opción.

Nombre de usuario: Dirección de correo completa, como anteriormente evitar el nombre de usuario

o cualquiera de sus alias de correo.Contraseña: Contraseña del usuario. Algunos clientes permiten indicar que se va a usar la misma

autenticación que para IMAP o POP, si esto es posible, hay que seleccionar dicha opción.

Cuenta para recoger todo el correo

Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo

enviado y recibido por un dominio de correo. En eBox se permite definir una de estas cuentas por

cada dominio; para establecerla se debe ir a la pagina Correo → Dominios Virtuales y después hacer

clic en la celda Opciones.

Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO

ó BCC) a la dirección definida. Si la dirección rebota el correo, será devuelto al remitente.

133

http://wiki.dovecot.org/SSL

http://wiki.dovecot.org/SSL




Ejemplo práctico

Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en

el dominio creado para dicho usuario. Configurar la retransmisión para el envío de correo. Enviar un

correo de prueba con la cuenta creada a una cuenta externa.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo Correo, para ello

marca su casilla en la columna Estado. Habilitar primero los módulos Red y Usuarios y

grupos si no se encuentran habilitados con anterioridad.

Efecto: eBox solicita permiso para sobreescribir algunos ficheros.2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar



3. Acción: Acceder al menú Correo → Dominio Virtual , pulsar Añadir nuevo, introducir un nom-

bre para el dominio y pulsar el botón Añadir.

Efecto: eBox nos notifica de que debemos salvar los cambios para usar el dominio.


Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lomuestra.

Ahora ya podemos usar el dominio de correo que hemos añadido.

5. Acción: Acceder a Usuarios y Grupos → Usuarios → Añadir usuario , rellenar sus datos y

pulsar el botón Crear.

Efecto: El usuario se añade inmediatamente sin necesidad de salvar cambios. Aparece la

pantalla de edición del usuario recién creado.

6. Acción: (Este paso sólo es necesario si has deshabilitado la opción de crear cuentas de correo

automáticamente en Usuarios y Grupos –> Plantilla de Usuario por defecto –> Cuenta

de correo ). Escribir un nombre para la cuenta de correo del usuario en la sección Crear

cuenta de correo y pulsar el botón Crear.

Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o

crear alias para ella.

134




7. Acción: Acceder al menú Objetos → Añadir nuevo . Escribir un nombre para el objeto y pulsar

Añadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el

miembro, introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar

Añadir.

Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz

de eBox, pero no será persistente hasta que se guarden cambios.

8. Acción: Acceder a Correo → General → Política de reenvío sobre objetos . Seleccionar

el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir

reenvío y pulsar el botón Añadir.

Efecto: El botón Guardar Cambios estará activado.


Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado, que permitirá

el envío de correos al exterior para ese origen.

10. Acción: Configurar el cliente de correo seleccionado para que use eBox como servidor SMTP

y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa.

Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el

buzón de la cuenta externa.

11. Acción: Comprobar en el servidor de correo a través del fichero de registro /var/log/mail.log

como el correo se ha enviado correctamente.

5.2 Servicio de correo web

El servicio de correo web permite a los usuarios leer y enviar correo a través de un interfaz web

ofrecida por el servidor de correo.

Sus principales ventajas son que el usuario no tiene que configurar nada. Y que puede acceder

a su correo desde cualquier navegador web que pueda alcanzar al servidor. Sus desventajas sonque la experiencia de usuario suele ser más pobre que con un programa de correo de escritorio y

que se debe permitir el acceso web al servidor de correo. Además, incrementa la carga del servidor

para mostrar los mensajes de correo, este trabajo se realiza en el cliente con el software tradicional

de gestión de correo electrónico.

eBox usa Roundcube para implementar este servicio 10.

10 Roundcube webmail http://roundcube.net/ .

135

http://roundcube.net/

http://roundcube.net/




5.2.1 Configurando el correo web en eBox

El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de

eBox. Sin embargo, requiere que el módulo de correo esté configurado para usar IMAP, IMAPS o

ambos además de tener el módulo webserver habilitado. Si no lo está, el servicio rehusará activarse.

Opciones del correo web

Podemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo. Se puede

establecer el titulo que usará el correo web para identificarse, este titulo se mostrará en la pantalla deentrada y en los títulos HTML de pagina.

Entrar en el correo web

Para entrar en el correo web , primero necesitaremos que el tráfico HTTP desde la dirección usada

para conectar esté permitido por el cortafuegos. La pantalla de entrada del correo web está disponible

en http://[direccion del servidor]/webmail desde el navegador. A continuación, se debe introducir su

dirección de correo y su contraseña. Los alias no funcionarán, por tanto se debe usar la dirección

real.

136




Filtros SIEVE

El correo web también incluye una interfaz para administrar filtros SIEVE. Esta interfaz sólo está

disponible si el protocolo ManageSIEVE está activo en el servicio de correo.

5.3 Servicio de mensajería instantánea (Jabber/XMPP)

Las aplicaciones de mensajería instantánea permiten gestionar una lista de personas con las que

uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicación asíncronaproporcionada por el correo electrónico en una comunicación síncrona en la que los participantes

pueden comunicarse en tiempo real.

Además de la conversación básica permite otras prestaciones como:

• Salas de conversación.

• Transferencia de ficheros.

• Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente).

• Pizarra compartida que permite ver y mostrar dibujos a los contactos.

• Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvily el ordenador dando preferencia a uno de ellos para la recepción de mensajes).

En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ, AIM, MSN

o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y propietario.

Sin embargo, también existe Jabber/XMPP que es un conjunto de protocolos y tecnologías que

permiten el desarrollo de sistemas de mensajería distribuidos. Estos protocolos son públicos, abiertos,

flexibles, extensibles, distribuidos y seguros. Aunque todavía sigue en proceso de estandarización, ha

sido adoptado por Cisco o Google (para su servicio de mensajería Google Talk) entre otros.

eBox usa Jabber/XMPP como protocolo de mensajería instantánea, integrando los usuarios con

las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPPen eBox.

11 jabberd2 - servidor XMPP <http://jabberd2.xiaoka.com/ >.

137

http://jabberd2.xiaoka.com/

http://jabberd2.xiaoka.com/




5.3.1 Configuración de un servidor Jabber/XMPP con eBox

Para configurar el servidor Jabber/XMPP en eBox, primero debemos comprobar en Estado del Mó-

dulo si el módulo Usuarios y Grupos está habilitado, ya que Jabber depende de él. Entonces mar-

caremos la casilla Jabber para habilitar el módulo de eBox de Jabber/XMPP.

Figure 5.2: Configuración general del servicio Jabber

Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientes

parámetros:

Nombre de dominio: Especifica el nombre de dominio del servidor. Esto hará que las cuentas de

los usuarios sean de la forma usuario@dominio .

Tip: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde

los clientes.

Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros

servidores externos. Si por el contrario queremos un servidor privado, sólo para nuestra red

interna, deberá dejarse desmarcada.

Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para más de

dos usuarios).

Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nom-

bre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde

los clientes también.

138




Soporte SSL: Especifica si las comunicaciones (autentificación y mensajes) con el servidor serán

cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como

opcional. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se

especifique si se quiere usar SSL.

Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios → Añadir usuario si queremos

crear una nueva cuenta o a Usuarios → Editar usuario si solamente queremos habilitar la cuenta de

Jabber para un usuario ya existente.

Figure 5.3: Configuración de cuenta Jabber de un usuario

Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar

si la cuenta está activada o desactivada. Además, podemos especificar si el usuario en cuestión ten-drá privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados

al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of

The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast ).

5.3.2 Configuración de un cliente Jabber

Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin y Psi, aunque en caso de

utilizar otro cliente distinto, los pasos a seguir serían muy similares.

Pidgin

Pidgin 12 es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Además de

Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!.

12 Pidgin, the universal chat client <http://www.pidgin.im/ >.

139

http://www.pidgin.im/

http://www.pidgin.im/




Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic , pero todavía sigue

siendo el cliente de mensajería más popular. Lo podemos encontrar en Internet → Cliente de men-

sajería Internet Pidgin . Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá

la ventana de gestión de cuentas tal como aparece en la imagen.

Desde esta ventana podemos tanto añadir cuentas, como modificar y borrar las cuentas exis-

tentes.

Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanzada.

Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer lugar el

protocolo XMPP. El Nombre de usuario y Contraseña deberán ser los mismos que la cuenta Jabber

tiene en eBox. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo

de Jabber/XMPP de eBox. Opcionalmente, en el campo Apodo local introduciremos el nombre que

queramos mostrar a nuestros contactos.

140




En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está

marcado, así que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir

autentificación en texto plano sobre hilos no cifrados.

141




Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos

aceptarlo o no.

142




Psi

Psi 13 es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero,

Psi es código abierto y compatible con Windows, Linux y Mac OS X.

Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana pre-

guntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen.

Seleccionaremos Usar una cuenta existente.

En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que es

usuario@dominio y la Contraseña. Este usuario y contraseña deberán ser los mismos que la cuenta

Jabber tiene en eBox. El dominio deberá ser el mismo que hayamos definido en la configuración del

módulo de Jabber/XMPP de eBox.

13 Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/ >.

143

http://psi-im.org/

http://psi-im.org/




En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por

omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en eBox el

Soporte SSL debemos cambiar Permitir autentificación en claro a Siempre.

Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo

o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en

el anterior paso.

La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemospublicado nuestra información personal en el servidor.

144




Opcionalmente, podremos publicar información sobre nosotros aquí.

Una vez publicada, este error no aparecerá de nuevo.

5.3.3 Configurando salas de conferencia Jabber

El servicio Jabber MUC (Multi User Chat ) permite a varios usuarios intercambiar mensajes en el

contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir

la entrada a usuarios, requerir contraseña y muchas más están disponibles en las salas de Jabber.

Para una especificación completa, comprueba el borrador XEP-0045 14.

Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber del

menú de eBox, el resto de la configuración se realiza desde los clientes Jabber.

14 La especificación de las salas de conversación Jabber/XMPP está disponible en <http://xmpp.org/extensions/xep-

0045.html>.

145

http://xmpp.org/extensions/xep-0045.html







Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea

se convierte en el administrador para esa sala. Este administrador puede definir todos los parámetros

de configuración, añadir otros usuarios como moderadores o administradores y destruir la sala.

Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omisión, todas

las salas se destruyen al poco después de que su último participante salga. Estas son llamadas salas

dinámicas y es el método preferido para conversaciones de varios usuarios. Por otra parte, las salas

persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para

grupos de trabajo o asuntos.

En Pidgin para entrar en una sala hay que ir a Contactos –> Entrar en una Sala.... Aparecerá

una ventana de Entrar en una Sala preguntando alguna información como el Nombre de la sala, elServidor que debería ser conference.dominio , el Usuario y la Contraseña en caso de ser necesaria.

El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar

la Sala o Aceptar la Configuración por Omisión.

En Configuración de la Sala podremos configurar todos los parámetros de la sala. Esta ventana

de configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación.

146




Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada es-

tando la sala lista para su uso.

En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. Una ventana

de Entrar en una Sala aparecerá preguntando alguna información como el Servidor que deberá ser

conference.dominio , el Nombre de la Sala, el Nombre de Usuario y la Contraseña en caso de ser

necesaria.

147




El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la configure. En la

esquina superior derecha hay un botón que despliega un menú contextual dónde aparece la opción

Configurar Sala.

En Configuración de la Sala podremos configurar todos los parámetros de la sala.

148




Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada es-

tando la sala lista para su uso.

5.3.4 Ejemplo práctico

Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que eBox y los clientes sean

capaces de resolver.

1. Acción: Acceder a eBox, entrar en Estado del Módulo y activar el módulo Jabber. Cuando

nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el

botón Aceptar.


2. Acción: Añadir un dominio con el nombre que hayamos elegido y cuya dirección IP sea la de

la máquina eBox, de la misma forma que se hizo en Ejemplo práctico B .

Efecto: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP.

3. Acción: Acceder al menú Jabber . En el campo Nombre de dominio, escribir el nombre del

dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios.




muestra.

El servicio Jabber/XMPP ha quedado listo para ser usado.

149




5.4 Servicio de Voz sobre IP

La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de

protocolos para enviar la señal digital en paquetes en lugar de enviarla a través de circuitos analógicos

conectados.

Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes públicas como

Internet . Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y

datos, sin escatimar en calidad o fiabilidad. Los principales problemas que se encuentra la Voz IP en

su despliegue sobre las redes de datos son el NAT 15 y las dificultades que tienen los protocolos para

gestionarlo, y el QoS 16, la necesidad de ofrecer un servicio de calidad en tiempo real, considerandola latencia (tiempo que se tarda en llegar al destino), el jitter (la variación de la latencia) y el ancho de

banda.

5.4.1 Protocolos

Son varios los protocolos involucrados en la transmisión de voz, desde los protocolos de red como

IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su

transporte como para su señalización.

Los protocolos de señalización en Voz IP desempeñan las tareas de establecimiento y controlde la llamada. SIP, IAX2 y H.323 son protocolos de señalización.

El protocolo de transporte de voz más utilizado es RTP (Realtime Transport Protocol ) y su tarea

es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha

una vez establecida la llamada por los protocolos de señalización.

SIP

SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF 17 para la iniciación,

modificación y finalización de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP.

SIP solamente se encarga de la señalización funcionando sobre el puerto UDP/5060. La transmisión

multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.

15 Concepto que se explica en la sección Cortafuegos .16 Concepto que se explica en la sección Moldeado de tráfico .17 Internet Engineering Task Force desarrolla y promociona estándares de comunicaciones usados en Internet .

150




IAX2

IAX2 es la versión 2 del protocolo Inter Asterisk eXchange creado para la interconexión de centralitas

Asterisk 18. Las características más importantes de este protocolo es que la voz y la señalización va

por el mismo flujo de datos y además éste puede ser cifrado. Esto tiene la ventaja directa de poder

atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de

comunicación simultáneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.

5.4.2 Códecs

Un códec es un algoritmo que adapta (codificando en origen y descodificando en destino) una infor-

mación digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y

recuperándose de los errores en la transmisión. G.711, G.729, GSM y speex son códecs habituales

dentro de la Voz IP.

G.711: Es uno de los códecs más utilizados, con dos versiones, una americana (ulaw ) y otra europea

(alaw ). Este códec ofrece buena calidad pero su consumo de ancho de banda es bastante

significativo con 64kbps. Es el más habitual para la comunicación por voz en redes locales.

G.729: Tiene una compresión mucho mayor usando solamente 8kbps siendo ideal para las comuni-

caciones a través de Internet . El inconveniente es que tiene algunas restricciones en su uso.GSM: Es el mismo códec que el usado en las redes de telefonía celular. La calidad de voz no es muy

buena y usa 13kbps aproximadamente.

speex: Es un códec libre de patentes diseñado para voz. Es muy flexible a pesar de consumir más

tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz,

16KHz hasta 32KHz, normalmente referidos como narrowband , wideband y ultra-wideband

respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.

5.4.3 Despliegue

Veamos los elementos implicados en el despliegue de Voz IP:

18 Asterisk es un software para centralitas telefónicas que eBox usa para implementar el módulo de Voz IP

<http://www.asterisk.org/ >.

151

http://www.asterisk.org/

http://www.asterisk.org/




Teléfonos IP

Son teléfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo

a una red Ethernet en lugar del habitual RJ11 de las redes telefónicas. Introducen características

nuevas como acceso a la agenda de direcciones, automatización de llamadas, etc. no presentes en

los teléfonos analógicos convencionales.

152




Adaptadores Analógicos

También conocidos como adaptadores ATA (Analog Telephony Adapter ), permiten conectar un telé-

fono analógico convencional a una red de datos IP y hacer que este funcione como un teléfono IP.

Para ello dispone de un puerto de red de datos RJ45 y uno o más puertos telefónicos RJ11.

Softphones

Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin más hard-

ware adicional que los propios altavoces y micrófono del ordenador. Existen multitud de aplicaciones

para este propósito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (Wengo-

Phone) están disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting)

o Twinkle son nativas de este último.

Centralitas IP

A diferencia de la telefonía tradicional, dónde las llamadas pasaban siempre por la centralita, en la Voz

IP los clientes (teléfonos IP o softphones ) se registran en el servidor, el emisor pregunta por los datosdel receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento

de la llamada negocian un códec común para la transmisión de la voz.

Asterisk es una aplicación exclusivamente software que funciona sobre cualquier servidor habitual

proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange ): conectar

entre sí distintos teléfonos, a un proveedor de Voz IP, o bien a la red telefónica. También ofrece

servicios como buzón de voz, conferencias, respuesta interactiva de voz, etc.

153




Figure 5.4: Qutecom

Figure 5.5: Twinkle

154




Para conectar el servidor de la centralita Asterisk a la red telefónica analógica se usan unas

tarjetas llamadas FXO (Foreign eXchange Office ) que permiten a Asterisk funcionar como si fuera un

teléfono convencional y redirigir las llamadas a través de la red telefónica. Para conectar un teléfono

analógico al servidor se debe usar una tarjeta FXS ( Foreign eXchange Station ) así se pueden adaptar

los terminales existentes a una nueva red de telefonía IP.

Figure 5.6: Digium TDM422E FXO and FXS card

5.4.4 Configuración de un servidor Asterisk con eBox

El módulo de Voz IP de eBox permite gestionar un servidor Asterisk con los usuarios ya existentes

en el servidor LDAP del sistema y con las funcionalidades más habituales configuradas de una forma

sencilla.

Como ya es habitual, en primer lugar deberemos habilitar el módulo. Iremos a la sección Estado

del Módulo del menú de eBox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el módulo

Usuarios y Grupos deberá ser habilitado previamente ya que depende de él.

A la configuración general del servidor se accede a través del menú Voz IP → General , una vez

allí sólo necesitamos configurar los siguientes parámetros generales:

155




Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensión

400 podremos escuchar la música de espera, llamando a la 500 se realiza una llamada medi-

ante el protocolo IAX a [email protected]. En la extensión 600 se dispone de una prueba

de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones

nos permiten comprobar que nuestro cliente esta correctamente configurado.

Habilitar llamadas salientes: Habilita las llamadas salientes a través del proveedor SIP que teng-amos configurado para llamar a teléfonos convencionales. Para realizar llamadas a través

del proveedor SIP tendremos que añadir un cero adicional antes del número a llamar, por

ejemplo si queremos llamar a las oficinas de eBox Technologies (+34 976733506, o mejor

0034976733506), pulsaríamos 00034976733506.

Extensión de buzón de voz: Es la extensión donde podemos consultar nuestro buzón de voz. El

usuario y la contraseña es la extensión adjudicada por eBox al crear el usuario o al asignársela

por primera vez. Recomendamos cambiar la contraseña inmediatamente desde el Rincón

del Usuario 19. La aplicación que reside en esta extensión nos permite cambiar el mensaje de

bienvenida a nuestro buzón, escuchar los mensajes en él y borrarlos. Esta extensión solamente

es accesible por los usuarios de nuestro servidor, no aceptará llamadas entrantes de otrosservidores por seguridad.

Dominio Voz IP: Es el dominio que se asignará a las direcciones de nuestros usuarios. Así pues un

usuario usuario, que tenga una extensión 1122 podrá ser llamado a [email protected] o

[email protected].

19 El Rincón del Usuario se explica en la sección Rincón del Usuario .

156












En la sección de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor

SIP para que eBox pueda redirigir las llamadas a través de él:

Proveedor: Si estamos usando eBox VoIP Credit 20, seleccionaremos esta opción que preconfigu-

rará el nombre del proveedor y el servidor. En otro caso usaremos Personalizado.

Nombre: Es el identificador que se da al proveedor dentro de eBox.

Nombre de usuario: Es el nombre de usuario del proveedor.

Contraseña: Es la contraseña de usuario del proveedor.

Servidor: Es el nombre de dominio del servidor del proveedor.Destino de las llamadas entrantes: Es la extensión interna a la que se redirigen las llamadas real-

izadas a la cuenta del proveedor.

En la sección de Configuración NAT definiremos la posición en la red de nuestra máquina eBox.

Si tiene una IP pública la opción por defecto eBox está tras NAT: No es correcta. Si tiene una IP

privada deberemos indicar a Asterisk cuál es la IP pública que obtenemos al salir a Internet . En caso

de tener una IP pública fija simplemente la introduciremos en Dirección IP fija; si nuestra IP pública

es dinámica tendremos que configurar el servicio de DNS dinámico (DynDNS) de eBox disponible en

Red → DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre

de máquina dinámico.

En la sección de Redes locales podremos añadir las redes locales a las que accedemos desde

eBox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados

desde eBox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del

protocolo SIP en entornos con NAT.

A la configuración de las conferencias se accede a través Voz IP → Conferencias . Aquí podemos

configurar salas de reunión multiconferencia. La extensión de estas salas deberá residir en el rango

8001-8999 y podrán tener opcionalmente una contraseña de entrada, una contraseña administra-

tiva y una descripción. A estas extensiones se podrá acceder desde cualquier servidor simplemente

marcando [email protected].

Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuarioy cambiar su extensión. Hay que tener en cuenta que una extensión sólamente puede asignarse a

un usuario y no a más, si necesitas llamar a más de un usuario desde una extensión será necesario

utilizar colas.

20 Puedes comprar eBox VoIP credit en nuestra tienda.

157


http://store.ebox-technologies.com/?utm_source=doc_es







158




Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola

es una extensión dónde al recibir una llamada, se llama a todos los usuarios que pertenecen a este

grupo.

Si queremos configurar la música de espera, colocaremos las canciones en formato MP3 en

/var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg123 .

5.4.5 Configurando un softphone para conectar a eBox

Ekiga (Gnome)

Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome . Al lan-

zarlo por primera vez presenta un asistente para configurar datos personales del usuario, dispositivos

de sonido y vídeo, la conexión a Internet y los servicios de Ekiga.net . Podemos omitir la configuración

tanto de la cuenta en Ekiga.net como de Ekiga Call Out .

21 Ekiga: Free your speech <http://ekiga.org/ >

159

http://ekiga.org/

http://ekiga.org/




Desde Editar –> Cuentas, seleccionando Cuentas –> Añadir una cuenta SIP podremos config-

urar la cuenta de Voz IP de eBox Platform.

Nombre: Es el identificador de la cuenta dentro de Ekiga .

Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox.

Usuario y Usuario para autenticación: Son el nombre de usuario de eBox.

Contraseña: Es la contraseña de usuario de eBox.

Tras configurar la cuenta se intentará registrar en el servidor.

Para realizar una llamada tan sólo hay que escribir el número o dirección SIP en la barra superior

y llamar usando el icono del teléfono verde a la derecha. Para colgar se usa el icono del teléfono rojo

a la derecha también.

160




Qutecom (Multiplataforma)

Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que está disponible en las tres platafor-

mas más extendidas: Linux, OSX y Windows. También al lanzarlo por primera vez nos presentará un

asistente para configurar la cuenta de Voz IP.

Tenemos un teclado numérico o una lista de contactos para realizar llamadas. Se usan los

botones verde / rojo en la parte inferior para llamar y colgar.

22 QuteCom: Free VOIP Softphone http://www.qutecom.org

161

http://www.qutecom.org/

http://www.qutecom.org/




5.4.6 Usando las funcionalidades de eBox Voz IP

Transferencia de llamadas

La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversación, pulsando

# y después introduciendo la extensión a dónde queremos reenviar la llamada podremos realizar unatransferencia. En ese momento, podremos colgar ya que esta llamada estará marcando la extensión

a donde ha sido transferida.

Aparcamiento de llamadas

El aparcamiento de llamadas se realiza sobre la extensión 700. Durante el transcurso de una conver-

sación, pulsaremos # y después marcaremos 700. La extensión donde la llamada ha sido aparcada

será anunciada a la parte llamada y quien estaba llamando comenzará a escuchar la música de es-

pera, si está configurada. Podremos colgar en ese momento. Desde un teléfono distinto u otro usuario

distinto marcando la extensión anunciada podremos recoger la llamada aparcada y restablecer la con-versación.

En eBox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo máximo que una

llamada puede esperar son 300 segundos.

162




Ejemplo práctico

Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensión a 1500.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Voz IP marcando

la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no está activado

deberemos activarlo previamente pues depende de él. Entonces se informa sobre los cambios

que se van a realizar en el sistema. Permitiremos la operación pulsando el botón Aceptar.


2. Acción: Acceder al menú Voz IP . En el campo Dominio Voz IP escribir el nombre de dominioque corresponda a esta máquina. Este dominio deberá poder resolverse desde las máquinas

de los clientes del servicio. Pulsar el botón Cambiar.



muestra.

El servicio de Voz IP está preparado para usarse.

4. Acción:

Acceder al menú Usuarios y Grupos →

Usuarios →

Añadir Usuario . Completarla información del formulario para crear un nuevo usuario. Pulsar el botón Crear

Usuario.

Efecto: eBox crea un nuevo usuario y nos muestra el perfil con las opciones de este.

5. Acción: En la sección Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o

desactivada y la extensión que tiene asignada. Cerciorarse de que la cuenta está activada, ya

que todos los usuarios creados mientras el módulo de Voz IP está habilitado tienen la cuenta

activada. Por último, cambiar la extensión asignada por defecto, que es la primera libre del

rango de extensiones de usuarios, a la extensión 1500 que deseábamos. Pulsar el botón

Aplicar cambios de la sección Cuenta de Voz IP.

Efecto: eBox aplica los cambios realizados inmediatamente, el usuario ya puede recibir lla-

madas sobre esa extensión.

163




164



Chapter 6

eBox Unified Threat Manager

En este apartado se verán diferentes técnicas para proteger la red más allá de un simple cortafuegos,

evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen.

El correo electrónico sin un buen filtrado de correo no funciona correctamente, en este tema se

verán diferentes técnicas para evitar el correo basura (spam ) y los virus en el correo electrónico con

eBox.

El tráfico Web también puede traer problemas dependiendo de los lugares que se visiten. Por ello,en este tema se explicará la integración del filtrado de contenidos del proxy HTTP con un antivirus y

diversas configuraciones más avanzadas para dar mayor seguridad a la navegación por Internet de

los usuarios de la red.

En este apartado, se explicará como conectar de manera segura a los empleados fuera de la

oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales, para ello

se definirán las bases que sigue la seguridad en la red.

Finalmente, la detección de intrusos a través de reglas de ataque se verán también en este

apartado. De una forma sencilla, podemos recibir notificaciones de ataques y analizar los daños que

hayan podido causar.

6.1 Filtrado de correo electrónico

Los principales problemas en el sistema de correo electrónico son el spam y los virus.

165




El spam, o correo electrónico no deseado, distrae la atención del usuario que tiene que bucear

en su bandeja de entrada para encontrar los correos legítimos. También genera una gran cantidad de

tráfico que puede afectar al funcionamiento normal de la red y del servicio de correo.

Aunque los virus informáticos no afectan al sistema en el que está instalado eBox, un correo

electrónico que contenga un virus puede infectar otras máquinas clientes de la red.

6.1.1 Esquema del filtrado de correo de eBox

Para defendernos de estas amenazas, eBox dispone de un filtrado de correo bastante potente yflexible.

Figure 6.1: Esquema del filtrado de correo en eBox

En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es válido

o no. En primer lugar, el servidor de correo envía el correo al gestor de políticas de listas grises. Si el

correo supera este filtro, pasará al filtro de correo donde se examinarán una serie de características del

correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico.

Si supera todos esos filtros, entonces se determina que el correo es válido y se emite a su receptor o

se almacena en un buzón del servidor.

En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo

se configuran en eBox.

166



CHAPTER 6. EBOX UNIFIED THREAT MANAGER

Lista gris

Una greylist (lista gris) 1 es un método de defensa contra el spam que no descarta correos, sólo le

pone más difícil el trabajo a un servidor de correo que actúa como spammer (emisor de correo spam

o basura).

En el caso de eBox, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor

nuevo quiere enviarle un correo, eBox le dice “Estoy fuera de servicio en este momento, inténtalo en

300 segundos.” 2, si el servidor remitente cumple la especificación reenviará el correo pasado ese

tiempo y eBox lo apuntará como un servidor correcto.

En eBox, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con

política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la

lista blanca del antispam.

Sin embargo, los servidores que envían Spam no suelen seguir el estándar y no reenviarán el

correo. Así habríamos evitado los mensajes de Spam .

Figure 6.2: Esquema del funcionamiento de una lista gris

El Greylist se configura desde Correo → Lista gris con las siguientes opciones:

1 eBox usa postgrey http://postgrey.schweikert.ch/ como gestor de esta política en postfix.2 Realmente el servidor de correo envía como respuesta Greylisted , es decir, puesto en la lista gris en espera de

permitir el envío de correo o no pasado el tiempo configurado.

167

http://postgrey.schweikert.ch/

http://postgrey.schweikert.ch/




Habilitado: Marcar para activar el greylisting .

Duración de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes dereenviar el correo.

Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar

correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará

a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera

sin restricciones temporales.

Tiempo de vida de las entradas (días): Días que se almacenarán los datos de los servidores evalu-

ados en la lista gris. Si pasan más de los días configurados, cuando el servidor quiera volver a

enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente.

Verificadores de contenidos

El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para

realizar esta tarea eBox usa un interfaz entre el MTA (postfix) y dichos programas. Para ello, se usa

el programa amavisd-new 3 que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer

Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta

interfaz realiza las siguientes comprobaciones:

• Listas blancas y negras de ficheros y extensiones.

• Filtrado de correos con cabeceras mal-formadas.3 Amavisd-new: http://www.ijs.si/software/amavisd/

168


http://www.ijs.si/software/amavisd/

http://www.ijs.si/software/amavisd/





Antivirus

El antivirus que usa eBox es ClamAV 4, el cual es un conjunto de herramientas antivirus para UNIX

especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV

posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digi-

tales a través del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos

virus que se van encontrando. Además, el antivirus es capaz de escanear de forma nativa diversos

formatos de fichero como por ejemplo Zip, BinHex, PDF, etc.

En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema.

Se puede actualizar desde Gestión de Software , como veremos en Actualización de software .

Si el antivirus está instalado y actualizado, eBox lo tendrá en cuenta dependiendo de la configu-

ración del filtro SMTP, el proxy POP , el proxy HTTP o incluso podría funcionar para la compartición de

ficheros.

Antispam

El filtro antispam asigna a cada correo un puntuación de spam , si el correo alcanza la puntuación

umbral de spam es considerado correo basura, si no es considerado correo legítimo. A este último

tipo de correo se le suele denominar ham .

El detector de spam usa las siguientes técnicas para asignar la puntuación:

• Listas negras publicadas vía DNS (DNSBL).

• Listas negras de URI que siguen los sitios Web de Spam .

• Filtros basados en el checksum de los mensajes.

• Entorno de política de emisor (Sender Policy Framework o SPF) RFC 4408.

• DomainKeys Identified Mail (DKIM)

4 Clam Antivirus: http://www.clamav.net/

169



http://www.clamav.net/

http://www.clamav.net/





• Filtro bayesiano

• Reglas estáticas

• Otros. 5

Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo de

filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la prob-

abilidad de que el mensaje sea spam . Sin embargo, el análisis no se hace contra un conjunto estático

de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes ham y spam al

filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo.

La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam ,las desventajas es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del

entrenamiento recibido.

eBox usa Spamassassin 6 como detector de spam .

La configuración general del filtro se realiza desde Filtro de correo → Antispam :

5 Existe una lista muy larga de técnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Anti-

spam_techniques_(e-mail)6 The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .

170

http://en.wikipedia.org/wiki/Anti-spam_techniques_(e-mail



http://spamassassin.apache.org/

http://spamassassin.apache.org/






Umbral de Spam : Puntuación a partir de la cual un correo se considera como Spam .

Etiqueta de asunto Spam : Etiqueta para añadir al asunto del correo en caso de que sea Spam .

Usar clasificador bayesiano: Si está marcado se empleará el filtro bayesiano, si no será ignorado.

Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. Esto

es, si el remitente ha enviado mucho correo como ham es altamente probable que el próximo

correo que envíe sea ham y no spam .

Auto-aprendizaje: Si está marcado, el filtro aprenderá de los mensajes recibidos, cuya puntuacióntraspase los umbrales de auto-aprendizaje.

Umbral de auto-aprendizaje de spam : Puntuación a partir de la cual el filtro aprenderá automática-

mente un correo como spam . No es conveniente poner un valor bajo, ya que puede provocar

posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam .

171




Umbral de auto-aprendizaje de ham : Puntuación a partir de la cual el filtro aprenderá automática-

mente un correo como ham . No es conveniente poner un valor alto, ya que puede provocar

falsos negativos. Su valor debería ser menor que 0.

Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus

correos (whitelist ), para que siempre se marquen como spam (blacklist ) o que siempre los procese el

filtro antispam (procesar ).

Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un

buzón de correo en formato Mbox 7 que únicamente contenga spam o ham . Existen en Internet

muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo

con correo recibido en los sitios a filtrar. Conforme más entrenado esté el filtro, mejor será el resultadode la decisión de tomar un correo como basura o no.

Listas de control basadas en ficheros

Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo →

ACL por fichero (File Access Control Lists ).

Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sus

tipos MIME.

7 Mbox y maildir son formatos de almacenamiento de correos electrónicos y es dependiente del cliente de correo

electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo formato, se almacenan

en ficheros separados diferentes dentro de un directorio.

172




Filtrado de Correo SMTP

Desde Filtro de correo → Filtro de correo SMTP se puede configurar el comportamiento de los fil-

tros anteriores cuando eBox reciba correo por SMTP. Desde General podemos configurar el compor-

tamiento general para todo el correo entrante:

173




Habilitado: Marcar para activar el filtro SMTP.

Antivirus habilitado: Marcar para que el filtro busque virus.

Antispam habilitado: Marcar para que el filtro busque spam .

Puerto de servicio: Puerto que ocupará el filtro SMTP.

Notificar los mensajes problemáticos que no son spam : Podemos enviar notificaciones a una

cuenta de correo cuando se reciben correos problemáticos que no son spam , por ejemplo

con virus.

Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.

Por cada tipo de correo problemático, se pueden realizar las siguientes acciones:

Aprobar: No hacer nada, dejar pasar el correo a su destinatario.

Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el

mensaje ha sido descartado.

Rebotar: Igual que Rechazar , pero adjuntando una copia del mensaje en la notificación.

Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.

Desde Filtro de correo → Filtro de correo SMTP → Dominios virtuales se puede configurar el

comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben

las configuraciones generales definidas previamente.

Para personalizar la configuración de un dominio vir tual de correo, pulsamos sobre Añadir nuevo.

174




Los parámetros que se pueden sobreescribir son los siguientes:

Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan

configurado en Correo → Dominio Virtual .

Usar filtrado de virus / spam : Si están activados se filtrarán los correos recibidos en ese dominio

en busca de virus o spam respectivamente.

Umbral de spam : Se puede usar la puntuación por defecto de corte para los correos Spam , o un

valor personalizado.

Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado, cuando mensajes de

correo se coloquen en la carpeta de Spam serán aprendidos por el filtro como spam. Demanera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera

aprendido como ham.

Cuenta de aprendizaje de ham / spam : Si están activados se crearán las cuentas ham@dominio

y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para

entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam ,

mientras que el correo enviado a spam@dominio será aprendido como spam .

Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que sea

obligatorio procesar desde Política antispam para el emisor .

6.1.2 Listas de control de conexiones externas

Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden configurar las

conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de

correo que se ha configurado usando eBox. De la misma manera, se puede permitir a esos MTAs

externos filtrar correo de aquellos dominios virtuales externos a eBox que se permitan a través de su

175




configuración en esta sección. De esta manera, eBox puede distribuir su carga en dos máquinas, una

actuando como servidor de correo y otra como servidor para filtrar correo.

6.1.3 Proxy transparente para buzones de correo POP3

Si eBox está configurado como un proxy transparente, puede filtrar el correo POP. La máquina eBox

se colocará entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los

servidores de correo (MTA). Para ello, eBox usa p3scan 8.

Desde Filtro de correo → Proxy transparente POP se puede configurar el comportamiento del

filtrado:

Habilitado: Si está marcada, se filtrará el correo POP.

8 Transparent POP proxy http://p3scan.sourceforge.net/

176

http://p3scan.sourceforge.net/

http://p3scan.sourceforge.net/




Filtrar virus: Si está marcada, se filtrará el correo POP en busca de virus.

Filtrar spam: Si está marcada, se filtrará el correo POP en busca de spam .

Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, poniéndola aquí

avisaremos al filtro para que tome los correos con esa cabecera como spam .

Ejemplo práctico

Activar el filtro de correo y el antivirus . Enviar un correo con virus. Comprobar que el filtro surte efecto.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo filtro de correo, para

ello marcar su casilla en la columna Estado. Habilitar primero los módulos red y cortafuegos

si no se encuentran habilitados con anterioridad.





3. Acción: Acceder al menú Filtro de Correo → Filtro de correo SMTP , marcar las casillas Ha-

bilitado y Antivirus habilitado y pulsar el botón Cambiar.

Efecto: eBox nos avisa de que hemos modificado satisfactoriamente las opciones mediante el

mensaje Hecho.

4. Acción: Acceder a Correo → General → Opciones de Filtrado de Correo y seleccionar Filtro

de correo interno de eBox.

Efecto: eBox usará su propio sistema de filtrado.



muestra.El filtro de correo ha sido activado con la opción de antivirus.

6. Acción: Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que contiene un

virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de

eBox.

Efecto: El correo nunca llegará a su destino porque el antivirus lo habrá descartado.

177

http://www.eicar.org/download/eicar_com.zip






7. Acción: Acceder a la consola de la máquina eBox y examinar las últimas líneas del fichero

/var/log/mail.log , por ejemplo mediante el uso del comando tail.

Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especi-

ficándonos el nombre del virus:

Blocked INFECTED (Eicar-Test-Signature)

6.2 Configuración Avanzada para el proxy HTTP

6.2.1 Configuración de perfiles de filtrado

La configuración de perfiles de filtrado se realiza en la sección Proxy HTTP → Perfiles de Filtrado .

Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u

objetos de red.

Las opciones de configuración son idénticas a las explicadas en la configuración del perfil por

defecto, con una importante salvedad: es posible usar la misma configuración del perfil por defecto

en las distintas áreas de configuración. Para ello basta con marcar la opción Usar configuración por

defecto.

6.2.2 Perfil de filtrado por objeto

Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este

objeto usaran el perfil seleccionado en vez del perfil por defecto.

178




Para ello, hay que acceder a la sección Proxy HTTP → Política de objetos y cambiar el perfil

de filtrado en la linea correspondiente al objeto. Esta opción requiere que la política del objeto este

establecida a Filtrar.

6.2.3 Filtrado basado en grupos de usuarios

Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello primero

debemos usar como política global o del objeto de red desde el cuál accedemos al proxy , una de las

siguientes: Autorizar y permitir todo, Autorizar y denegar todo o Autorizar y filtrar.

Estas políticas hacen que el proxy pida identificación de usuario y de no ser satisfactoria se

bloqueará el acceso.

Warning: Hay que tener en cuenta que, por una limitación técnica de la autenticación HTTP, las

políticas con autenticación son incompatibles con el modo transparente.

Si tenemos establecida una política global con autorización podremos también establecer políticas

globales de grupo, la política nos permitirá controlar el acceso a los miembros del grupo y asignarle

un perfil de filtrado distinto del perfil por defecto.

Las políticas de grupo se gestionan en la sección Proxy HTTP → Política de Grupo . El acceso

del grupo puede ser permitir o denegar. Esto sólo afecta al acceso a la web, la activación del filtrado

de contenidos no depende de esto sino de que tengamos una política global o de objeto de filtrar. A

la política de grupo se le puede asignar un horario, fuera del horario el acceso será denegado.

Cada política de grupo tiene una prioridad reflejada en su posición en la lista (primero en la lista,

mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios

grupos, en cuyo caso le afectarán únicamente las políticas adoptadas al grupo de mayor prioridad.

También aquí se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de

contenidos a miembros del grupo de usuarios. En la próxima sección se explica el uso de los perfiles

de filtrado.

179




6.2.4 Filtrado basado en grupos de usuarios para objetos

Recordamos que es posible configurar políticas por objeto de red. Dichas políticas tienen prioridad

sobre la política general del proxy y sobre las políticas globales de grupo.

Además en caso de que hayamos elegido una política con autorización, es posible también definir

políticas por grupo. Las políticas de grupo en este caso sólo influyen en el acceso y no en el filtrado

que vendrá determinado por la política de objeto. Al igual que en la política general, las políticas con

autorización son incompatibles con el filtrado transparente.

Por último, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las políticas

de objeto. Por tanto, un grupo usará el perfil de filtrado establecido en su política global de grupo, sea

cual sea el objeto de red desde el que se acceda al proxy .

Ejemplo práctico

Tenemos que crear una política de acceso para dos grupos: IT y Contabilidad. Los miembros del

grupo de contabilidad sólo podrán acceder en horario de trabajo y tendrán el contenido filtrado con

mayor umbral que el resto de la empresa. Los miembros de IT podrán entrar a cualquier hora, no

tendrán filtrado pero tendrán denegada la misma listas de dominios que el resto de la empresa. Asum-

imos que los grupos y sus usuarios ya están creados.

Para ello, podemos seguir estos pasos:

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Proxy, para ellomarcar su casilla en la columna Estado.

Efecto: Una vez los cambios guardados, se pedirá autenticación a todo el que trate de acceder

al contenido web y de acceder el filtrado de contenidos estará activado.

180




2. Acción: Entrar a la gestión de perfiles de filtrado, situada en Proxy HTTP → Perfiles de Fil-

trado . Primero, agregar al perfil por defecto la lista de dominios prohibidos por la empresa.

Entrar por medio del icono en la columna de Configuración a los parámetros del perfil por de-

fecto. Seleccionar la pestaña Filtrado de dominios y en la lista de dominios añadir marca.es

y youtube.com .

A continuación, volver a Proxy HTTP → Perfiles de Filtrado , y crear dos nuevos perfiles de

filtrado para nuestros grupos, con los nombres Perfil IT y Perfil contabilidad . Seguidamente

configuraremos ambos.

El Perfil contabilidad tan sólo debe distinguirse por la poca tolerancia de su umbral, así que en

umbral de filtrado lo estableceremos al valor muy estricto , el resto de configuración debe seguirla política por defecto de la empresa así que tanto en Filtro de dominios, como en Filtro de

extensiones de fichero y en Filtro de tipos MIME marcaremos la opción Usar configuración

por defecto asegurándonos así que el comportamiento para estos elementos no diferirá de la

política por defecto.

En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los

que debemos seguir la política habitual. En consecuencia iremos a Filtro de dominios y

marcaremos la opción Usar configuración por defecto, el nivel de umbral lo dejaremos en

Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME, vacías.

Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuar-ios.

3. Acción: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos. Para ello en-

traremos en Proxy HTTP → Política de grupo .

Pulsaremos sobre Añadir nueva, seleccionaremos Contabilidad como grupo, estableceremos

el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de

contabilidad .

De igual manera crearemos una política para el grupo IT. Para este grupo seleccionaremos el

Perfil IT y no pondremos ninguna restricción en cuanto horario.

Efecto: Una vez guardados los cambios, habremos finalizado la configuración para este caso.Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las

dos políticas. Algunas cosas que podemos comprobar:

• Entrar como miembro de contabilidad en www.playboy.com y comprobar que es

denegada por el análisis de contenidos. A continuación entrar como miembro de IT

y comprobar que el análisis esta desactivado entrando en dicha página.

181




• Tratar de entrar en alguno de los dominios prohibidos, comprobando que la lista

está en vigor para ambos grupos.

• Cambiar la fecha a un día no laborable, comprobar que los miembros de IT pueden

acceder pero los de Contabilidad, no.

6.3 Interconexión segura entre redes locales

6.3.1 Redes privadas virtuales (VPN)Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios

remotos a través de Internet como para unir redes dispersas geográficamente.

Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que

dichos usuarios, al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a

ella. La solución obvia es permitir la conexión a través de Internet. Esto nos puede crear problemas

de seguridad y configuración, los cuales se tratan de resolver mediante el uso de las redes privadas

virtuales.

La solución que ofrece una VPN (Virtual Private Network ) a este problema es el uso de cifrado

para permitir sólo el acceso a los usuarios autorizados (de ahí el adjetivo privada). Para facilitar el usoy la configuración, las conexiones aparecen como si existiese una red entre los usuarios (de ahí lo de

virtual).

La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organización puede

desear conectar entre sí redes que se encuentran en sitios distintos. Por ejemplo, oficinas en distin-

tas ciudades. Antes, la solución a este problema estaba en la contratación de líneas dedicadas para

conectar dichas redes, este servicio es costoso y lento de desplegar. Sin embargo, el avance de Inter-

net proporcionó un medio barato y ubicuo, pero inseguro. De nuevo las características de autorización

y virtualización de las VPN resultaron la respuesta adecuada a dicho problema.

A este respecto, eBox ofrece dos modos de funcionamiento. Permite funcionar como servidor

para usuarios individuales y también como conexión entre dos o más redes gestionadas con eBox.

182




6.3.2 Infraestructura de clave pública (PKI) con una autoridad de certificación

(CA)

La VPN que usa eBox para garantizar la privacidad e integridad de los datos transmitidos utiliza

cifrado proporcionado por tecnología SSL. La tecnología SSL está extendida y lleva largo tiempo en

uso, así que podemos estar razonablemente seguros de su eficacia. Sin embargo, todo mecanismo de

cifrado tiene el problema de cómo distribuir las claves necesarias a los usuarios, sin que estas puedan

ser interceptadas por terceros. En el caso de las VPN, este paso es necesario cuando un nuevo

participante ingresa en la red privada virtual. La solución adoptada es el uso de una infraestructura

de clave pública (Public Key Infraestructure - PKI). Esta tecnología nos permite la utilización de clavesen un medio inseguro, como es el caso de Internet , sin que sea posible la interceptación de la clave

por observadores de la comunicación.

La PKI se basa en que cada participante genera un par de claves: una pública y una privada .

La pública es distribuida y la privada guardada en secreto. Cualquier participante que quiera cifrar

un mensaje puede hacerlo con la clave pública del destinatario, pero el mensaje sólo puede ser de-

scifrado con la clave privada del mismo. Como esta última no debe ser comunicada a nadie nos

aseguramos que el mensaje sólo pueda ser descifrado por el destinatario. No obstante, esta solución

engendra un nuevo problema. ¿Si cualquiera puede presentar una clave pública , cómo garantizamos

que un participante es realmente quien dice ser y no está suplantando una identidad que no le corre-

sponde?. Para resolver este problema, se crearon los certificados. 9

Figure 6.3: Cifrado con clave pública

Los certificados aprovechan otra capacidad de la PKI: la posibilidad de firmar ficheros. Para

firmar ficheros se usa la propia clave privada del firmante y para verificar la firma cualquiera puede

9 Existe mucha documentación sobre el cifrado basado en clave pública. Este enlace puede ser un comienzo:

http://en.wikipedia.org/wiki/Public-key_encryption

183






Figure 6.4: Firmado con clave pública

usar la clave pública . Un certificado es un fichero que contiene una clave pública , firmada por un

participante en el que confiamos. A este participante en el que depositamos la confianza de verificar

las identidades se le denomina autoridad de certificación (Certification Authority - CA).

Figure 6.5: Expedición de un certificado

6.3.3 Configuración de una Autoridad de Certificación con eBox

eBox tiene integrada la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados

expedidos por esta para tu organización. Utiliza las herramienta de consola OpenSSL 10 para este

10 OpenSSL - The open source toolkit for SSL/TLS <http://www.openssl.org/ >.

184

http://www.openssl.org/

http://www.openssl.org/




servicio.

Primero, es necesario generar las claves y expedir el certificado de la CA. Este paso es necesario

para firmar nuevos certificados, así que el resto de funcionalidades del módulo no estarán disponibles

hasta que las claves de la CA se generen y su certificado, que es auto firmado, sea expedido. Téngase

en cuenta que este módulo es independiente y no necesita ser activado en Estado del Módulo.

Accederemos a Autoridad de Certificación → General y nos encontraremos ante el formulario

para expedir el certificado de la CA tras generar automáticamente el par de claves. Se requerirá el

Nombre de la Organización y el Número de Días para Expirar. A la hora de establecer la duración

hay que tener en cuenta que su expiración revocará todos los certificados expedidos por esta CA,

provocando la parada de todos los servicios que dependan de estos certificados. También es posible

dar los siguientes datos de manera opcional:

Código del País Un acrónimo de dos letras que sigue el estándar ISO-3166.

Ciudad

Estado o Región

185




Una vez que la CA ha sido creada, seremos capaces de expedir certificados firmados por esta

CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certificación →

General . Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este

último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempoque la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un

servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio

del servidor. De todas maneras, se puede poner cualquier número de Nombres alternativos para

el sujeto 11 para el certificado para, por ejemplo, establecer otro nombre común a un dominio virtual

HTTP 12 o una dirección IP o incluso una dirección de correo para firmar los mensajes de correo

electrónico.

Una vez el certificado haya sido creado, aparecerá en la lista de certificados y estará disponible

para los módulos de eBox que usen certificados y para las demás aplicaciones externas. Además, a

través de la lista de certificados podemos realizar distintas acciones con ellos:

• Descargar las claves pública, privada y el certificado.

• Renovar un certificado.

11 Para tener más información sobre los nombres alternativos para un sujeto, v isita

http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name12 Para más información sobre los dominios virtuales en HTTP, investiga en la sección Dominios virtuales para obtener

más detalles.

186

http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name




• Revocar un certificado.

Si renovamos un certificado, el certificado actual será revocado y uno nuevo con la nueva fecha

de expiración será expedido junto al par de claves.

Si revocamos un certificado no podremos utilizarlo más ya que esta acción es permanente y no

se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo:

unspecified Motivo no especificado

keyCompromise La clave privada ha sido comprometida

CACompromise La clave privada de la autoridad de certificación ha sido comprometida

affilliationChanged Se ha producido un cambio en la afiliación de la clave pública firmada hacia otra

organización.superseded El certificado ha sido renovado y por tanto reemplaza al emitido.

cessationOfOperation Cese de operaciones de la entidad certificada.

certificateHold Certificado suspendido.

removeFromCRL Actualmente sin implementar da soporte a los CRLs delta o diferenciales.

Si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la

antigua fecha de expiración, si esto no es posible debido a que es posterior a la fecha de expiración

de la CA, entonces se establecerá la fecha de expiración de la CA.

187




Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de

cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.

Certificados de Servicios

En Autoridad de Certificación → Certificados de Servicios podemos encontrar la lista de módulos

de eBox usando certificados para sus servicios. Por omisión estos son generados por cada módulo,

pero si estamos usando la CA podemos remplazar estos certificados auto firmados por uno expedido

por la CA de nuestra organización. Para cada servicio podemos definir el Nombre Común del certifi-

cado y si no hay un certificado con ese Nombre Común, la CA expedirá uno. Para ofrecer este parde claves y el certificado firmado al servicio deberemos Activar el certificado para ese servicio.

Cada vez que un certificado se renueva se ofrece de nuevo al módulo de eBox pero es necesario

reiniciar ese servicio para forzarlo a usar el nuevo certificado.

Ejemplo práctico A

Crear una autoridad de certificación (CA) válida durante un año, después crear un certificado llamado

servidor y crear dos certificados para clientes llamados cliente1 y cliente2 .

1. Acción: En Autoridad de Certificación → General , en el formulario Expedir el Certificado dela Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días

para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certifi-

cación.

Efecto: El par de claves de la Autoridad de Certificación es generados y su certificado expe-

dido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la

Autoridad de Certificación será sustituido por uno para expedir certificados normales.

188




2. Acción: Usando el formulario Expedir un Nuevo Certificado para expedir certificados, es-

cribiremos servidor en Nombre Común y en Días para Expirar un número de días

menor o igual que el puesto en el certificado de la CA. Repetiremos estos pasos con los

nombres cliente1 y cliente2 .

Efecto: Los nuevos certificados aparecerán en el listado de certificados, listos para ser usa-

dos.

6.3.4 Configuración de una VPN con eBox

El producto seleccionado por eBox para crear las VPN es OpenVPN 13. OpenVPN posee las sigu-

ientes ventajas:

• Autenticación mediante infraestructura de clave pública.

• Cifrado basado en tecnología SSL.

• Clientes disponibles para Windows, MacOS y Linux.

• Código que se ejecuta en espacio de usuario, no hace falta modificación de la pila de red (al

contrario que con IPSec).

• Posibilidad de usar programas de red de forma transparente.

Cliente remoto con VPN

Se puede configurar eBox para dar soporte a clientes remotos (conocidos familiarmente como Road

Warriors ). Esto es, una máquina eBox trabajando como puerta de enlace y como servidor OpenVPN,

que tiene una red de área local (LAN) detrás, permitiendo a clientes en Internet (los road warriors )

conectarse a dicha red local vía servicio VPN.

La siguiente figura puede dar una visión más ajustada:

Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimosentre sí.

Para ello, necesitamos crear una Autoridad de Certificación y certificados para los dos clientes

remotos. Tenga en cuenta que también se necesita un certificado para el servidor OpenVPN. Sin

embargo, eBox creará este certificado automáticamente cuando cree un nuevo servidor OpenVPN.

En este escenario, eBox actúa como una Autoridad de Certificación.

13 OpenVPN: An open source SSL VPN Solution by James Yonan http://openvpn.net.

189

http://openvpn.net/

http://openvpn.net/

http://openvpn.net/




Figure 6.6: eBox y clientes remotos de VPN

Una vez tenemos los certificados, deberíamos poner a punto el servidor OpenVPN en eBox medi-

ante Crear un nuevo servidor. El único parámetro que necesitamos introducir para crear un servidor

es el nombre. eBox hace que la tarea de configurar un servidor OpenVPN sea sencilla, ya que es-

tablece valores de forma automática.

Los siguientes parámetros de configuración son añadidos automáticamente por eBox, y pueden

ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (eBox creará uno

automáticamente usando el nombre del servidor OpenVPN) y una dirección de red. Las direcciones

de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la dirección de

red nos deberemos asegurar que no entra en conflicto con una red local. Además, las redes locales,

es decir, las redes conectadas directamente a los interfaces de red de la máquina, se anunciarán

automáticamente a través de la red privada.

Como vemos, el servidor OpenVPN estará escuchando en todas las interfaces externas. Por

tanto, debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces . En

nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa para el

lado colocado hacia Internet. Es posible configurar nuestro servidor para escuchar en las interfaces

internas, activando la opción de Network Address Translation (NAT), pero de momento la vamos a

ignorar.

Si queremos que los clientes puedan conectarse entre sí usando su dirección de VPN, debemos

activar la opción Permitir conexiones entre clientes.

El resto de opciones de configuración las podemos dejar con sus valores por defecto.

190




Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posterior-

mente, se debe comprobar en Dashboard que un servidor OpenVPN está funcionando.

Tras ello, debemos anunciar redes, dichas redes serán accesibles por los clientes OpenVPN

autorizados. Hay que tener en cuenta que eBox anunciará todas las redes internas automáticamente.Por supuesto, podemos añadir o eliminar las rutas que necesitemos. En nuestro escenario, se habrá

añadido automáticamente la red local para hacer visible el cliente 3 a los otros dos clientes.

Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar

un cliente OpenVPN es utilizando nuestros bundles . Estos están disponibles en la tabla que aparece

en VPN → Servidores , pulsando el icono de la columna Descargar bundle del cliente. Se han

creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS™ o

GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certificados

que se van dar al cliente y se establece la dirección IP externa a la cual los clientes VPN se deben

conectar. Si el sistema seleccionado es Windows™, se incluye también un instalador de OpenVPN

para Win32 . Los bundles de configuración los descargará el administrador de eBox para distribuirlosa los clientes de la manera que crea más oportuna.

191




Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conex-

ión VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del

recientemente creado directorio, el siguiente comando:

openvpn --config filename

Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Hay que tener en cuenta que

el servicio local de DNS de eBox no funciona a través de la red privada a no ser que se configuren

los clientes remotos para que usen eBox como servidor de nombres. Es por ello que no podremos

acceder a los servicios de las máquinas de la LAN por nombre, únicamente podremos hacerlo por

dirección IP. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos porWindows, para navegar en los recursos compartidos desde la VPN se deben explícitamente permitir

el tráfico de difusión del servidor SMB/CIFS.

Para conectar entre sí los clientes remotos, necesitamos activar la opción Permitir conexiones

cliente-a-cliente dentro de la configuración del servidor OpenVPN. Para comprobar que la configu-

ración es correcta, observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se

han añadido al interfaz virtual tapX.

Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de eBox.

Ejemplo práctico B

En este ejercicio vamos a configurar un servidor de VPN. Configuraremos un cliente en un ordenador

residente en una red externa, conectaremos a la VPN y a través de ella accederemos a una máquina

residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna.

14 Para más información sobre compartición de ficheros ir a la sección Servicio de compartición de ficheros y de auten-

ticación

192




Para ello:

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo OpenVPN, para ello

marcar su casilla en la columna Estado .

Efecto: eBox solicita permiso para realizar algunas acciones.

2. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.

Efecto: Se ha activado el botón Guardar cambios.

3. Acción: Acceder a la interfaz de eBox, entrar en la sección VPN → Servidores , pulsar sobre

Añadir nuevo, aparecerá un formulario con los campos Habilitado y Nombre. Introduciremosun nombre para el servidor.

Efecto: El nuevo servidor aparecerá en la lista de servidores.

4. Acción: Pulsar en Guardar cambios y aceptar todos los cambios.

Efecto: El servidor está activo, podemos comprobar su estado en la sección Dashboard .

5. Acción: Para facilitar la configuración del cliente, descargar el bundle de configuración para

el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y

rellenar el formulario de configuración. Introducir las siguientes opciones:

• Tipo de cliente: seleccionar Linux , ya que es el SO del cliente.• Certificado del cliente: elegir cliente1. Si no está creado este certificado, crearlo

siguiendo las instrucciones del ejercicio anterior.

• Dirección del servidor: aquí introducir la dirección por la que el cliente puede al-

canzar al servidor VPN. En nuestro escenario coincide con la dirección de la interfaz

externa conectada a la misma red que el ordenador cliente.

Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el

cliente. Será un archivo en formato comprimido .tar.gz .

6. Acción: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio.

Observar que el bundle contenía los ficheros con los certificados necesarios y un ficherode configuración con la extensión ‘.conf’. Si no han existido equivocaciones en los pasos

anteriores ya tenemos toda la configuración necesaria y no nos queda más que lanzar el

programa.

Para lanzar el cliente ejecutar el siguiente comando dentro del directorio:

193




openvpn --config [ nombre_del_fichero.conf ]

Efecto: Al lanzar el comando en la ventana de terminal se irán imprimiendo las acciones

realizadas por el programa. Si todo es correcto, cuando la conexión esté lista se

leerá en la pantalla Initialization Sequence Completed ; en caso contrario se leerán

mensajes de error que ayudarán a diagnosticar el problema.

7. Acción: Antes de comprobar que existe conexión entre el cliente y el ordenador de la red

privada, debemos estar seguros que este último tiene ruta de retorno al cliente VPN. Si

estamos usando eBox como puerta de enlace por defecto, no habrá problema, en casocontrario necesitaremos añadir una ruta al cliente.

Primero comprobaremos que existe la conexión con el comando ping, para ello eje-

cutaremos el siguiente comando:

ping -c 3 [ dirección_ip_del_otro_ordenador ]

Para comprobar que no sólo hay comunicación sino que podemos acceder a los recursos

del otro ordenador, iniciar una sesión de consola remota, para ello usamos el siguiente

comando desde el ordenador del cliente:

ssh [ dirección_ip_del_otro_ordenador ]

Después de aceptar la identidad del ordenador e introducir usuario y contraseña, acced-

eremos a la consola del otro ordenador.

Cliente remoto NAT con VPN

Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la

máquina no posee interfaces externos, entonces necesitaremos activar la opción de Network Ad-

dress Translation. Como es una opción del cortafuegos, tendremos que asegurarnos que el módulode cortafuegos está activo, de lo contrario no podremos activar esta opción. Con dicha opción, el

servidor VPN se encargará de actuar como representante de los clientes VPN dentro de la red lo-

cal. En realidad, lo será de todas las redes anunciadas, para asegurarse que recibe los paquetes de

respuesta que posteriormente reenviará a través de la red privada a sus clientes. Esta situación se

explica mejor con el siguiente gráfico:

194




Figure 6.7: Conexión desde un cliente VPN a la LAN con VPN usando NAT

Interconexión segura entre redes locales

En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a

través de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace. Una ac-

tuará como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situación:

Figure 6.8: eBox como servidor OpenVPN vs. eBox como cliente OpenVPN

Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estu-viesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en

el Ejemplo práctico B .

Sin embargo, se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles

eBox a eBox para intercambiar rutas entre máquinas eBox y contraseña túnel eBox a eBox para

establecer la conexión en un entorno más seguro entre las dos oficinas. Hay que tener en cuenta que

deberemos anunciar la red LAN 1 en Redes anunciadas.

195




Para configurar eBox como un cliente OpenVPN, podemos hacerlo a través de VPN → Clientes .

Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuración del cliente

manualmente o automáticamente usando el bundle dado por el servidor VPN, como hemos hecho en

el Ejemplo práctico B . Si no se usa el bundle , se tendrá que dar la dirección IP y el par protocolo-

puerto donde estará aceptando peticiones el servidor. También será necesaria la contraseña del

túnel y los certificados usados por el cliente. Estos certificados deberán haber sido creados por la

misma autoridad de certificación que use el servidor.

Cuando se guardan los cambios, en el Dashboard , se puede ver un nuevo demonio OpenVPN en

la red 2 ejecutándose como cliente con la conexión objetivo dirigida a la otra eBox dentro de la LAN 1.

Cuando la conexión esté completa, la máquina que tiene el papel de servidor tendrá acceso a

todas las rutas de las maquinas clientes a través de la VPN. Sin embargo, aquellas cuyo papel sea de

196




cliente sólo tendrán acceso a aquellas rutas que el servidor haya anunciado explícitamente.

Ejemplo práctico C

El objetivo de este ejercicio es montar un túnel entre dos redes que usan servidores eBox como puerta

de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar

entre sí.

1. Acción: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el túnel.

Asegurarse de que el módulo de VPN está activado y activarlo si es necesario. Una vez en

la sección VPN → Servidores , crear un nuevo servidor. Usar los siguientes parámetros de

configuración:

• Puerto: elegir un puerto que no esté en uso, como el 7766.

• Dirección de VPN: introducir una dirección privada de red que no esté en uso en ninguna

parte de nuestra infraestructura, por ejemplo 192.168.77.0/24.

• Habilitar Permitir túneles eBox-a-eBox. Esta es la opción que indica que va a ser un

servidor de túneles.

• Introducir una contraseña para túneles eBox-a-eBox.

• Finalmente, desde la selección de Interfaces donde escuchará el servidor, elegir la

interfaz externa con la que podrá conectar la eBox cliente.

Para concluir la configuración del servidor se deben anunciar redes siguiendo los mismos pasos

que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso

el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente

suministrará todas sus rutas automáticamente al servidor. Nos resta habilitar el servidor y

guardar cambios.

Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, pode-

mos comprobar su estado en el Dashboard .

2. Acción: Para facilitar el proceso de configuración del cliente, obtener un bundle de configu-ración del cliente, descargándolo del servidor. Para descargarlo, acceder de nuevo a la interfaz

Web de eBox y en la sección VPN → Servidores , pulsar en Descargar bundle de configu-

ración del cliente en nuestro servidor. Antes de poder descargar el bundle se deben estable-

cer algunos parámetros en el formulario de descarga:

• Tipo de cliente: elegir Túnel eBox a eBox .

197




• Certificado del cliente: elegir un certificado que no sea el del servidor ni esté en uso por

ningún cliente más. Sino se tienen suficientes certificados, seguir los pasos de ejercicios

anteriores para crear un certificado que pueda usar el cliente.

• Dirección del servidor: aquí se debe introducir la dirección por la que el cliente pueda

conectar con el servidor, en nuestro escenario la dirección de la interfaz externa conec-

tada a la red visible tanto por el servidor como el cliente será la dirección adecuada.

Una vez introducidos todos los datos pulsamos el botón de Descargar.

Efecto: Descargamos un archivo tar.gz con los datos de configuración necesarios para el

cliente.3. Acción: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Com-

probar que el módulo VPN está activo, ir a la sección VPN → Clientes . En esta sección se

ve una lista vacía de clientes, para crear uno pulsar sobre Añadir cliente e introducir un nom-

bre para él. Como no está configurado no se podrá habilitar, así que se debe volver a la lista

de clientes y pulsar en el apartado de configuración correspondiente a nuestro cliente. Dado

que se tiene un bundle de configuración de cliente, no se necesita rellenar las secciones a

mano. Usaremos la opción Subir bundle de configuración del cliente, seleccionar el archivo

obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuración, se

puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el

icono de Editar, que se encuentra en la columna de Acciones. Aparecerá un formulario dondepodremos marcar la opción de Habilitado . Ahora tenemos el cliente totalmente configurado y

sólo nos resta guardar los cambios.

Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos compro-

bar enel Dashboard . Si tanto la configuración del servidor como del cliente son correctas,

el cliente iniciará la conexión y en un instante tendremos el túnel listo.

4. Acción: Ahora se comprobará que los ordenadores en las redes internas del servidor y del

cliente pueden verse entre sí. Además de la existencia del túnel serán necesarios los siguientes

requisitos:

• Los ordenadores deberán conocer la ruta de retorno a la otra red privada. Si, como ennuestro escenario, eBox está siendo utilizado como puerta de enlace no habrá necesidad

de introducir rutas adicionales.

• El cortafuegos deberá permitir conexiones entre las rutas para los servicios que utilice-

mos.

198




Una vez comprobados estos requisitos podremos pasar a comprobar la conexión, para ello

entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las

siguientes comprobaciones:

• Ping a un ordenador en la red del cliente VPN.

• Tratar de iniciar una sesión SSH en un ordenador de la red del cliente VPN.

Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente

VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN.

6.4 Sistema de Detección de Intrusos (IDS)

Un Sistema de Detección de Intrusos (IDS) es una aplicación diseñada para evitar accesos no

deseados a nuestras máquinas, principalmente ataques provenientes de Internet .

Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones, lo cual se

realiza mediante un conjunto de reglas que se aplican sobre los paquetes del tráfico entrante. Además

de registrar todos los eventos sospechosos, añadiendo información útil (como puede ser la dirección

IP de origen del ataque), a una base de datos o fichero de registro; algunos IDS combinados con el

cortafuegos también son capaces de bloquear los intentos de intrusión.

Existen distintos tipos de IDS, el más común de ellos es el Sistema de Detección de Intrusos de

Red (NIDS), se encarga de examinar todo el tráfico de una red local. Uno de los NIDS más populares

es Snort 15, que es la herramienta que integra eBox para realizar dicha tarea.

6.4.1 Configuración de un IDS con eBox

La configuración del Sistema de Detección de Intrusos en eBox es muy sencilla. Solamente nece-

sitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en

qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos

conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas encaso de resultados positivos.

A ambas opciones de configuración se accede a través del menú IDS . En la pestaña Interfaces

aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Por defecto,

todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU

15 Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www.snort.org

199

http://www.snort.org/

http://www.snort.org/




que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en

la casilla de selección.

En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjun-

tos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules ). Por

defecto, se encuentra habilitado un conjunto típico de reglas. Podemos ahorrar tiempo de CPU desac-

tivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra

red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que

nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las

interfaces.

200




6.4.2 Alertas del IDS

Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero su única utili-

dad sería que podríamos observar manualmente las distintas alertas en el fichero /var/log/snort/alert .

Como vamos a ver, gracias al sistema de registros y eventos de eBox podemos hacer que esta tarea

sea más sencilla y eficiente.

El módulo IDS se encuentra integrado con el módulo de registros de eBox, así que si este último

se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento

habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notifi-

cada al administrador del sistema por alguno de los distintos medios disponibles.

Para más información al respecto, consultar el capítulo Registros .

Ejemplo práctico

Habilitar módulo IDS y lanzar un “ataque” basado en el escaneo de puertos contra la máquina eBox.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo IDS, para ello marcar

su casilla en la columna Estado. Nos informa de que se modificará la configuración de Snort.

Permitir la operación pulsando el botón Aceptar.


2. Acción: Del mismo modo, activar el módulo registros, en caso de que no se encontrase

activado previamente.

Efecto: Cuando el IDS entre en funcionamiento podrá registrar sus alertas.

3. Acción: Acceder al menú IDS y en la pestaña Interfaces activar una interfaz que sea alcanz-

able desde la máquina en la que lanzaremos el ataque.


los cambios.



muestra.

A partir de ahora el IDS se encuentra analizando el tráfico de la interfaz seleccionada.

5. Acción: Instalar el paquete nmap en otra máquina mediante el comando aptitude install nmap .

201




Efecto: La herramienta nmap se encuentra instalada en el sistema.

6. Acción: Desde la misma máquina ejecutar el comando nmap pasándole como único argu-

mento de línea de comandos la dirección IP de la interfaz de eBox seleccionada anteriormente.

Efecto: Se efectuarán intentos de conexión a distintos puertos de la máquina eBox. Se puede

interrumpir el proceso pulsando Ctrl-c.

7. Acción: Acceder a Registros → Consulta Registros y seleccionar Informe completo para el

dominio IDS.

Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar.

202



Chapter 7

eBox Core

En eBox no sólo se configuran los servicios de red de manera integrada. Sino que además ofrece una

serie de características que facilitan y hacen más eficiente la administración de eBox. Este conjunto

de características es lo que denominamos el núcleo del sistema eBox.

Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber

qué ha pasado y cuándo, notificaciones ante incidencias o determinados eventos, monitorización de

la máquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en

este apartado.

7.1 Registros

eBox proporciona una infraestructura para que sus módulos puedan registrar todo tipo de eventos que

puedan ser útiles para el administrador. Estos registros se pueden consultar a través de la interfaz de

eBox de manera común. Estos registros se almacenan en una base de datos para hacer la consulta,

los informes y las actualizaciones de manera más sencilla y eficiente. El gestor de base de datos que

se usa es PostgreSQL 1.

Además podemos configurar distintos manejadores para los eventos, de forma que el admin-

istrador pueda ser notificado por distintos medios (Correo, Jabber o RSS 2).

Disponemos de registros para los siguientes servicios:

1 PostgreSQL The world’s most advanced open source database http://www.postgresql.org/ .2 RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actual-

izadas http://www.rssboard.org/rss-specification/ .

203

http://www.postgresql.org/


http://www.rssboard.org/rss-specification/

http://www.rssboard.org/rss-specification/





• OpenVPN (Redes privadas virtuales (VPN))

• SMTP Filter (Filtrado de Correo SMTP )

• POP3 proxy (Proxy transparente para buzones de correo POP3 )

• Impresoras (Servicio de compartición de impresoras )

• Cortafuegos (Cortafuegos )

• DHCP (Servicio de configuración de red (DHCP))

• Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4))

• Proxy HTTP (Servicio Proxy HTTP )

• Ficheros compartidos (Servicio de compartición de ficheros y de autenticación )

• IDS (Sistema de Detección de Intrusos (IDS))

Así mismo, podemos recibir notificaciones de los siguientes eventos:

• Valores específicos de los registros.

• Estado de salud de eBox.

• Estado de los servicios.

• Eventos del subsistema RAID por software

• Espacio libre en disco.

• Problemas con los routers de salida a Internet .

• Finalización de una copia completa de datos.

En primer lugar, para que funcionen los registros, al igual que con el resto de módulos de eBox,

debemos asegurarnos de que este se encuentre habilitado.

Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtener

informes de los registros existentes, podemos acceder a la sección Registros → Consultar registros

del menú de eBox.

Podemos obtener un Informe completo de todos los dominios de registro. Además, algunos

de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visión global del

funcionamiento del servicio durante un periodo de tiempo.

En el Informe completo se nos ofrece una lista de todas las acciones registradas para el do-

minio seleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo,

204



CHAPTER 7. EBOX CORE

Figure 7.1: Pantalla de consulta de registros

para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con

un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determi-

nado cliente a qué páginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta

personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores de-

pendientes del tipo de dominio. Dicha búsqueda podemos almacenarla en forma de evento para que

nos avise cuando ocurra alguna coincidencia. Además, si la consulta se realiza hasta el momento

actual, el resultado se irá refrescando con nuevos datos.

El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un día,

una hora, una semana o un mes. La información que obtenemos es una o varias gráficas, acom-

pañadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver,

como ejemplo, las estadísticas de peticiones y tráfico del proxy HTTP al día.

7.1.1 Configuración de registros

Una vez que hemos visto como podemos consultar los registros, es importante también saber quepodemos configurarlos en la sección Registros → Configurar los registros del menú de eBox.

Los valores configurables para cada dominio instalado son:

Habilitado: Si esta opción no está activada no se escribirán los registros de ese dominio.

Purgar registros anteriores a: Establece el tiempo máximo que se guardarán los registros. Todos

aquellos valores cuya antigüedad supere el periodo especificado, serán desechados.

205




Figure 7.2: Pantalla de informe completo

Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determi-

nado periodo. Esto lo hacemos mediante el botón Purgar de la sección Forzar la purga de registros ,

que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 días.

Ejemplo práctico

Habilitar el módulo de registros. Usar el Ejemplo práctico como referencia para generar tráfico de

correo electrónico conteniendo virus, spam , remitentes prohibidos y ficheros prohibidos. Observar los

resultados en Registros → Consulta Registros → Informe completo .

1. Acción: Acceder a eBox, entrar en Estado del módulo y activa el módulo registros, para ello

marcar su casilla en la columna Estado. Nos informa de que se creará una base de datos para

guardar los registros. Permitir la operación pulsando el botón Aceptar.


2. Acción: Acceder al menú Registros →Configurar registros y comprobar que los registros para

el dominio Correo se encuentran habilitados.

Efecto: Hemos habilitado el módulo registros y nos hemos asegurado de tener activados los

registros para el correo.

206




Figure 7.3: Pantalla de informe resumido

207




Figure 7.4: Pantalla de configurar registros



muestra.

A partir de ahora quedarán registrados todos los correos que enviemos.

4. Acción: Volver a enviar unos cuantos correos problemáticos (con spam o virus) como se hizo

en el tema correspondiente.

Efecto: Como ahora el módulo registros está habilitado, los correos han quedado registrados,

a diferencia de lo que ocurrió cuando los enviamos por primera vez.

5. Acción: Acceder a Registros → Consulta Registros y seleccionar Informe completo para el

dominio Correo.

Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando

distintas informaciones de cada uno.

208




7.2 Monitorización

El módulo de monitorización permite al administrador conocer el estado del uso de los recursos del

servidor eBox. Esta información es esencial tanto para diagnosticar problemas como para planificar

los recursos necesarios con el objetivo de evitar problemas.

Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos

valores son normales o están fuera del rango común de valores, tanto en su valor inferior como

superior. El principal problema de la monitorización es la selección de aquellos valores significativos

del sistema. Para cada una de las máquinas esos valores pueden ser diferentes. Por ejemplo, en un

servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminadorla memoria disponible y la carga son valores mucho más significativos para conocer el estado del

servicio ofrecido. Es conveniente evitar la obtención de muchos valores sin ningún objetivo concreto.

Es por ello que las métricas que monitoriza eBox son relativamente limitadas. Estas son: carga

del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros.

La monitorización se hace mediante gráficas que permiten hacerse fácilmente una idea de la

evolución del uso de recursos. Para acceder a las gráficas se hace a través de la entrada Monitor-

ización . Ahí se muestran las gráficas de las medidas monitorizadas. Colocando el cursor encima de

algún punto de la línea de la gráfica en el que estemos interesados podremos saber el valor exacto

para ese momento.

Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un año. Para

ello simplemente pulsaremos sobre la pestaña correspondiente.

209




7.2.1 Métricas

Carga del sistema

La carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por el

computador. Esta métrica se calcula usando el número de tareas ejecutables en la cola de ejecución

y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos.

La interpretación de esta métrica es la capacidad de la CPU usada en el periodo elegido. Así, una

carga de 1 significaría que esta operando a plena capacidad. Un valor de 0.5 significaría que podría

llegar a soportar el doble de trabajo. Y siguiendo la misma proporción, un valor de 2 se interpretaría

como que le estamos exigiendo el doble del trabajo que puede realizar.

Hay que tener en cuenta que los procesos que están interrumpidos por motivos de lec-

tura/escritura en almacenamiento también contribuyen a la métrica de carga. En estos casos no

se correspondería bien con el uso de la CPU, pero seguiría siendo útil para estimar la relación entre

la demanda y la capacidad de trabajo.

210




Uso de la CPU

Con esta gráfica tendremos una información detallada del uso de la CPU. En caso de que dispong-

amos de una maquina con múltiples CPUs tendremos una gráfica para cada una de ellas.

En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,

ejecutando código de usuario, código del sistema, estamos inactivo, en espera de una operación de

entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling

conocidos como jiffies . En la mayoría de sistemas Linux ese valor es 100 por segundo pero no hay

ninguna limitación o posibilidad que dicho valor sea diferente.

211




Uso de la memoria

La gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:

Memoria libre: Cantidad de memoria no usada

Caché de pagina: Cantidad destinada a la caché del sistema de ficheros

Buffer cache : Cantidad destinada a la caché de los procesos

Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachés .

Uso del sistema de ficheros

Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.

212




Temperatura

Con esta gráfica es posible leer la información disponible sobre la temperatura del sistema en grados

centígrados usando el sistema ACPI 3. Para tener activada esta métrica, es necesario que existan

datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone .

3 La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la configuración

de dispositivos centrada en sistemas operativos y en la gestión de energía del computador. http://www.acpi.info/

213

http://www.acpi.info/

http://www.acpi.info/




7.2.2 Alertas

Las gráficas no tendrían ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos

valores de la monitorización. De esta manera, podemos saber cuando la máquina está sufriendo una

carga inusual o está llegando a su máxima capacidad.

Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando en Even-

tos → Configurar eventos , podemos ver la lista de eventos disponibles, los eventos de monitorización

están agrupados en el vento Monitor.

Pulsando en la celda de configuración, accederemos a la configuración de este evento. Podremos

elegir cualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento.

En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo , pudiendo así dis-

criminar entre la gravedad del evento. Tenemos la opción de invertir: que hará que los valores

considerados correctos sean considerados fallos y a la inversa. Otra opción importante es la de per-

sistente:. Dependiendo de la métrica también podremos elegir otros parámetros relacionados con

214




esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga

puede ser útil la carga a corto plazo, etc.

Cada medida tiene una métrica que se describe como sigue:

Carga del sistema: Los valores deben ser en número de tareas ejecutables media en la cola de

ejecución.

Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling .

Uso de la memoria física: Los valores deben establecerse en bytes.

Sistema de ficheros: Los valores deben establecerse en bytes.Temperatura: Los valores a establecer debe establecer en grados.

Una vez configurado y activado el evento deberemos configurar al menos un observador para

recibir las alertas. La configuración de los observadores es igual que la de cualquier evento, así que

deberemos seguir las indicaciones contenida en el capítulo de Incidencias (eventos y alertas).

7.3 Incidencias (eventos y alertas)

Aunque la posibilidad de hacer consultas personalizadas a los registros, o la visualización de losresúmenes son opciones muy útiles. Se complementan mejor todavía con las posibilidades de moni-

torización de eventos a través de la notificación.

Disponemos de los siguientes mecanismos emisores para la notificación de incidencias:

• Correo 4

• Jabber

• Registro

• RSS

Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado.Para habilitarlo, como de costumbre, debemos ir a Estado del módulo y seleccionar la casilla eventos.

A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por

defecto, para los eventos tendremos que activar explícitamente aquellos que nos interesen.

4 Teniendo instalado y configuración el módulo de correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)).

215




Para activar cualquiera de ellos accederemos al menú Eventos → Configurar eventos . Podemos

editar el estado de cada uno mediante el icono del lápiz. Para ello marcaremos la casilla Habilitado y

pulsaremos el botón Cambiar.

Figure 7.5: Pantalla de configurar eventos

Además, algunos eventos como el observador de registros o el observador de espacio restante

en disco tienen sus propios parámetros de configuración.

La configuración para el observador de espacio en disco libre es sencilla. Sólo debemos especi-

ficar el porcentaje mínimo de espacio libre con el que queremos ser notificados (cuando sea menor

de ese valor).

En el caso del observador de registros, podemos elegir en primer lugar qué dominios de registro

queremos observar. Después, por cada uno de ellos, podemos añadir reglas de filtrado específicas

dependientes del dominio. Por ejemplo: peticiones denegadas en el proxy HTTP, concesiones DHCP

a una determinada IP, trabajos de cola de impresión cancelados, etc. La creación de alertas para

monitorizar también se puede hacer mediante el botón Guardar como evento a través de Registros

→ Consultar registros → Informe completo .

Respecto a la selección de medios para la notificación de los eventos, podemos seleccionar los

emisores que deseemos en la pestaña Configurar emisores .

216




Figure 7.6: Pantalla de configurar observadores de registros

Figure 7.7: Pantalla de configurar emisores

217




De idéntica forma a la activación de eventos, debemos editarlos y seleccionar la casilla Habili-

tado. Excepto en el caso del fichero de registro (que escribirá implícitamente los eventos recibidos al

fichero /var/log/ebox/ebox.log ), el resto de emisores requieren una configuración adicional que detal-

lamos a continuación:

Correo: Debemos especificar la dirección de correo destino (típicamente la del administrador de

eBox), además podemos personalizar el asunto de los mensajes.

Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y con-

traseña del usuario que nos notificará los eventos, y la cuenta Jabber del administrador que

recibirá dichas notificaciones.

RSS: Nos permite seleccionar una política de lectores permitidos, así como el enlace del canal. Pode-

mos hacer que el canal sea público, que no sea accesible para nadie, o autorizar sólo a una

dirección IP u objeto determinado.

7.3.1 Ejemplo práctico

Usar el módulo eventos para hacer aparecer el mensaje “eBox is up and running” en el fichero

/var/log/ebox/ebox.log. Dicho mensaje se generará cada vez que se reinicie el módulo

de eventos.

1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo eventos, para ello

marcar su casilla en la columna Estado.


2. Acción: Acceder al menú Eventos y a la pestaña Configurar eventos . Pulsar el icono del lápiz

sobre la fila Estado. Marcar la casilla Habilitado y pulsar el botón Cambiar.

Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado.

3. Acción: Acceder a la pestaña Configurar emisores . Pulsar el icono del lápiz sobre la fila

Registro. Marcar la casilla Habilitado y pulsar el botón Cambiar.

Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro.



muestra.

En el fichero de registro /var/log/ebox/ebox.log aparecerá un evento con el mensaje ‘eBox

is up and running’ .

218




5. Acción: Desde la consola de la máquina eBox, ejecutar el comando sudo /etc/init.d/ebox

events restart .

Efecto: En el fichero de registro /var/log/ebox/ebox.log volverá a aparecer un nuevo evento

con el mensaje ‘eBox is up and running’ .

7.4 Copias de seguridad

7.4.1 Diseño de un sistema de copias de seguridadLa pérdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos.

Fallos de hardware , fallos de software o un error humano pueden provocar un daño irreparable en el

sistema o la pérdida de datos importantes.

Es por tanto imprescindible diseñar un correcto procedimiento para realizar, comprobar y

restaurar copias de seguridad o respaldo del sistema, tanto de configuración como de datos.

Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es

decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera

copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio con-

sumido para realizar copias de seguridad aunque requieren lógica adicional para la restauración dela copia de seguridad. La decisión más habitual es realizar copias incrementales y de vez en cuando

hacer una copia completa a otro medio, pero esto dependerá de nuestras necesidades y recursos de

almacenamiento disponibles.

Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma

máquina o a otra remota. El uso de una máquina remota ofrece un nivel de seguridad mayor debido

a la separación física. Un fallo de hardware , un fallo de software , un error humano o una intrusión en

el servidor principal no deberían de afectar la integridad de las copias de seguridad. Para minimizar

este riesgo el servidor de copias debería ser exclusivamente dedicado para tal fin y no ofrecer otros

servicios adicionales más allá de los requeridos para realizar las copias. Tener dos servidores no

dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso enuno lleva a un compromiso del otro.

219




7.4.2 Configuración de las copias de seguridad con eBox

En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente.

En caso de éste último, necesitaremos especificar que protocolo se usa para conectarse al servidor

remoto.

Figure 7.8: Configuración

Método: Los distintos métodos que son soportados actualmente son eBox Backup Storage (EU),

eBox Backup Storage (US Denver), eBox Backup Storage (US West Coast), FTP , SCP y Sis-

tema de ficheros . Debemos tener en cuenta que dependiendo del método que seleccione

deberemos proporcionar más o menos información: dirección del servidor remoto, usuario o

contraseña. Todos los métodos salvo Sistema de ficheros acceden servicios remotos. Ésto sig-

nifica que proporcionaremos los credenciales adecuados para conectar con el servidor. Puedes

crear una cuenta en nuestra tienda 5 para los métodos eBox Backup Storage , emplea este ser-

vicio para disfrutar de una ubicación segura remota donde almacenar tus datos. Además no

necesitarás incluir la dirección del servidor remoto ya que eBox lo tendrá configurado automáti-

camente. Por otro lado, si se selecciona FTP o SCP tendremos que introducir la dirección del

servidor remoto.

5 Tienda de eBox Technologies en https://store.ebox-technologies.com

220

https://store.ebox-technologies.com/

https://store.ebox-technologies.com/




Warning: Si usamos SCP , tendremos que ejecutar sudo ssh usuario@servidor y aceptar la

huella del servidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza

esta operación, la copia de respaldo no podrá ser realizada ya que fallará la conexión con el

servidor.

Servidor o destino:

Para FTP , y SCP tenemos que proporcionar el nombre del servidor

remoto o su dirección IP. En caso de usar Sistema de ficheros , introduciremos la ruta de un

directorio local. Si se usa cualquiera de los métodos de eBox Backup Storage , entonces sólo

se requiere introducir una ruta relativa.

Usuario: Nombre de usuario para autenticarse en la máquina remota.

Contraseña: Contraseña para autenticarse en la máquina remota.

Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simétrica que se in-

troduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado

asimétrico a tus datos.

Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia

con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario ,

Semanal y Mensual .

Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales

que están almacenadas. Es importante y debemos familiarizarnos con lo que significa. Tiene

relación directa con Frecuencia de copia de seguridad completa . Si seleccionamos una fre-

cuencia Semanal y el número de copias almacenadas a 2, la copia de respaldando más antigua

será de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo más

antigua será de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos

almacenar de las copias de respaldo y el espacio en disco que tengamos.

Frecuencia de copia incremental: Este valor también está relacionado con Frecuencia de copia de

seguridad completa . Una configuración típica de copias de respaldo consiste en realizar copias

incrementales entre las copias completas. Estas copias deben hacerse con más frecuenciaque las completas. Esto significa que si tenemos copias completas semanales, las copias

incrementales se harán diarias. Por el contrario, no tiene sentido hacer copias incrementales

con las misma frecuencia que las completas. Para entender ésto mejor veamos un ejemplo:

El valor de Frecuencia de copia completa es semanal. El Numero de copias totales a

almacenar es 4. Con esta configuración tendremos cuatro copias de seguridad completas de

221




cuatro semanas, y entre cada copia completa tendremos copias incrementales. Es decir, un

mes entero de copias. Lo que significa que podemos restaurar cualquier día arbitrario del mes.

Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso

de la toma de la copia de respaldo. Es una buena idea establecerlo a horas cuando no haya

nadie en la oficina ya que puede consumir bastante ancho de banda de subida.

Configuración de los directorios y ficheros que son respaldados

La configuración por defecto efectuará una copia de todo el sistema de ficheros. Esto significa que

ante un eventual desastre seremos capaces de restaurar la máquina completamente. Es un buena

idea no cambiar esta configuración al menos que tengas problemas de espacio. Una copia completa

de una máquina eBox con todos sus módulos ocupa alrededor de 300 MB.

Figure 7.9: Lista de inclusión y exclusión

La lista por defecto de directorios excluidos es: /mnt , /dev , /media , /sys , y /proc . Es una mala

idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podría

fallar.

La lista por defecto de directorios incluidos es: / .

Podemos excluir extensiones de fichero utilizando caracteres de shell . Por ejemplo, si quieres

saltarte ficheros de vídeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresión regular

y añadir *.avi .

222




Comprobando el estado de las copias

Podemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas .

En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada.

Figure 7.10: Estado de las copias

Cómo comenzar un proceso de copia de respaldo manualmente

El proceso de copia de respaldo se inicia automáticamente a la hora configurada. Sin embargo, si

necesitamos comenzarlo manualmente podemos ejecutar:

# /usr/share/ebox-ebackup/ebox-remote-ebackup --full

O para iniciar una copia incremental:

# /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental

Restaurar ficheros

Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio que

deseemos restaurar.

Es posible restaurar ficheros directamente desde el panel de control de eBox. En la sección Copia

de seguridad → Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que

contiene la copia remota, así como las distintas fechas o versiones de los mismos. Podemos usar este

método con ficheros pequeños. Con ficheros grandes, el proceso es costoso en tiempo y no se podrá

223




usar el interfaz Web de eBox mientras la operación está en curso. Debemos ser especialmente cautos

con el tipo de fichero que restauramos. Normalmente, será seguro restaurar ficheros de datos que no

estén siendo abiertos por aplicaciones en ese momento. Estos archivos de datos están localizados

bajo el directorio /home/samba . Sin embargo, restaurar ficheros del sistema de directorios como /lib ,

/var o /usr mientras el sistema está en funcionamiento puede ser muy peligroso. No hagas ésto a no

ser que sepas muy bien lo que estás haciendo.

Figure 7.11: Restaurar un fichero

Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.

Dependiendo del fichero, podemos hacerlo mientras el sistema está en funcionamiento. Sin embargo,

para directorios de sistema usaremos un CD de rescate como explicamos más tarde.

En cualquier caso, debemos familiarizarnos con la herramienta que usa este módulo: duplicity.

El proceso de restauración de un fichero o directorio es muy simple. Se ejecuta el siguiente comando:

duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar

La opción -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa

hace tres días. Usando now podemos restaurar la copia más actual.

224




Figure 7.12: URL remota y argumentos

Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la

sección Restaurar ficheros en eBox.

Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaríamos

el siguiente comando:

# duplicity restore --file-to-restore home/samba/users/john/balance.odc

scp://[email protected] --ssh-askpass --no-encryption /tmp/bal

El comando mostrado arriba restauraría el fichero en /tmp/balance.odc . Si necesitamos sobree-

scribir un fichero o un directorio durante una operación de restauración necesitamos añadir la opción

–force , de lo contrario duplicity rechazará sobreescribir los archivos.

7.4.3 Como recuperarse de un desastre

Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y

experiencia para llevar a cabo una recuperación en un momento crítico. Debemos ser capaces de

restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo.

Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate

que incluye el software de copia de respaldos duplicity . El nombre de este CD-ROM es grml .

Descargaremos la imagen de grml y arrancaremos la máquina con ella. Usaremos el parámetro

nofb en caso de problemas con el tamaño de la pantalla.

Una vez que el proceso de arranque ha finalizado podemos obtener un intérprete de comandos

pulsando la tecla enter.

Si nuestra red no está configurada correctamente, podemos ejecutar netcardconfig para configu-

rarla.

225




Figure 7.13: Arranque grml

Figure 7.14: Comenzar un intérprete de comandos

226




El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer

que nuestra partición raíz es /dev/sda1. Así que ejecutamos:

# mount /dev/sda1 /mnt

El comando de arriba montará la partición en el directorio /mnt . En este ejemplo haremos una

restauración completa. Primero eliminaremos todos los directorios existentes en la partición. Por

supuesto, si no haces una restauración completa este paso no es necesario.

Para eliminar los ficheros existentes y pasar a la restauración ejecutamos:

# rm -rf /mnt/ *

Instalaremos duplicity en caso de no tenerlo disponible:

# apt-get update

# apt-get install duplicity

Antes de hacer una restauración completa necesitamos restaurar /etc/passwd y /etc/group . En

caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El prob-

lema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numéricos.

Así pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario

o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group

en el sistema de rescate. Ejecutamos:

# duplicity restore --file-to-restore etc/passwd \

# scp://[email protected] /etc/passwd --ssh-askpass --no-encrypt

# duplicity restore --file-to-restore etc/group \

# scp://[email protected] /etc/group --ssh-askpass --no-encrypti

Warning: Si usamos SCP , tendremos que ejecutar sudo ssh usuario@servidor para añadir el

servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operación, la copiade respaldo no podrá ser realizada ya que fallará la conexión con el servidor.

Ahora podemos proceder con la restauración completa ejecutando duplicity manualmente:

# duplicity restore scp://[email protected] /mnt/ --ssh-askpass

227




Por último debemos crear los directorios excluidos de la copia de respaldo así como limpiar los

directorios temporales:

# mkdir -p /mnt/dev

# mkdir -p /mnt/sys

# mkdir -p /mnt/proc

# rm -fr /mnt/var/run/ *# rm -fr /mnt/var/lock/ *

El proceso de restauración ha finalizado y podemos reiniciar el sistema original.

7.4.4 Copias de seguridad de la configuración

eBox Platform dispone adicionalmente de otro método para realizar copias de seguridad de la con-

figuración y restaurarlas desde la propia interfaz. Este método guarda la configuración de todos los

módulos que hayan sido habilitados por primera vez en algún momento, los usuarios del LDAP y

cualquier otro fichero adicional para el funcionamiento de cada módulo.

También permite realizar copia de seguridad de los datos que almacena cada módulo (directorios

de usuarios, buzones de voz, etc.). Sin embargo, desde la versión 1.2 se desaconseja esta opción en

favor del método comentado anteriormente a lo largo de este capítulo, ya que no está preparado elsistema para manejar grandes cantidades de datos.

Para acceder a las opciones de estas copias de seguridad lo haremos, como de costumbre, a

través del menú principal Sistema → Backup . No se permite realizar copias de seguridad si existen

cambios en la configuración sin guardar, como puede verse en el aviso que aparece en la imagen.

228




Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (con-

figuración o completo) y pulsando el botón Backup, aparecerá una pantalla donde se mostrará el

progreso de los distintos módulos hasta que finalice con el mensaje de Backup finalizado con éxito.

Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la

página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro

disco, o borrar cualquiera de las copias guardadas. Así mismo aparecen como datos informativos el

tipo de copia, la fecha de realización de la misma y el tamaño que ocupa.

En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de se-

guridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior

de eBox Platform en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá con-

firmación, hay que tener cuidado porque la configuración actual será reemplazada por completo. El

proceso de restauración es similar al de copia, después de mostrar el progreso se nos notificará el

éxito de la operación si no se ha producido ningún error.

Herramientas de linea de comandos para copias de seguridad de la configuración

Existen dos herramientas disponibles a través de la línea de comandos que también nos permiten

guardar y restaurar la configuración . Residen en /usr/share/ebox , se denominan ebox-make-backup

y ebox-restore-backup .

ebox-make-backup nos permite realizar copias de seguridad de la configuración, entre sus op-

ciones están elegir qué tipo de copia de seguridad queremos realizar. Entre estos está el bug-report

que ayuda a los desarrolladores a arreglar un fallo al enviarlo, incluyendo información extra. Cabe

229




destacar que en este modo, las contraseñas de los usuarios son reemplazadas para mayor confiden-

cialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web.

Podemos ver todas las opciones del programa con el parámetro –help .

ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuración.

Posee también una opción para extraer la información del fichero. Otra opción a señalar es la posibil-

idad de hacer restauraciones parciales, solamente de algunos módulos en concreto. Es el caso típico

cuando queremos restaurar una parte de una copia de una versión antigua. También es útil cuando el

proceso de restauración ha fallado por algún motivo. Tendremos que tener especial cuidado con las

dependencias entre los módulos. Por ejemplo, si restauramos una copia del módulo de cortafuegos

que depende de una configuración del módulo objetos y servicios debemos restaurar también estosprimero. Aún así, existe una opción para ignorar las dependencias que puede ser útil usada con

precaución.

Si queremos ver todas las opciones de este programa podemos usar también el parámetro –help .

7.5 Actualización de software

Como todo sistema de software , eBox Platform requiere actualizaciones periódicas, bien sea para

añadir nuevas características o para reparar defectos o fallos del sistema.eBox distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT 6,

sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso. 7

Mediante la interfaz web podremos ver para qué componentes de eBox está disponible una nueva

versión e instalarlos de un forma sencilla. También podemos actualizar el software en el que se apoya

eBox, principalmente para corregir posibles fallos de seguridad.

7.5.1 Gestión de componentes de eBox

La gestión de componentes de eBox permite instalar, actualizar y eliminar módulos de eBox.6 Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto De-

bian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo GNU/Linux

http://wiki.debian.org/Apt7 Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el capítulo al respecto

de la documentación oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.html

230

http://wiki.debian.org/Apt

https://help.ubuntu.com/8.04/serverguide/C/package-management.html

https://help.ubuntu.com/8.04/serverguide/C/package-management.html

http://wiki.debian.org/Apt




El propio gestor de componentes es un módulo más, y como cada módulo de eBox, debe ser

habilitado antes de ser usado. Para gestionar los componentes de eBox debemos entrar en Gestión

de Software → Componentes de eBox .

Presenta una lista con todos los componentes de eBox, así como la versión instalada y la ultima

versión disponible. Aquellos componentes que no estén instalados o actualizados, pueden instalarse

o actualizarse pulsando en el icono correspondiente en la columna de Acciones . Existe un botón de

Actualizar todos los paquetes para actualizar todos aquellos que tengan actualización disponible.

También podemos desinstalar componentes pulsando el icono apropiado para esta acción. Antes

de realizar la desinstalación, se muestra un diálogo con la lista de aquellos paquetes de software que

se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que

al ser usados por otros conlleva también la eliminación de los últimos.

Algunos componentes son básicos y no pueden desinstalarse, ya que haría que se desinstalase

eBox Platform.

7.5.2 Actualizaciones del sistema

Las actualizaciones del sistema actualizan programas usados por eBox. Para llevar a cabo su

función, eBox Platform usa diferentes programas del sistema para llevar a cabo sus funciones, en

los distintos paquetes de los componentes de eBox. Dichos programas son referenciados como de-

pendencias asegurando que al instalar eBox, son instalados también ellos asegurando el correcto

funcionamiento de eBox Platform. De manera análoga, estos programas pueden tener dependencias

también.

231




Normalmente una actualización de una dependencia no es suficientemente importante como para

crear un nuevo paquete de eBox con nuevas dependencias, pero sí puede ser interesante instalarla

para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.

Para ver las actualizaciones del sistema debemos ir a Gestión de Sofware → Actualizaciones

del sistema . Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema está

ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web,

los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de

búsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha búsqueda se puede

hacer ejecutando:

$ sudo ebox-software

Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono

indicativo de más información. Si es una actualización de seguridad podemos ver el fallo de seguridad

con el registro de cambios del paquete, pulsando sobre el icono.

Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la

acción y pulsar el botón correspondiente. Como atajo también tenemos un botón de Actualizar todos

los paquetes. Durante la actualización se irán mostrando mensajes sobre el progreso de la operación.

7.5.3 Actualizaciones automáticas

Las actualizaciones automáticas consisten en que eBox Platform automáticamente instala cualquier

actualización disponible. Dicha actualización se realiza cada noche a la medianoche.

Podremos activar esta característica accediendo a la pagina Gestión de Software → Actualiza-

ciones automáticas .‘

No es aconsejable usar esta opción si el administrador quiere tener una mayor seguridad en lagestión de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles

errores en las mismas no pasen desapercibidos.

232




233




7.6 Cliente del Centro de Control

eBox Control Center es una solución tolerante a fallos que permite la monitorización en tiempo real

y la administración de múltiples instalaciones de eBox de un modo centralizado. Incluye característi-

cas como administración segura, centralizada y remota de grupos de eBox, copias de seguridad de

configuración automáticas remotas, monitorización de red e informes personalizados. 8

A continuación se describe la configuración del lado del cliente con el Centro de Control.

7.6.1 Subscribir eBox al Centro de Control

Para configurar eBox para suscribirse al Centro de Control, debes instalar el paquete ebox-

remoteservices que se instala por defecto si usas el instalador de eBox. Además, la conexión a

Internet debe estar disponible. Una vez esté todo preparado, ve a Centro de Control y rellena los

siguientes campos:

Nombre de Usuario o Dirección de Correo: Se debe establecer el nombre de usuario o la dirección

de correo que se usa para entrar en la página Web del Centro de Control.

Contraseña: Es la misma contraseña que se usa para entrar en la Web del Centro de Control.

Nombre de eBox: Es el nombre único que se usará para esta eBox desde el Centro de Control. Estenombre se muestra en el panel de control y debe ser un nombre de dominio válido. Cada eBox

debería tener un nombre diferente, si dos eBoxes tiene el mismo nombre para conectarse al

Centro de Control, entonces sólo una de ellas se podrá conectar.

Figure 7.16: Subscribiendo eBox al Centro de Control

Tras introducir los datos, la subscripción tardará alrededor de un minuto. Nos tenemos que ase-

gurar que tras terminar el proceso de subscripción se guardan los cambios. Durante el proceso se

8 http://www.ebox-technologies.com/products/controlcenter/

234






habilita una conexión VPN entre eBox y el Centro de Control, por tanto, se habilitará el módulo vpn. 9

Figure 7.17: Tras suscribirse eBox al Centro de Control

Si la conexión funcionó correctamente con el Centro de Control, entonces un widget aparecerá

en el dashboard indicando que la conexión se estableció correctamente.

Figure 7.18: Widget de conexión al Centro de Control

7.6.2 Copia de seguridad de la configuración al Centro de Control

Una de las características usando el Centro de Control es la copia de seguridad automática de la

configuración de eBox 10 que se almacena en el Centro de Control. Esta copia se hace diariamente

si hay algún cambio en la configuración de eBox. Ir a Sistema – > Backup → Backup remoto para

comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la

configuración de manera manual si quieres estar seguro que tu última configuración está almacenada

en el Centro de Control.

Se pueden restaurar, descargar o borrar copias de seguridad de la configuración que se almace-nan en el Centro de Control. Además para mejorar el proceso de restauración ante un desastre, se

puede restaurar o descargar la configuración almacenada de uno del resto de eBox suscritos al Cen-

tro de Control usando tu par usuario/correo electrónico y contraseña. Para hacer eso, ir a la pestaña

Sistema → Backup → Backup remoto de otras máquinas suscritas .

9 Para más información sobre VPN, ir a la sección Redes privadas virtuales (VPN).10 Las copias de seguridad de la configuración en eBox se explican en la sección Copias de seguridad de la configu-

ración .

235




Figure 7.19: Copia de seguridad de la configuración remota

Figure 7.20: Copia de seguridad de la configuración remota desde otra máquina suscrita

eBox for Network Administrators ES

Documents

Transcript of eBox for Network Administrators ES