Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
E B OX
P LATFORM - F ORMACIN
http://www.ebox-technologies.com/
G UA
DEL ESTUDIANTE
es/ )
En este documento se han empleado imgenes de Tango Desktop Project distribudas bajo
Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.
http://tango.freedesktop.org/
Contents
1.1
Presentacin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1
12
1.3
1.3.1
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
1.3.2
19
1.3.3
. . . . . . . . . . . . . . . . .
20
1.4
21
1.5
Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
1.5.1
22
1.5.2
. . . . . . . . . . . . . . . . . .
23
1.5.3
Diagnstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2 eBox Infrastructure
2.1
2.2
2.3
2.4
33
33
2.1.1
34
40
2.2.1
40
2.2.2
. . . . . . . . . . . . . . . .
41
46
2.3.1
46
2.3.2
49
2.3.3
Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
2.3.4
50
52
2.4.1
52
3 eBox Gateway
. . . . . . . . . . . . . . . .
55
3.1
3.2
3.3
3.4
3.5
3.6
55
3.1.1
Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
3.1.2
Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
3.2.1
60
3.2.2
. . . . . . . . . . . . . . . . . . . . . . .
61
Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
3.3.1
Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . .
66
3.3.2
71
3.3.3
73
Moldeado de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
3.4.1
. . . . . . . . . . . . . . . . . . . . . . . . .
75
3.4.2
76
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
3.5.1
79
3.5.2
80
80
3.6.1
82
3.6.2
84
3.6.3
85
3.6.4
85
4 eBox Office
4.1
91
91
4.1.1
Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
100
4.2.1
Comparticin de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . .
100
4.2.2
100
4.2.3
101
4.2.4
101
4.2.5
104
4.2.6
. . . . . . . . . . . . . . . . . .
107
4.2.7
109
4.3
110
4.4
Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
4.4.1
115
4.2
ii
121
. . . . . . . . . . . . . . . .
121
5.1.1
122
5.1.2
124
5.1.3
. . . . . . . . . . . . . . . . . . . .
124
5.1.4
Parmetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
5.1.5
Parmetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
5.1.6
Parmetros IMAP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
5.1.7
133
5.2
135
136
5.3
137
5.3.1
138
5.3.2
139
5.3.3
145
5.3.4
Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
149
150
5.2.1
5.4
. . . . . . . . . . . . . . . . .
5.4.1
Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150
5.4.2
Cdecs
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
5.4.3
Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
5.4.4
155
5.4.5
159
5.4.6
162
6.2
6.3
6.4
165
165
6.1.1
166
6.1.2
175
6.1.3
176
178
6.2.1
178
6.2.2
178
6.2.3
179
6.2.4
180
182
6.3.1
182
6.3.2
183
6.3.3
184
6.3.4
189
. . . . . . . . . . . . . . . . . . . . . .
199
iii
6.4.1
199
6.4.2
201
7 eBox Core
7.1
Registros
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
Configuracin de registros . . . . . . . . . . . . . . . . . . . . . . . . .
205
Monitorizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209
7.1.1
7.2
7.2.1
Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210
7.2.2
Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
7.3
215
Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
218
7.4
Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
7.4.1
219
7.4.2
220
7.4.3
225
7.4.4
7.3.1
7.5
7.6
iv
203
Actualizacin de software
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
228
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
7.5.1
. . . . . . . . . . . . . . . . . . . . .
230
7.5.2
. . . . . . . . . . . . . . . . . . . . . . . .
231
7.5.3
Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . .
232
234
7.6.1
234
7.6.2
235
Chapter 1
eBox Platform: servidor Linux para PYMEs
1.1
Presentacin
Aunque las PYMEs constituyen la inmensa mayora del tejido empresarial mundial, sorprendentemente suelen carecer de soluciones tecnolgicas que se ajusten a sus necesidades o recursos (humanos, monetarios o tcnicos) disponibles. En el mercado de los servidores, esto ha significado que
hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en
soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que
tampoco tuvieran alternativas de gestin de redes que integrasen todos los componentes necesarios
y que fueran sencillas de administrar.
Aparentemente es una buena oportunidad para que el software libre entre en el mercado con
una solucin potente, escalable, flexible y de bajo coste que pueda ser soportada por una multitud
de proveedores externos potenciales. De hecho, Linux parece ser una opcin perfecta como servidor
para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones
pequeas. Sin emabrgo, el uso de Linux como servidor de PYME es nfimo, siendo Microsoft el
principal actor del mercado con Windows Small Business Server. Por qu?
Linux, combinado con otras herramientas de software libre para la gestin de redes (Samba,
Postfix, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme
en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho,
son gratis). Adems, de igual manera que otras tecnologas disruptivas, empezaron ofreciendo un
nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y
las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores
del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado
esta tecnologa).
Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia
muy reducida como servidores de PYMEs. La razn es sencilla: para que una solucin de servidor
sea adoptada en una PYME necesita que todos sus componentes estn estrechamente integrados y
que sea fcil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar
soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de
Microsoft cubren bien las necesidades tecnolgicas de las PYMEs.
Es aqu donde una solucin como eBox Platform (<http://ebox-platform.com/>) encuentra su encaje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software
libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionales
TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informtica,
tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compartidos o las comunicaciones, a travs de una nica plataforma. Todas estas funcionalidades estn
estrechamente integradas, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Estas caractersticas pueden desplegarse en distintas mquinas o en un nico
servidor, eligiendo para cada caso la combinacin funcional y de hardware ms conveniente.
Todas estas caractersticas son de gran importancia para los departamentos TIC de PYMEs y
proveedores de servicio tcnico, ya que tienen que hacerse cargo de un cada vez mayor trfico de
redes y crecientes demandas de fiabilidad, seguridad y servicios adicionales con recursos mnimos.
En este panorama, eBox Platform aumenta significativamente la capacidad de estos recursos, permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de
los profesionales experimentados, eliminar riesgos de cometer errores de configuracin y aumentar la
seguridad de los sistemas automatizando la mayora de las tareas.
Adems, eBox Platform es un software de cdigo abierto, el cual se puede descargar libremente
de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando
las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igualmente, eBox Platform es parte integral de la distribucin Ubuntu desde hace tres aos, lo que ayuda
a aumentar su difusin y credibilidad como producto tecnolgico. Su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Italia y Brasil los
pases que cuentan con ms instalaciones. eBox Platform se usa principalmente en PYMEs, pero
tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso
en instituciones de alto prestigio como la propia NASA.
Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, llamado eBox Control Center, un producto alojado en la nube que permite la administracin y monitorizacin centralizada, segura y a tiempo real de mltiples redes eBox. Adems, posibilita la progra-
* Servidor DNS
* Servidor NTP
Redes privadas virtuales (VPN)
* Auto-configuracin dinmica de rutas
Proxy HTTP
* Cach
* Autenticacin de usuarios
* Filtrado de contenido (con listas categorizadas)
* Antivirus transparente
Servidor de correo
* Filtro de Spam y Antivirus
* Filtro transparente de POP3
* Listas blancas, negras y grises
* Servicio de correo web
Servidor web
* Dominios virtuales
Sistema de Deteccin de Intrusos (IDS)
Autoridad de Certificacin
Trabajo en grupo:
Directorio compartido usando LDAP (Windows/Linux/Mac)
* Autenticacin compartida (incluyendo PDC de Windows)
Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red)
Impresoras compartidas
Servidor de Groupware: calendarios, agendas, ...
Servidor de VozIP
* Buzn de voz
* Conferencias
* Llamadas a travs de proveedor externo
Servidor de mensajera instantnea (Jabber/XMPP)
* Conferencias
Rincn del usuario para que estos puedan modificar sus datos
Informes y monitorizacin
Dashboard para tener la informacin de los servicios centralizada
Monitorizacin de disco, memoria, carga, temperatura y CPU de la mquina
Estado del RAID por software e informacin del uso de disco duro
Registros de los servicios de red en BBDD, permitiendo la realizacin de informes diarios,
semanales, mensuales y anuales
Sistema de monitorizacin a travs de eventos
* Notificacin va Jabber, correo y subscripcin de noticias (RSS)
Gestin de la mquina:
Copia de seguridad de configuracin y datos
Actualizaciones
Centro de control para administrar y monitorizar fcilmente varias mquinas eBox desde
un nico punto 1
1.2
Instalacin
eBox Platform est pensada para su instalacin en una mquina (real o virtual) de forma, en principio,
exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a travs de la interfaz
que debern ser configurados manualmente.
Funciona sobre el sistema operativo GNU/Linux con la distribucin Ubuntu Server Edition
ver-
sin estable Long Term Support (LTS) . La instalacin puede realizarse de dos maneras diferentes:
1
Ubuntu es una distribucin de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores
porttiles, sobremesa y servidores <http://www.ubuntu.com/>.
3
Cuyo soporte es mayor que en una versin normal y para la versin para servidores llega a los 5 aos.
Despus preguntar la contrasea para este usuario recin creado. Esta contrasea adems se
usar para identificarse en la interfaz de eBox.
Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen
dos mtodos para esta seleccin:
Simple: Se instalarn un conjunto de paquetes que agrupan una serie de funcionalidades segn la
tarea que vaya a desempear el servidor.
Avanzado: Se seleccionarn los paquetes de manera individualizada. Si algn paquete tiene como
dependencia otro, posteriormente se seleccionar automticamente.
eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y
controlado.
eBox Unified Threat Manager: eBox protege la red local contra ataques externos, intrusiones, amenazas en la seguridad interna y posibilita la interconexin segura entre redes locales a travs
de Internet u otra red externa.
eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios bsicos: DHCP,
DNS, NTP, servidor HTTP, etc.
eBox Office: eBox es el servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, autenticacin, perfiles de usuarios y grupos, etc.
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios. Adems esta
seleccin no es definitiva, pudiendo posteriormente instalar y desinstalar paquetes segn se necesite.
Una vez seleccionados los componentes a instalar, comenzar la instalacin que ir informando
de su estado con una barra de progreso.
El instalador tratar de preconfigurar algunos parmetros importantes dentro de la configuracin.
Primero tendremos que seleccionar el tipo de servidor para el modo de operacin de Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Un slo servidor. Si por el contrario estamos
desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory, elegiremos Avanzado. Este paso aparecer solamente si el mdulo
usuarios y grupos est instalado.
Tambin preguntar, si alguna de las interfaces de red es externa a la red local, es decir, si va a
ser utilizada para conectarse a Internet u otras redes externas. Se aplicarn polticas estrictas para
10
11
todo el trfico entrante a travs de interfaces de red externas. Este paso aparecer solamente si el
mdulo de red est instalado y el servidor tiene ms de una interfaz de red.
Despus, seguiremos con la configuracin del correo, definiendo el principal dominio virtual. Este
paso solo presentar si hemos instalado el mdulo de correo.
Una vez hayan sido respondidas estas preguntas, se realizar la preconfiguracin de cada uno
de los mdulos instalados preparados para su utilizacin desde la interfaz web.
Una vez terminado el proceso de instalacin de eBox Platform, obtendremos un interfaz grfico
con un navegador para autenticarnos en la interfaz web de administracin de eBox utilizando la contrasea introducida en los primeros pasos del instalador.
1.3
12
13
Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores
como Microsoft Internet Explorer pueden dar problemas.
La primera pantalla solicita la contrasea del administrador:
Tras autenticarse aparece la interfaz de administracin que se encuentra dividida en tres partes
fundamentales:
Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante eBox Platform, separados por categoras. Cuando se ha seleccionado algn servicio
en este men puede aparecer un submen para configurar cuestiones particulares de dicho
servicio.
Men superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos, as como para el cierre de sesin.
14
15
1.3.1 Dashboard
El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo
momento se pueden reorganizar pulsando en los ttulos y arrastrndolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets.
Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central.
16
17
18
La imagen muestra el estado para un servicio y una accin que se puede ejecutar sobre l. Los
estados disponibles son los siguientes:
Ejecutndose: Los demonios del servicio se estn ejecutando para aceptar conexiones de los
clientes. Se puede reiniciar el servicio usando Reiniciar.
Ejecutndose sin ser gestionado: Si no has configurado el servicio todava, es posible encontrarlo
ejecutando con la configuracin por defecto de la distribucin. Por tanto, no es gestionado por
eBox hasta el momento.
Parado: Ha ocurrido algn problema ya que el servicio debera estar ejecutndose pero est parado
por alguna razn. Para descubrirla, se deberan comprobar los ficheros de registro para el
servicio o el fichero de registro de eBox mismo como describe la seccin Cmo funciona
eBox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar.
Deshabilitado: El servicio ha sido deshabilitado explcitamente por el administrador como se explica
en Configuracin del estado de los mdulos.
Adems de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas
o no ests seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en
cuenta que si modificas la configuracin de las interfaces de red o el puerto de administracin, puedes
perder la conexin con eBox. Para recuperarla quizs debas reescribir la URL en el navegador.
19
Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio
DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de
las interfaces de red configuradas. Por tanto, las dependencias se muestran en la columna Depende.
Habilitar un mdulo por primera vez es conocido dentro de la jerga eBox como configurar un
mdulo. Dicha configuracin se realiza una vez por mdulo. Seleccionando la columna Estado,
habilitas o deshabilitas el mdulo. Si es la primera vez, se presenta un dilogo para completar una
serie de acciones y modificaciones a ficheros que implica la activacin del mdulo 4 . Tras ello, puedes
guardar los cambios para llevar a acabo las modificaciones.
4
20
1.4
Toda la configuracin de cada uno de los servicios es escrita por eBox de manera automtica.
Para ello utiliza un sistema de plantillas. Con esta automatizacin se evitan los posibles errores
cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada
uno de los formatos de los ficheros de configuracin de cada servicio. Por tanto, no se deben editar
5
Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un anlisis
extenso al cdigo de eBox Platform en <http://www.ohloh.net/p/ebox/analyses/latest>.
21
los ficheros de configuracin originales del sistema ya que se sobreescribiran al guardar cambios al
estar gestionados automticamente por eBox.
Los informes de los eventos y posibles errores de eBox se almacenan en el directorio
/var/log/ebox/ y se distribuyen en los siguientes ficheros:
/var/log/ebox/ebox.log: Los errores relacionados con eBox Platform.
/var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz.
/var/log/ebox/access.log: Los accesos al servidor web de la interfaz.
Si se quiere aumentar la informacin sobre algn error que se haya producido, se puede habilitar
el modo de depuracin de errores a travs de la opcin debug en el fichero /etc/ebox/99ebox.conf. Tras
habilitar esta opcin se deber reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox
apache restart.
1.5
Emplazamiento en la red
1.5.1 Configuracin de la red local
eBox Platform puede utilizarse de dos maneras fundamentales:
Encaminador y filtro de la conexin a internet.
Servidor de los distintos servicios de red.
Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias.
La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar
el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unin entre redes como un
servidor dentro de la propia red.
A lo largo de esta documentacin se ver cmo configurar eBox Platform para desempear un
papel de puerta de enlace y encaminador. Y por supuesto tambin veremos la configuracin en los
casos que acte como un servidor ms dentro de la red.
22
las tarjetas de red detectadas por el sistema y se puede configurar de manera esttica (direccin
configurada manualmente), dinmica (direccin configurada por DHCP) o como Trunk 802.1Q, para
la creacin de redes VLAN.
23
24
Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno
o varios servidores de nombres en Red DNS.
Si tu conexin a Internet tiene una IP pblica dinmica y quieres que un nombre de dominio
apunte a ella, se necesita un proveedor de DNS dinmico. eBox da soporte para conectar con algunos
de los proveedores de DNS dinmico ms populares.
Para configurar un nombre de DNS dinmico en eBox desde Red
DynDNS selecciona el
proveedor del servicio y configura el nombre de usuario, contrasea y nombre de dominio que queremos actualizar cuando la direccin pblica cambie. Slo resta Activar DNS Dinmico y Guardar
Cambios.
25
eBox se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin
de direccin red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en
un escenario con multirouter 6 , no hay que olvidar crear una regla que haga que las conexiones al
proveedor use siempre la misma puerta de enlace.
Diag-
nstico.
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP para observar la
conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.
Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes
encaminados a travs de las distintas redes hasta llegar a una mquina remota determinada. Con
esta herramienta podemos ver el camino que siguen los paquetes para diagnsticos ms avanzados.
Y tambin contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolucin de nombres.
Ejemplo prctico A
Vamos a configurar eBox para que obtenga la configuracin de la red mediante DHCP.
Para ello:
6
26
27
28
29
technologies.com.
Efecto: Se muestra como resultado la serie de mquinas que un paquete recorre hasta llegar
a la mquina destino.
30
Ejemplo prctico B
Para el resto de ejercicios del manual es una buena prctica habilitar los registros.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Estado del mdulo y activar el mdulo Registros, para ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar una serie de acciones.
2. Accin: Leer los acciones que va a realizar eBox y aceptarlas.
Efecto: Se ha activado el botn Guardar Cambios.
3. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros
31
32
Chapter 2
eBox Infrastructure
En este apartado explicaremos varios de los servicios para gestionar y optimizar el trfico interno y la
infraestructura de una red local, incluyendo la gestin de dominio, la auto-configuracin de red en los
clientes, la publicacin de sitios Web internos y la sincronizacin de la hora via Internet. La configuracin de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente
esta tarea.
El servicio de DHCP es ampliamente utilizado para configurar automticamente diversos parmetros de red como pueden ser la direccin IP de una mquina, o la puerta de enlace o gateway que
utilizar para alcanzar Internet.
El servicio de DNS permite acceder a servicios y mquinas utilizando nombres en lugar de direcciones IP, las cuales son ms difciles de memorizar.
Adems, en muchas empresas se utilizan aplicaciones Web a las que slo se tiene acceso de
manera interna.
2.1
eBox usa ISC DHCP Software (https://www.isc.org/software/dhcp) para configurar el servicio de DHCP
33
de bsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una
configuracin manual por parte del cliente.
Cuando un cliente DHCP se conecta a la red enva una peticin de difusin (broadcast). El
servidor DHCP responde a esa peticin con una direccin IP, su tiempo de concesin y los otros
parmetros explicados previamente. La peticin suele suceder durante el perodo de arranque del
cliente y debe completarse antes de seguir con el arranque del resto de servicios de red.
Existen dos mtodos de asignacin de direcciones:
Manual: La asignacin se hace a partir de una tabla de correspondencia entre direcciones fsicas
(MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla.
Dinmica: El administrador de la red asigna un rango de direcciones IP por un proceso de peticin y
concesin que usa el concepto de alquiler con un perodo controlado de tiempo en el que la IP
concedida es vlida. El servidor guarda una tabla con las asignaciones anteriores para intentar
volver a asignar la misma IP a un cliente en sucesivas peticiones.
34
35
en primer lugar cuando tenga que resolver un nombre o traducir una direccin IP a un nombre.
Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de
eBox, hay que tener en cuenta que el mdulo dns debe estar habilitado) o una direccin IP de
otro servidor DNS.
Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no
est disponible. Su valor debe ser una direccin IP de un servidor DNS.
Servidor NTP: Este es el servidor NTP (Network Transport Protocol)
quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que
tener en cuenta que el mdulo ntp debe estar habilitado) o un servidor NTP personalizado.
Servidor WINS: Este es el servidor WINS (Windows Internet Name Service)
para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en
cuenta que el mdulo samba debe estar habilitado) o uno personalizado.
Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen
mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP est activo,
al menos debe haber un rango de direcciones a distribuir o una asignacin esttica. En caso contrario,
el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red.
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier
direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas.
Aadir un rango en la seccin Rangos se hace introduciendo un nombre con el que identificar el
rango y los valores que se quieran asignar dentro del rango que aparece encima.
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas
en el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte
de ningn rango. Se puede aadir una descripcin opcional para la asignacin tambin.
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se
tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara
desde 1800 segundos hasta 7200. Las asignaciones estticas tambin estn limitadas en el tiempo.
De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.
2
Ir a la seccin Servicio de resolucin de nombres (DNS) para tener ms detalles sobre este servicio.
Comprobar la seccin Servicio de sincronizacin de hora (NTP) para obtener detalles sobre el servicio de sincronizacin de hora
4
WINS es una implementacin para NBNS (NetBIOS Name Service). Para obtener ms informacin sobre ello, ir a la
3
36
Un Cliente Ligero es una mquina sin disco duro (y hardware modesto) que arranca a travs de
la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros.
eBox permite configurar a qu servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se
encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema,
se debe configurar por separado.
El servidor PXE puede ser una direccin IP o un nombre, en cuyo caso ser necesario indicar la
ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el fichero de la imagen.
Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados
(http://en.wikipedia.org/wiki/Preboot_Execution_Environment)
6
El RFC 2136 explica como hacer actualizaciones automticas en el Sistema de Nombres de Dominio (DNS).
37
Con eBox es posible usar la actualizacin dinmica de DNS integrando los mdulos de dhcp y
dns de la misma mquina dentro la pestaa Opciones de DNS dinmico. Para habilitar esta caracterstica, el mdulo DNS debe ser habilitado tambin. Se debe disponer un Dominio dinmico y un
Dominio esttico, que ambos se aadirn a la configuracin de DNS automticamente. El dominio
dinmico mapea los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue este patrn: dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Con respecto al
dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el
nombre que se establece en la tabla de Asignaciones estticas. Hay que tener en cuenta que una
actualizacin desde el cliente DHCP es ignorada por eBox.
La actualizacin se hace usando un protocolo seguro 7 y, actualmente, slo el mapeo directo est
soportado por eBox.
Ejemplo prctico
Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde
otra mquina cliente usando dhclient que funciona correctamente.
Para configurar DHCP debemos tener activado y configurado el mdulo Red. La interfaz de
red sobre la cual vamos a configurar el servidor DHCP deber ser esttica (direccin IP asignada
manualmente) y el rango a asignar deber estar dentro de la subred determinada por la mscara de
red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0).
1. Accin: Entrar en eBox y acceder al panel de control. Entrar en Estado del mdulo y activar
el mdulo DHCP, para ello marcar su casilla en la columna Estado.
7
La comunicacin se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones
dinmicas usando una clave secreta compartida.
38
39
2.2
Es decir, la primera vez consultar al servidor adecuado porque se parte de una base de datos sin
informacin, pero posteriormente responder la cach, con la consecuente disminucin del tiempo de
respuesta.
En la actualidad, la mayora de los sistemas operativos modernos tienen una biblioteca local para
traducir los nombres que se encarga de almacenar una cach propia de nombres de dominio con las
peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).
Ejemplo prctico A
Comprobar el correcto funcionamiento del servidor cach DNS. Qu tiempo de respuesta hay ante
la misma peticin www.example.com?
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo DNS, para ello
marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
8
9
Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP.
Cach es una coleccin de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado
40
127.0.0.1 .
Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa.
4. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora eBox gestiona la configuracin del servidor DNS.
5. Accin: Comprobar a travs de la herramienta Resolucin de Nombres de Dominio
disponible en Red
Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la informacin para resolver la consulta
41
Una caracterstica tambin importante del DNS es el registro MX. Dicho registro indica el lugar
donde se enviarn los correos electrnicos que quieran enviarse a un determinado dominio. Por
ejemplo, si queremos enviar un correo a alguien@example.com, el servidor de correo preguntar por
el registro MX de example.com y el servicio responder que es mail.example.com.
La configuracin en eBox se realiza a travs del men DNS. En eBox, se pueden configurar tantos
dominios DNS como deseemos.
Para configurar un nuevo dominio, desplegamos el formulario pulsando Aadir nuevo. Desde all
se configura el nombre del dominio y una direccin IP opcional a la que har referencia el dominio.
42
DHCP actualiza los registros DNS para un dominio cuando ofrece una direccin IP a una mquina. Ve
a la seccin Actualizaciones dinmicas de DNS para obtener detalles sobre esta configuracin con
eBox. Actualmente, si un dominio se establece como dinmico, no se puede configurar manualmente
desde el interfaz de eBox.
Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la
posibilidad de rellenar la lista de mquinas (hostnames) para el dominio. Se podrn aadir tantas
direcciones IP como se deseen usando los nombres que decidamos. La resolucin inversa se aade
automticamente. Adems, para cada pareja nombre-direccin se podrn tambin poner tantos alias
como se deseen.
Con eBox se establece automticamente el servidor autorizado para los dominios configurados
a la mquina con nombre ns. Si esa mquina no existe, entonces se usa 127.0.0.1 como servidor
de nombres autorizado. Si quieres configurar el servidor de nombres autorizado manualmente para
tus dominios (registros NS), ve a servidores de nombres y elige una de las mquinas del dominio o
una personalizada. En el escenario tpico, se configurar una mquina con nombre ns usando como
direccin IP una de las configuradas en la seccin Red Interfaces.
43
Como caracterstica adicional, podemos aadir nombres de servidores de correo a travs de los
intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox
es autoridad o uno externo. Adems se le puede dar una preferencia cuyo menor valor es el que da
mayor prioridad, es decir, un cliente de correo intentar primero aquel servidor con menor nmero de
preferencia.
Ejemplo prctico B
Aadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una direccin de red al
nombre de una mquina. Desde otra mquina comprobar usando la herramienta dig que resuelve
correctamente.
1. Accin: Comprobar que el servicio DNS est activo a travs de Dashboard en el widget Estado de mdulos. Si no est activo, habilitarlo en Estado de mdulos.
2. Accin: Entrar en DNS y en Aadir nueva introducimos el dominio que vamos a gestionar. Se
desplegar una tabla donde podemos aadir nombres de mquinas, servidores de correo
para el dominio y la propia direccin del dominio. Dentro de Nombres de mquinas
procedemos de la misma manera aadiendo el nombre de la mquina y su direccin IP
asociada.
44
IN
;; ANSWER SECTION:
mirror.ebox-platform.com. 600
IN
87.98.190.119
;; AUTHORITY SECTION:
ebox-platform.com.
ebox-platform.com.
600
600
IN
IN
NS
NS
ns1.ebox-platform.com.
ns2.ebox-platform.com.
;; ADDITIONAL SECTION:
ns1.ebox-platform.com.
ns2.ebox-platform.com.
600
600
IN
IN
A
A
67.23.0.68
209.123.162.63
;;
;;
;;
;;
45
2.3
TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan
seguridad e integridad de datos para las comunicaciones en Internet. En la seccin Redes privadas virtuales (VPN) se
ahondar en el tema.
46
Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del
servidor. Encaminadores y proxies en medio.
47
Hay varios mtodos 12 con los que el cliente puede pedir informacin. Los ms comunes son GET
y POST:
GET: Se utiliza GET para solicitar un recurso. Es un mtodo inocuo para el servidor, ya que no se
debe modificar ningn fichero en el servidor si se hace una solicitud mediante GET.
POST: Se utiliza POST para enviar una informacin que debe procesar el servidor. Por ejemplo en
un webmail cuando pulsamos Enviar Mensaje, se enva al servidor la informacin del correo
electrnico a enviar. El servidor debe procesar esa informacin y enviar el correo electrnico.
OPTIONS: Sirve para solicitar qu mtodos se pueden emplear sobre un recurso.
HEAD: Solicita informacin igual que GET, pero la respuesta no incluir el cuerpo, slo la cabecera.
De esta forma se puede obtener la meta-informacin del recurso sin descargarlo.
PUT: Solicita que la informacin del cuerpo sea almacenada y accesible desde la ruta indicada.
DELETE: Solicita la eliminacin del recurso indicado
TRACE: Indica al servidor que debe devolver la cabecera que enva el cliente. Es til para ver cmo
modifican la solicitud los proxies intermedios.
CONNECT: La especificacin se reserva este mtodo para realizar tneles.
La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la
primera fila. En este caso la primera fila sigue la forma <status code> <text reason>, que corresponden
al cdigo de respuesta y a un texto con la explicacin respectivamente.
Los cdigos de respuesta 13 ms comunes son:
200 OK: La solicitud ha sido procesada correctamente.
403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el recurso solicitado.
404 Not Found: Si el recurso solicitado no se ha encontrado.
500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecucin de la solicitud.
12
13
En la seccin 10 del RFC 2616 se pueden encontrar el listado completo de cdigos de respuesta del servidor HTTP.
48
HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el
servidor no puede recordar a los clientes entre conexiones. Una solucin para este problema es el
uso de cookies. Por otro lado, el servidor no puede iniciar una conversacin con el cliente. Si el cliente
quiere alguna notificacin del servidor, deber solicitarla peridicamente.
El servicio HTTP puede ofrecer dinmicamente los resultados de aplicaciones software. Para ello,
el cliente realiza una peticin a una determinada URL con unos parmetros y el software se encarga
gestionar la peticin para devolver un resultado. El primer mtodo utilizado fue conocido como CGI
(Common Gateway Interface) que se ejecuta un comando por URL. Este mecanismo ha sido superado
debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones:
FastCGI: Un protocolo de comunicacin entre las aplicaciones software y el servidor HTTP, teniendo
un nico proceso para resolver las peticiones realizadas por el servidor HTTP.
SCGI (Simple Common Gateway Interface): Es una versin simplificada del protocolo de FastCGI
Otros mecanismos de expansin: Estos mecanismos dependern del servidor HTTP utilizado y
pueden permitir la ejecucin de software dentro del propio servidor.
14
1996. EBox usa dicho servidor tanto para su interfaz Web de administracin como para el mdulo
Web. Su objetivo es ofrecer un sistema seguro, eficiente y extensible siguiendo los estndares HTTP.
Ofrece la posibilidad de extender las funcionalidades del ncleo (core), utilizando mdulos adicionales
para incluir nuevas caractersticas. Es decir, una de sus principales ventajas es la extensibilidad.
Algunos de los mdulos nos ofrecen interfaces para lenguajes de script. Ejemplos de ello son
mod_perl, mod_python, TCL PHP, lo que permite crear pginas Web usando los lenguajes de programacin Perl, Python, TCL o PHP. Tambin tenemos mdulos para varios sistemas de autenticacin
como mod_access, mod_auth, entre otros. Adems, permite el uso de SSL y TLS con mod_ssl, mdulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. En
definitiva, disponemos de una gran cantidad de mdulos de Apache 15 para aadir diversas funcionalidades.
14
15
49
50
Respecto a los Dominios virtuales, simplemente se introducir el nombre que se desea para el
dominio y si est habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en
el mdulo DNS (si est instalado) de tal manera que si se aade el dominio www.company.com, se
crear el dominio company.com con el nombre de mquina www cuya direccin IP ser la direccin
de la primera interfaz de red que sea esttica.
Para publicar datos estos deben estar bajo /var/www/<vHostname>, donde vHostName es el
nombre del dominio virtual. Si se quiere aadir cualquier configuracin personalizada, por ejemplo
capacidad para servir aplicaciones en Python usando mod_python, se debern crear los ficheros de
configuracin necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/userebox-<vHostName>/.
Ejemplo prctico
Habilitar el servicio Web. Comprobar que est escuchando en el puerto 80. Configurarlo para que
escuche en un puerto distinto y comprobar que el cambio surte efecto.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo servidor web, para
ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en
el sistema. Permitir la operacin pulsando el botn Aceptar.
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. Accin: Utilizando un navegador, acceder a la siguiente direccin http://ip_de_eBox/.
Efecto: Aparecer una pgina por defecto de Apache con el mensaje It works!.
4. Accin: Acceder al men Web. Cambiar el valor del puerto de 80 a 1234 y pulsar el botn
Cambiar.
Efecto: Se ha activado el botn Guardar Cambios.
5. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora el servidor Web est escuchando en el puerto 1234.
51
2.4
16
con algn servidor externo de estrato superior (normalmente 2) que se ofrecen a travs de Sistema
Fecha/hora. Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org) que son
una coleccin dinmica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus
clientes a travs de Internet.
16
52
Una vez que eBox se haya sincronizado como cliente NTP 17 , el propio eBox podr actuar tambin
como servidor NTP, con una hora sincronizada mundialmente.
Ejemplo prctico
Habilitar el servicio NTP y sincronizar la hora de nuestra mquina utilizando el comando ntpdate.
Comprobar que tanto eBox como la mquina cliente tienen la misma hora.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo ntp, para ello marca
su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema.
Permitir la operacin pulsando el botn Aceptar.
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Acceder al men Sistema
53
4. Accin: Instalar el paquete ntpdate en nuestra mquina cliente. Ejecutar el comando ntpdate
<ip_de_eBox>.
Efecto: La hora de nuestra mquina habr quedado sincronizada con la de la mquina eBox.
Podemos comprobarlo ejecutando el comando date en ambas mquinas.
54
Chapter 3
eBox Gateway
En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. eBox Gateway
puede hacer tu red ms fiable, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar
en tu red.
En este apartado hay un captulo que se centra en el funcionamiento del mdulo cortafuegos de
eBox, el cual nos permite la gestin de reglas para el trfico entrante y saliente de nuestra red interna.
La configuracin del cortafuegos no se realiza directamente, sino que se apoya en otros dos
mdulos que facilitan la gestin de objetos y servicios de red, los cuales se describen en la primera
parte del apartado.
Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas segn el trfico
saliente. Adems, se explica en este apartado el moldeado de trfico, que se utiliza para asegurar
que las aplicaciones crticas se sirven correctamente e incluso para limitar aquellas aplicaciones que
generan mucho trfico en la red.
Finalmente, se ofrece una introduccin al servicio de proxy HTTP que ofrece eBox. Este servicio
permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado,
incluyendo reglas basadas en el contenido.
3.1
55
56
Cada uno de ellos tendr al menos los siguientes valores: nombre, direccin IP y mscara de
red utilizando notacin CIDR. La direccin fsica slo tendr sentido para miembros que representen
una nica mquina.
Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener
mucho cuidado al usarlos en el resto de mdulos para obtener la configuracin deseada y no tener
problemas de seguridad.
57
La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a
puertos bien conocidos. La lista completa se encuentra en http://www.iana.org/assignments/port-numbers
58
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para
evitar tener que aadir dos veces un mismo puerto que se use para ambos protocolos.
Se puede crear, editar y borrar servicios. Estos servicios sern usados ms adelante en el cortafuegos o el moldeado de trfico haciendo referencia simplemente al nombre significativo.
Ejemplo prctico
Crear un objeto y aadir lo siguiente: una mquina sin direccin MAC, una mquina con direccin
MAC y una direccin de red.
Para ello:
1. Accin: Acceder a Objetos. Aadir mquinas de contabilidad.
Efecto: El objeto mquinas de contabilidad se ha creado.
2. Accin: Acceder a Miembros del objeto mquinas de contabilidad. Crear miembro servidor contable con una direccin IP de la red, por ejemplo, 192.168.0.12/32. Crear otro miembro servidor contable respaldo con otra direccin IP, por ejemplo, 192.168.0.13/32 y una
direccin MAC vlida, por ejemplo, 00:0c:29:7f:05:7d. Finalmente, crea el miembro red de
59
ordenadores contables con direccin IP una subred de tu red local, como por ejemplo,
192.168.0.64/26. Finalmente, ir a Guardar cambios para confirmar la configuracin creada.
Efecto: El objeto mquinas de contabilidad contendr tres miembros servidor contable,
servidor contable respaldo y red de ordenadores contables de forma permanente.
3.2
Cortafuegos
Para ver la aplicacin de los objetos y servicios de red, vamos a configurar un cortafuegos. Un
cortafuegos es un sistema que refuerza las polticas de control de acceso entre redes. En nuestro
caso, vamos a tener una mquina dedicada a proteccin de nuestra red interna y eBox de ataques
procedentes de la red exterior.
Un cortafuegos permite definir al usuario una serie de polticas de acceso, por ejemplo, cules
son las mquinas a las que se puede conectar o las que pueden recibir informacin y el tipo de la
misma. Para ello, utiliza reglas que pueden filtrar el trfico dependiendo de determinados parmetros,
por ejemplo protocolo, direccin origen o destino y puertos utilizados.
Tcnicamente, la mejor solucin es disponer de un computador con dos o ms tarjetas de red que
aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos
se encargue de conectar los paquetes de las redes y determinar cules pueden pasar o no y a qu
red lo harn. Al configurar nuestra mquina como cortafuegos y encaminador podremos enlazar los
paquetes de trnsito entre redes de manera ms segura.
Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan
por un encaminador o cortafuegos. Su uso principal es permitir a varias mquinas de una red privada acceder a Internet
con una nica IP pblica.
60
La poltica para las interfaces externas es denegar todo intento de nueva conexin a eBox. Para
las interfaces internas se deniegan todos los intentos de conexin, excepto los que se realizan a
servicios internos definidos en el mdulo Servicios, que son aceptadas por defecto.
Adems eBox configura el cortafuegos automticamente de tal manera que hace NAT para los
paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta
funcionalidad, puede ser desactivada mediante la variable nat_enabled en el fichero de configuracin
del mdulo cortafuegos en /etc/ebox/80firewall.conf.
61
Trfico de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas mquinas).
Trfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet
desde determinada red interna).
Trfico de eBox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia
mquina con eBox).
Trfico de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde
Internet).
Trfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno
desde Internet).
Hay que tener en cuenta que los dos ltimos tipos de reglas pueden ser un compromiso para la
seguridad de eBox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de
filtrado en el siguiente grfico:
eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una
interfaz interna (donde se encuentra la Intranet) e Internet. Su configuracin habitual se realiza por
objeto. As podemos determinar cmo un objeto de red puede acceder a cada uno de los servicios de
62
eBox. Por ejemplo, podramos denegar el acceso al servicio de DNS a determinada subred. Adems
se manejan las reglas de acceso a Internet, por ejemplo, para configurar el acceso a Internet se debe
habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier direccin.
Figure 3.7: Lista de reglas de filtrado de paquetes desde las redes internas a eBox
Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. Por
ejemplo, las reglas de filtrado para salida de eBox slo hace falta fijar el destinatario ya que el origen
siempre es eBox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el
trfico de salida excepto el de SSH 3 . Adicionalmente, se le puede dar una descripcin para facilitar
la gestin de las reglas. Finalmente, cada regla tiene una decisin que tomar, existen tres tipos:
Aceptar la conexin.
Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se
ha podido establecer la conexin.
Denegar la conexin y adems registrarla. De esta manera, a travs de Registros -> Consulta
registros del Cortafuegos podemos ver si una regla est funcionando correctamente.
3
SSH: Secure Shell permite la comunicacin segura entre dos mquinas usando principalmente como consola remota
63
Redirecciones de puertos
Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos Redirecciones de
puertos donde se puede hacer que todo el trfico dirigido a un puerto externo (o rango de puertos),
se direccione a una mquina que est escuchando en un puerto determinado haciendo la traduccin
de la direccin destino.
Para configurar una redireccin hay que establecer la interfaz donde se va a hacer la traduccin,
el destino original (puede ser eBox, una direccin IP o un objeto), el puerto de destino original
(puede ser cualquiera, un rango de puertos o un nico puerto), el protocolo, la origen desde donde se
iniciar la conexin (en una configuracin usual su valor ser cualquiera), la IP destino y, finalmente,
el puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original
o no. Existe tambin un campo opcional llamado descripcin que es til para aadir un comentario
que describa el propsito de la regla.
Segn el ejemplo, todas las conexiones que vayan a eBox a travs del interfaz eth0 al puerto
8080/TCP se redirigirn al puerto 80/TCP de la mquina con direccin IP 10.10.10.10.
Ejemplo prctico
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la mquina
eBox. Aadir un servicio y una regla de cortafuegos para que una mquina interna pueda acceder al
servicio.
64
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Cortafuegos, para
ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
Efecto: Se ha activado el botn Guardar Cambios.
3. Accin:
Crear un servicio interno a travs de Servicios con nombre netcat con puerto destino 6970.
Seguidamente, ir a Cortafuegos
redes internas a eBox aadir la regla con, al menos, los siguientes campos:
Decisin : ACEPTAR
Fuente : Cualquiera
Servicio : netcat. Creado en esta accin.
Una vez hecho esto. Guardar cambios para confirmar la configuracin.
Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que
permiten conectarse al mismo.
4. Accin: Lanzar desde la consola de eBox el siguiente comando:
nc -l -p 6970
5. Accin: Desde la mquina cliente comprobar que hay acceso a dicho servicio usando el comando nc:
nc <ip_eBox> 6970
Efecto Puedes enviar datos que sern visto en la terminal donde hayas lanzado netcat en
eBox.
65
3.3
Encaminamiento
3.3.1 Tablas de encaminamiento
El trmino encaminamiento hace referencia a la accin de decidir a travs de qu interfaz debe ser
enviado un determinado paquete que va a salir desde una mquina. El sistema operativo cuenta con
una tabla de encaminamiento con un conjunto de reglas para tomar esta decisin.
Cada una de estas reglas cuenta con diversos campos, pero los tres ms importantes son: direccin de destino, interfaz y router. Se deben de leer como sigue: para llegar a una direccin de
destino dada, tenemos que dirigir el paquete a travs de un router, el cual es accesible a travs de
una determinada interfaz.
Cuando llega un mensaje, se compara su direccin destino con las entradas en la tabla y se
enva por la interfaz indicada en la regla cuya direccin mejor coincide con el destino del paquete,
es decir, aquella regla que es ms especfica. Por ejemplo, si se especifica una regla en la que para
alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B
(10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino
10.15.23.23/32, entonces el sistema operativo decidir que se enve al router B ya que existe una
regla ms especfica.
Todas las mquinas tienen al menos una regla de encaminamiento para la interfaz de loopback,
o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o
con Internet.
Para realizar la configuracin manual de una tabla de rutas estticas se utiliza Red
Rutas
(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el
protocolo DHCP.
Puerta de enlace
A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, ste
se enviar a travs de la puerta de enlace.
La puerta de enlace (gateway ) es la ruta por omisin para los paquetes que se envan a otras
redes.
Para configurar una puerta de enlace se utiliza Red Puertas de enlace.
66
67
Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden aadir puertas de enlace
explticamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden
seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden
editar el resto de los atributos.
Ejemplo prctico A
Vamos a configurar la interfaz de red de manera esttica. La clase quedar dividida en dos
subredes.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Red
interfaz de red eth0 el mtodo Esttico. Como direccin IP introducir la que indique el
instructor. Como Mscara de red 255.255.255.0. Pulsar el botn Cambiar.
La direccin de red tendr la forma 10.1.X.Y, dnde 10.1.X corresponde con la red e Y con la
mquina. En adelante usaremos estos valores.
Entrar en Red DNS y seleccionar Aadir. Introducir como Servidor de nombres 10.1.X.1.
Pulsar Aadir.
Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos
introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el
servidor recin creado.
2. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios.
68
Ejemplo prctico B
Vamos a configurar una ruta para poder acceder a mquinas de otras subredes.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Red
69
Ejemplo prctico C
Vamos a configurar una puerta de enlace que nos conecte con el resto de redes.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Red Rutas y eliminar la ruta creada en el
ejercicio anterior.
Entrar en Red
datos:
Nombre Default Gateway
IP Address 10.1.X.1
Interface eth0
Weight 1
Default s
Pulsar el botn Aadir.
Efecto: Se ha activado el botn Guardar Cambios. Ha desaparecido la lista de rutas. Ha
aparecido una lista de puertas de enlace con la puerta de enlace recin creada.
2. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios.
3. Accin: Acceder a Red Diagnstico. Hacer ping a ebox-platform.com.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina.
4. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que
est en la otra subred.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina.
70
71
Balanceo
de trfico. En esta seccin podemos aadir reglas para enviar ciertos paquetes a un determinado
router dependiendo de la interfaz de entrada, la fuente (puede ser una direccin IP, un objeto, eBox
o cualquiera), el destino (una direccin IP o un objeto de red), el servicio al que se quiere asociar
esta regla y por cual de los routers queremos direccionar el tipo de trfico especificado.
Ejemplo prctico D
Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona
utilizando la herramienta traceroute.
Para ello:
1. Accin: Ponerse por parejas, dejando una eBox con la configuracin actual y aadiendo en la
otra un nuevo gateway, accediendo a travs del interfaz a Red Puertas de enlace y pulsando
en Aadir nuevo, con los siguientes datos:
Nombre Gateway 2
Direccin IP <IP eBox compaero>
72
Interfaz eth0
Peso 1
Predeterminado s
Pulsar el botn Aadir.
Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de puertas de
enlace con la puerta de enlace recin creada y la puerta de enlace anterior.
2. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios.
3. Accin: Ir a una consola y ejecutar el siguiente script:
73
deberan sufrir problemas con su conexin a Internet. Una vez que eBox detecta que el router cado
est completamente operativo se restaura el comportamiento normal de balanceo de trfico.
El failover est implementado como un evento de eBox. Para usarlo, primero se necesita tener el
mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.
Para configurar las opciones y reglas del failover se debe acudir al men Red
WAN Failover.
Se puede especificar el periodo del evento modificando el valor de la opcin Tiempo entre revisiones.
Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario
con los siguientes campos:
Habilitado: Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de
los routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las
necesidades, sin tener que borrarlas y aadirlas de nuevo.
Router: Se encuentra previamente rellenado con la lista de routers configurados, slo se necesita
seleccionar uno de ellos.
4
Para ms detalles acerca de cmo funcionan y como se configuran los eventos en eBox se puede consultar el captulo
Incidencias (eventos y alertas).
74
3.4
Moldeado de trfico
3.4.1 Calidad de servicio (QoS)
La calidad de servicio (Quality of Service, QoS) en redes de computadores se refiere a los mecanismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de
datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impuestas por la aplicacin. Restricciones como el retraso en la entrega, la tasa de bit, la probabilidad de
prdida de paquetes o la variacin de retraso por paquete 5 pueden estar fijadas por diversas aplicaciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos slo aplican cuando
los recursos son limitados (redes inalmbricas celulares) o cuando hay congestin en la red, en caso
contrario no se deberan aplicarse dichos mecanismos.
Existen diversas tcnicas para dar calidad de servicio:
5
jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes
seleccionados de un flujo.
75
Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para
pedir y reservar espacio en los encaminadores. Sin embargo, esta opcin se ha relegado
ya que no escala bien en el crecimiento de Internet.
Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el servicio al que sirven. Dependiendo de las marcas, los encaminadores usarn diversas tcnicas
de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta tcnica est actualmente aceptada.
Como aadido a estos sistemas, existen mecanismos de gestin de ancho de banda para mejorar
la calidad de servicio basada en el moldeado de trfico, algoritmos de scheduling o evitacin de
la congestin.
Para el moldeado de trfico existen bsicamente dos algoritmos:
Token bucket: Dicta cuando el trfico puede transmitirse, basado en la presencia de tokens en el
bucket (sitio virtual donde almacenar tokens). Cada token es una unidad de Bytes determinada, as cada vez que se envan datos, se consumen tokens, cuando no hay tokens no es
posible transmitir datos. Se proveen tokens peridicamente a cada uno de los buckets. Con
esta tcnica se permite el envo de datos en perodos de alta demanda 6 .
Leaky bucket: Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket
hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a
una tasa continua y estable a travs de dicho agujero.
76
Si se moldea la interfaz externa, entonces se estar limitando el trfico de salida de eBox hacia
Internet. En cambio, si se moldea la interfaz interna, entonces se estar limitando la salida de eBox
hacia sus redes internas. El lmite mximo de tasa de salida y entrada viene dado por la configuracin
en Moldeado de trfico Tasas de Interfaz. Como se puede observar, no se puede moldear el trfico
entrante en s, eso es debido a que el trfico proveniente de la red no es predecible y controlable de
casi ninguna forma. Existen tcnicas especficas a diversos protocolos para tratar de controlar el
trfico entrante a eBox, como por ejemplo, TCP con el ajuste artificial del tamao de ventana de flujo
de la conexin TCP o controlando la tasa de confirmaciones (ACK ) devueltas al emisor.
Para cada interfaz se pueden aadir reglas para dar prioridad (0: mxima prioridad, 7: mnima
prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarn al trfico determinado por el
servicio, origen y destino del flujo.
Ejemplo prctico
Crear una regla para moldear el trfico de bajada HTTP y limitarlo a 20KB/s. Comprobar su funcionamiento.
1. Accin: Aadir un router a travs de Red Routers a tu interfaz de red externo.
Efecto: Se ha activado el botn Guardar Cambios. La lista de puertas de enlace contiene un
nico router.
2. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios.
3. Accin: Acceder de nuevo a la interfaz de eBox y aadir en Servicios un servicio llamado
HTTP con protocolo TCP, tipo externo y puerto de destino simple 80.
77
Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio
HTTP.
4. Accin: Ir a la entrada Moldeado de trfico
lista de interfaces y pulsar en Aadir nuevo para aadir una nueva regla con los siguientes
datos:
Habilitada S
Servicio Servicio basado en puerto / HTTP
Origen cualquiera
Destino cualquiera
Prioridad 7
Tasa garantizada 0 Kb/s
Tasa limitada 160 Kb/s
Pulsar el botn Aadir.
Efecto: eBox muestra una tabla con la nueva regla de moldeado de trfico.
5. Accin: Comenzar a descargar desde una mquina de tu LAN (distinta de eBox) usando el
comando wget un fichero grande accesible desde Internet (por ejemplo, una imagen ISO de
Ubuntu).
Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s).
3.5
RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticacin, autorizacin y gestin de la tarificacin, en ingls AAA (Authentication, Authorization and
Accounting) para ordenadores que se conectan y usan una red.
El flujo de autenticacin y autorizacin en RADIUS funciona de la siguiente manera: el usuario
o mquina enva una peticin a un NAS (Network Access Server ) como podra ser un punto de
acceso inalmbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red utilizando los credenciales de acceso. En respuesta, el NAS enva un mensaje Access Request al
servidor RADIUS solicitando autorizacin para acceder a la red, incluyendo todos los credenciales
de acceso necesarios, no solo nombre de usuario y contrasea, pero probablemente tambin realm,
78
direccin IP, VLAN asignada y tiempo mximo que podr permanecer conectado. Esta informacin
se comprueba utilizando esquemas de autenticacin como Password Authentication Protocol (PAP),
Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP)
79
Contrasea compartida: Contrasea compartida entre el servidor RADIUS y el NAS para autenticar
y cifrar sus comunicaciones.
3.6
80
Para ms informacin sobre el servicio HTTP, ir a la seccin Servicio de publicacin de informacin web (HTTP).
81
82
Denegar todo: Esta poltica deniega el acceso web. A primera vista podra parecer poco til ya que el
mismo efecto se puede conseguir ms fcilmente con una regla de cortafuegos. Sin embargo,
como explicaremos posteriormente podemos establecer polticas particulares para cada objeto
de red, pudiendo usar esta poltica para denegar por defecto y luego aceptar las peticiones
web para determinados objetos.
Filtrar: Esta poltica permite el acceso y activa el filtrado de contenidos que puede denegar el acceso
web segn el contenido solicitado por los usuarios.
Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. La autorizacin se explicar en
la seccin Configuracin Avanzada para el proxy HTTP.
Tras establecer la poltica global, podemos refinar nuestra poltica asignando polticas particulares
a objetos de red. Para asignarlas entraremos en la seccin Proxy HTTP Poltica de objetos.
Podremos elegir cualquiera de las seis polticas para cada objeto; cuando se acceda al proxy
desde cualquier miembro del objeto esta poltica tendr preferencia sobre la poltica global. Una
direccin de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los
objetos para reflejar la prioridad. Se aplicar la poltica del objeto de mayor prioridad que contenga la
direccin de red. Adems existe la posibilidad de definir un rango horario fuera del cual no se permitira
acceso al objeto de red.
Warning: La opcin de rango horario no es compatible para polticas que usen filtrado de contenidos.
83
General. Otros puertos tpicos para servicios de proxy web son el 8000 y el 8080.
Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy, deberamos tener denegado el trfico HTTP en nuestro cortafuegos.
Una manera de evitar la necesidad de configurar cada navegador es usar el modo transparente. En este modo, eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia
las redes externas a eBox (Internet) sern redirigidas al proxy. Para activar este modo debemos ir
a la pgina Proxy HTTP
Configuracin Avanzada para el proxy HTTP, el modo transparente es incompatible con polticas que
requieran autorizacin.
Por ltimo, hay que tener en cuenta que el trfico Web seguro (HTTPS) no puede ser filtrado al
estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos
para las redes internas hacia Internet dando acceso garantizado al trfico HTTPS.
84
Perfiles de
85
86
87
Bloquear dominios especificados slo como IP, esta opcin bloquea cualquier dominio especificado nicamente por su IP asegurndonos as que no es posible encontrar una manera
de saltarse nuestras reglas mediante el uso de direcciones IP.
Bloquear dominios no listados, esta opcin bloquea todos los dominios que no estn presentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas
de dominios. En este ltimo caso, las categorias con una poltica de Ignorar no son consideradas como listadas.
A continuacin tenemos, la lista de dominios, donde podemos introducir nombres de dominio y
seleccionar una poltica para ellos entre las siguientes:
Permitir siempre: El acceso a los contenidos del dominio ser siempre permitido, todos los filtros del
filtro de contenido son ignorados.
Denegar siempre: El acceso nunca se permitir a los contenidos de este dominio.
Filtrar: Se aplicarn las reglas usuales a este dominio. Resulta til si est activada la opcin Bloquear dominios no listados.
En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceras
88
partes y tienen la ventaja de que los dominios estn clasificados por categoras, permitindonos seleccionar una poltica para una categora entera de dominios. eBox soporta las listas distribuidas por
urlblacklist
13
, shallas blacklists
14
Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo,
podemos incorporarlo a nuestra configuracin y establecer polticas para las distintas categoras de
dominios.
Las polticas que se pueden establecer en cada categora son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categora. Existe una poltica
adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categora a la
hora de filtrar. Dicha poltica es la elegida por defecto para todas las categoras.
Ejemplo prctico
Activar el modo transparente del proxy. Comprobar usando los comandos de iptables las reglas de
NAT que ha aadido eBox para activar este modo
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy HTTP, para
ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
13
14
URLBlacklist: http://www.urlblacklist.com
Shallas blacklist: http://www.shallalist.de
89
2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
Efecto: Se ha activado el botn Guardar Cambios.
3. Accin: Ir a Proxy HTTP
que eBox puede actuar como router, es decir, que haya al menos una interfaz de red externa y
otra interna.
Efecto: El modo transparente est configurado
4. Accin: Guardar cambios para confirmar la configuracin
Efecto: Se reiniciarn los servicios de cortafuegos y proxy HTTP.
5. Accin: Desde la consola en la mquina en la que est eBox, ejecutar el comando
90
destination
out
destination
out
any
source
source
destination
anywhere !192.168.45.204
tcp
Chapter 4
eBox Office
Uno de los fundamentos de la creacin de las redes de computadores, fue la comparticin de recursos
y de informacin 1 . A lo largo de todo este captulo, se van a ir explorando los diferentes recursos de
informacin disponibles en una red de rea local dispuesta en casa o en la oficina.
La gestin de usuarios y grupos a travs de un servicio de directorio para todos los servicios
de la red de forma unificada, el empleo de ficheros e impresoras compartidas, adems de todos los
servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado.
4.1
91
A cada clase de objeto, estandarizada por la IANA 2 , se le definen unas propiedades sobre las
cuales se pueden definir listas de control de acceso (ACLs).
Existen mltiples implementaciones del servicio de directorio entre las que destacamos NIS,
OpenLDAP, ActiveDirectory, etc. eBox usa OpenLDAP como servicio de directorio con tecnologa
Samba para controlador de dominios Windows adems de para la comparticin de ficheros e impresoras.
Modos
Como se ha explicado, eBox est diseada de manera modular, permitiendo al administrador
distribuir los servicios entre varias mquinas de la red. Para que esto sea posible, el mdulo de
usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir
usuarios entre las diferentes eBoxes.
Por defecto y a no ser que se indique lo contrario en el men Usuarios y Grupos
Modo, el
mdulo se configurar como un directorio LDAP maestro y el Nombre Distinguido (DN) del directorio
se establecer de acuerdo al nombre de la mquina. Si se desea configurar un DN diferente, se puede
hacer en la entrada de texto LDAP DN.
2
Internet Assigned Numbers Authority (IANA) es una organizacin que se encarga de la asignacin de direcciones IP
pblicas, nombres de dominio de mximo nivel (TLD), etc. http://www.iana.org/
92
Otras eBoxes pueden ser configuradas para usar un maestro como fuente de sus usuarios, convirtindose as en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en
Usuarios y Grupos Modo. La configuracin del esclavo necesita dos datos ms, la IP o nombre de
mquina del directorio maestro y su clave de LDAP. Esta clave no es la de eBox, sino una generada
automticamente al activar el mdulo usuarios y grupos. Su valor puede ser obtenido en el campo
Contrasea de la opcin de men Usuarios y Grupos Datos LDAP en la eBox maestra.
Hay un requisito ms antes de registrar una eBox esclava en una eBox maestra. El maestro debe
de ser capaz de resolver el nombre de mquina del esclavo utilizando DNS. Hay varias maneras de
conseguir esto. La ms sencilla es aadir una entrada para el esclavo en el fichero /etc/hosts del
maestro. Otra opcin es configurar el servicio DNS en eBox, incluyendo el nombre de mquina del
esclavo y la direccin IP.
Si el mdulo cortafuegos est habilitado en la eBox maestra, debe ser configurado de manera
que permita el trfico entrante de los esclavos. Por defecto, el cortafuegos prohbe este trfico, por lo
que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.
93
Una vez todos los parmetros han sido establecidos y el nombre de mquina del esclavo puede
ser resuelto desde el maestro, el esclavo puede registrarse en la eBox maestra habilitando el mdulo
de usuarios y grupos en Estado de los mdulos.
Los esclavos crean una rplica del directorio maestro cuando se registran por primera vez, que
se mantiene actualizada automticamente cuando se aaden nuevos usuarios y grupos. Se puede
ver la lista de esclavos en el men Usuarios y grupos Estado de los esclavos de la eBox maestra.
Los mdulos que utilizan usuarios como por ejemplo correo y comparticin de ficheros pueden
instalarse ahora en los esclavos y utilizarn los usuarios disponibles en la eBox maestra. Algunos
mdulos necesitan que se ejecuten algunas acciones cuando se aaden usuarios, como por ejemplo
comparticin de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro
notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a
los esclavos de ejecutar las acciones apropiadas.
Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno
de los esclavos est apagado. En ese caso, el maestro recordar que hay acciones pendientes que
deben realizarse y lo reintentar peridicamente. El usuario puede comprobar tambin el estado
de los esclavos en Usuarios y Grupos
94
# sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall
Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los
usuarios y grupos actuales y reinstalando desde cero un directorio vaco que puede ser configurado
en un modo diferente.
A travs de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder
editarlos o borrarlos.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, adems
de la informacin que tiene que ver con aquellos mdulos de eBox instalados que poseen alguna
configuracin especfica para los grupos de usuarios.
95
Nombre de usuario: Nombre que tendr el usuario en el sistema, ser el nombre que use para
identificarse en los procesos de autenticacin.
Nombre: Nombre del usuario.
Apellidos: Apellidos del usuario.
Comentario: Informacin adicional sobre el usuario.
Contrasea: Contrasea que emplear el usuario en los procesos de autenticacin. Esta informacin
se tendr que dar dos veces para evitar introducirla incorrectamente.
Grupo: Es posible aadir el usuario a un grupo en el momento de su creacin.
Desde Usuarios y Grupos
eliminarlos.
96
Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre
del usuario, adems de la informacin que tiene que ver con aquellos mdulos de eBox instalados
que poseen alguna configuracin especfica para los usuarios. Tambin se puede modificar la lista de
grupos a los que pertenece.
97
En una configuracin maestro-esclavo, los campos bsicos de usuarios y grupos se editan desde
el maestro, mientras que el resto de atributos relacionados con otros mdulos instalados en un esclavo
dado se editan desde el mismo.
98
Ejemplo prctico A
Crear un grupo en eBox llamado contabilidad.
Para ello:
1. Accin: Activar el mdulo usuarios y grupos. Entrar en Estado de los mdulos y activar el
mdulo en caso de que no est habilitado.
Efecto: El mdulo est activado y listo para ser usado.
2. Accin: Acceder a Usuarios y Grupos
Ejemplo prctico B
Crear el usuario pedro y aadirlo al grupo contabilidad.
Para ello:
1. Accin: Acceder a Usuarios
nuevo usuario. Se puede aadir al usuario pedro al grupo contabilidad desde esta pantalla.
Efecto: El usuario ha sido aadido al sistema y al grupo contabilidad.
Comprobar desde consola que hemos aadido a nuestro usuario correctamente:
99
# id pedro
Efecto: El resultado debera de ser algo como esto:
uid=2003(pedro) gid=1901(__USERS__)
groups=1901(__USERS__) ,2004(contabilidad)
4.2
100
La ingeniera inversa trata de averiguar los protocolos de comunicacin usando para ello nicamente sus mensajes.
Ante el auge de otros sistemas de comparticin de ficheros, Microsoft decidi renombrar SMB a
CIFS aadiendo nuevas caractersticas como enlaces simblicos y fuertes, mayores tamaos para los
ficheros y evitar el uso de NetBIOS 4 sobre el que SMB se basa.
Editar grupo.
Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los ficheros y
directorios dentro de dicho directorio compartido.
4
NetBIOS (Network Basic Input/Output System): API que permite la comunicacin en una red de rea local entre
ordenadores diferentes dando a cada mquina un nombre NetBIOS y una direccin IP correspondiente a un (posiblemente
diferente) nombre de mquina.
101
Ir a Compartir Ficheros
Habilitado: Lo dejaremos marcado si queremos que este directorio est compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracin.
Nombre del directorio compartido: El nombre por el que ser conocido el directorio compartido.
Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio
dentro del directorio de eBox /home/samba/shares, o usar directamente una ruta existente del
sistema si se elige Ruta del sistema de ficheros.
102
Comentario: Una descripcin ms extensa del directorio compartido para facilitar la gestin de los
elementos compartidos.
Desde la lista de directorios compartidos podemos editar el control de acceso. All, pulsando en
Aadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administracin a un usuario
o a un grupo. Si un usuario es administrador de un directorio compartido podr leer, escribir y borrar
ficheros de cualquier otro usuario dentro de dicho directorio.
Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos
Grupos. Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los
ficheros y directorios dentro de dicho directorio compartido.
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros
Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se
pueden aadir excepciones en la seccin Recursos excluidos de la Papelera de Reciclaje. Tambin se pueden modificar algunos otros valores por defecto para esta caracterstica, como por ejemplo
el nombre del directorio, editando el fichero /etc/ebox/80samba.conf.
103
En Compartir ficheros
bsqueda de virus en los recursos compartidos y la posibilidad de aadir excepciones para aquellos en los que no se desee buscar. Ntese que para acceder la configuracin del antivirus para el
mdulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El
mdulo antivirus de eBox debe estar as mismo instalado y habilitado.
Cliente Windows
A travs de Mis sitios de red Toda la red. Encontramos el dominio que hemos elegido
y despus aparecer la mquina servidora con el nombre seleccionado y podremos ver
sus recursos compartidos:
104
Cliente Linux
1. Konqueror (KDE)
En Konqueror basta con poner en la barra de bsqueda smb:// para ver la red de Windows
en la que podemos encontrar el dominio especificado:
2. Nautilus (Gnome)
105
nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos.
Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la
navegacin y para entrar en ellos se debe hacer directamente escribiendo la direccin en la
barra de bsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debera
introducir la siguiente direccin:
smb://<ip_de_ebox>/pedro
3. Smbclient
Adems de las interfaces grficas, disponemos un cliente de lnea de comandos que funciona
de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de
ficheros, recoger informacin sobre ficheros y directorios, etc. Un ejemplo de sesin puede ser
el siguiente:
$
>
>
>
106
> exit
$ smbclient -U joe -L //192.168.45.90/
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Sharename
Type
Comment
-----------------_foo
Disk
_mafia
Disk
hp
Printer
br
Printer
IPC$
IPC
IPC Service (eBox Samba Server)
ADMIN$
IPC
IPC Service (eBox Samba Server)
joe
Disk
Home Directories
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Server
Comment
--------------DME01
PC Verificaci
eBox-SMB3
eBox Samba Server
WARP-T42
Workgroup
Master
--------------eBox
eBox-SMB3
GRUPO_TRABAJO
POINT
INICIOMS
WARHOL
MSHOME
SHINNER
WARP
WARP-JIMBO
Configuracin General.
107
Si la opcin Perfiles Mviles est activada, el servidor PDC no slo realizar la autenticacin,
sino que tambin almacenar los perfiles de cada usuario. Estos perfiles contienen toda la informacin
del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos.
Cuando un usuario inicie sesin, recibir del servidor PDC su perfil. De esta manera, el usuario
dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar
esta opcin que la informacin de los usuarios puede ocupar varios GiB de informacin, el servidor
PDC necesitar espacio de disco suficiente. Tambin se puede configurar la letra del disco al que se
conectar el directorio personal del usuario tras autenticar contra el PDC en Windows.
Es posible definir polticas para las contraseas de los usuarios a travs de Compartir ficheros
PDC. Estas polticas suelen ser forzadas por la ley.
Longitud mnima de contrasea.
Edad mxima de contrasea. Dicha contrasea deber renovarse tras superar los das configurados.
Forzar historial de contraseas. Esta opcin forzar a almacenar un mximo de contraseas,
impidiendo que puedan ser repetidas en sucesivas modificaciones.
Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con
una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento de
dicha poltica al entrar en una mquina registrada en el dominio.
108
Ahora vamos a otra mquina dentro de la misma red de rea local (hay que tener en cuenta que
el protocolo SMB/CIFS funciona en modo difusin total) con un Windows capaz de trabajar con CIFS
(Ej. Windows XP Professional). All, en Mi PC
109
Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecer una
particin de red con una cuota determinada en la configuracin de eBox.
4.3
Aadir Impresora. Ah se sigue un asistente en el que se irn introduciendo los datos necesarios
para su incursin en funcin de los datos entrantes.
En primer lugar, se establece un nombre significativo para la impresora y se configura el mtodo
de conexin. Este mtodo depende del modelo de impresora y de cmo est conectada a nuestra
red. Los siguiente mtodos de conexin estn soportados por eBox:
5
110
Universal Serial Bus (USB) es un bus serie estndar para comunicacin de dispositivos con la computadora.
Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo.
USB: Una impresora conectada al servidor eBox mediante el puerto USB.
AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este
protocolo tambin se le conoce con el nombre de JetDirect.
IPP: Una impresora remota que usa el protocolo IPP 6 para comunicarse.
LPD: Una impresora remota que usa el protocolo LPD 7 para comunicarse.
Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo
Samba o Windows.
En funcin del mtodo seleccionado, se deben configurar los parmetros de la conexin. Por
ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de la
misma como muestra la imagen.
Internet Printing Protocol (IPP) es un protocolo de red para la impresin remota y para la gestin de cola de impresin.
Ms informacin en RFC 2910.
7
Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresin remota y el envo de
trabajos usando spooling a las impresoras para los sistemas Unix. Ms informacin en RFC 1179.
111
Una vez finalizado el asistente, ya tenemos la impresora configurada. Por tanto, podremos observar qu trabajos de impresin estn pendientes o en proceso. Tambin tendremos la posibilidad de
modificar alguno de los parmetros introducidos en el asistente a travs de Impresoras Gestionar
impresoras.
Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicionalmente podremos habilitar el demonio de impresin CUPS 8 que har accesibles las impresoras mediante IPP.
8
Common Unix Printing System (CUPS) es un sistema modular de impresin para sistemas Unix que permiten a una
mquina actuar de servidor de impresin, lo cual permite aceptar trabajos de impresin, su procesamiento y envo a la
impresora adecuada.
112
Si una impresora no est soportada por eBox, es decir, que eBox no dispone de los controladores
necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para aadir una
impresora por CUPS hay que habilitar su demonio de impresin como se muestra en la figura Gestin
de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede configurar a travs de:
http://direccion_ebox:631
Una vez aadida la impresora a travs de CUPS, eBox es capaz de exportarla usando el protocolo
de Samba para ello.
Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a
dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo Impresoras
o Usuarios Editar Usuario Impresoras).
113
4.4
Servicio de groupware
El groupware, tambin conocido como software colaborativo, es el conjunto de aplicaciones que
integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al
sistema desde distintas estaciones de trabajo de la red local o tambin desde cualquier punto del
mundo a travs de Internet.
Algunas de las funciones ms destacadas de las herramientas de groupware son:
Comunicacin entre los usuarios: correo, salas de chat, etc.
Comparticin de informacin: calendarios compartidos, listas de tareas, libretas de direcciones
comunes, base de conocimiento, comparticin de ficheros, noticias, etc.
Gestin de proyectos, recursos, tiempo, bugtracking, etc.
114
Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que
nos ofrece el Software Libre, una de las ms populares es eGroupware
y es la seleccionada para
eBox Platform para implementar esta funcionalidad tan importante en el mbito empresarial.
Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el
usuario no tenga que acceder a la configuracin tradicional que ofrece eGroupware y pueda realizarlo
prcticamente todo desde el interfaz de eBox, salvo que necesite alguna personalizacin avanzada.
De hecho la contrasea para la configuracin de eGroupware es auto-generada
10
por eBox y el
administrador debera usarla bajo su responsabilidad dado que si realiza una accin inapropiada el
mdulo podra quedar mal configurado y en un estado inestable.
que seleccionar el dominio deseado y pulsar el botn Cambiar. Aunque como de costumbre esto no
tendr efecto hasta que no pulsemos el botn Guardar Cambios.
9
10
egroupware.passwd y los nombres de usuario son admin y ebox para la configuracin del encabezado y del dominio
respectivamente.
115
Para que nuestros usuarios puedan utilizar el servicio de correo tendrn que tener creadas sus
respectivas cuentas en el mismo. En la imagen que se muestra a continuacin (Usuarios y Grupos
Usuarios) podemos ver que en la configuracin de eGroupware se muestra un aviso indicando cul
debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.
eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso
de cada usuario asignndole una plantilla de permisos, como se puede ver en la imagen anterior.
Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personalizadas.
La plantilla de permisos por defecto es til si queremos que la mayora de los usuarios del sistema
tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que
preocuparnos de asignarle permisos, ya que stos sern asignados automticamente.
Para editar la plantilla por defecto accederemos a la pestaa Groupware
terminadas, como se muestra en la imagen.
116
Aplicaciones prede-
Para grupos reducidos de usuarios como es el caso de los administradores, podemos definir una
plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios.
Para definir una nueva plantilla debemos acceder a la pestaa Groupware Plantillas definidas
por el usuario y pulsar en Aadir nueva. Una vez introducido el nombre deseado aparecer en la
tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma anloga a
como se hace con la plantilla por defecto.
Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto, los cambios
slo sern aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarn de
manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas
117
por el usuario, si existiesen usuarios con esa plantilla aplicada habra que editar las propiedades del
usuario y aplicarle nuevamente la misma plantilla despus de modificarla.
Finalmente, cuando hayamos configurado todo, podemos acceder a eGroupware a travs de la
direccin http://<ip_de_ebox>/egroupware utilizando el usuario y contrasea definidos en la interfaz
de eBox.
El manejo de eGroupware est fuera del alcance de este manual, para cualquier duda se debe
consultar el manual de usuario oficial de eGroupware. Este se encuentra disponible en Internet en su
pgina oficial y tambin est enlazado desde la propia aplicacin una vez que estamos dentro.
Ejemplo prctico
Habilitar el mdulo Groupware y comprobar su integracin con el correo.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Groupware, para
ello marca su casilla en la columna Estado. Nos informa de que se modificar la configuracin
de eGroupware. Permitir la operacin pulsando el botn Aceptar. Asegurarse de que se han
habilitado previamiente los mdulos de los que depende (Correo, Webserver, Usuarios...).
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prctico. En dicho ejemplo tambin se aade un usuario con su cuenta de correo correspondiente.
No son necesarios los pasos de ese ejemplo relativos a objetos o polticas de reenvo. Realizar
slo hasta el paso en que se aade el usuario.
Efecto: El usuario creado tiene una cuenta de correo vlida.
3. Accin: Acceder al men Correo
118
Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden
los cambios.
4. Accin: Acceder al men Groupware y en la pestaa Dominio Virtual de Correo seleccionar
el dominio creado anteriormente y pulsar Cambiar.
Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden
los cambios.
5. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
A partir de ahora eGroupware se encuentra configurado correctamente para integrarse
con nuestro servidor IMAP.
6. Accin: Acceder a la interfaz de eGroupware (http://<ip_de_ebox>/egroupware) con el usuario
que hemos creado anteriormente. Acceder a la aplicacin de correo electrnico de eGroupware
y enviar un correo a nuestra propia direccin.
Efecto: Recibiremos el correo recin enviado en nuestro buzn de entrada.
119
120
Chapter 5
eBox Unified Communications
En este apartado se van a ver los diferentes mtodos de comunicacin para compartir informacin
centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contrasea.
En primer lugar, se explica el servicio de correo electrnico, que permite su integracin rpida
y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las ltimas tcnicas
disponibles para la prevencin del correo basura.
En segundo lugar, el servicio de mensajera instntanea a travs del estndar Jabber/XMPP. Este
nos evita depender de empresas externas o de la conexin a Internet. Ofrece salas de conferencia
comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes disponibles, una
comunicacin ms rpida para los casos en que el correo no es suficiente.
Finalmente, veremos una introduccin a la voz sobre IP, con la que cada persona puede tener una
extensin a la que llamar o hacer conferencias fcilmente. Adicionalmente, con un proveedor externo,
eBox es capaz de configurarse para conectarse a la red telefnica tradicional.
5.1
para la composicin,
Almacenamiento y envo: Tcnica de telecomunicacin en la cual la informacin se enva a una estacin intermedia
que almacena y despus enva la informacin a su destinatario o a otra estacin intermedia.
121
122
Por tanto, podemos ver como el envo y recepcin de correos entre servidores de correo se realiza
a travs de SMTP pero la obtencin de correos por parte del usuario se realiza a travs de POP3,
IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes
servidores y clientes de correo. Lamentablemente, tambin existen protocolos propietarios como los
que usan Microsoft Exchange o Lotus Notes de IBM.
123
recepcin de correos (POP3, IMAP) se usa Dovecot . Ambos con soporte para comunicacin segura
con SSL.
Configuracin general
A travs de Correo
124
Exigir la autenticacin: Este parmetro activa el uso de autenticacin. Un usuario debe usar su
direccin de correo y su contrasea para identificarse, una vez autenticado podr retransmitir
correo a travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.
En la seccin Correo
125
eBox actuara como un intermediario entre el usuario que enva el correo y el servidor que
enviar finalmente el mensaje.
Autenticacin del smarthost: Determinar si el smarthost requiere autenticacin y si es as proveer
un usuario y contrasea.
Nombre de correo del servidor: Determina el nombre de correo del sistema, ser usado por el servicio de correo como la direccin local del sistema.
Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario
(root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de
correo gestionados o no.
Esta cuenta est pensada para tener una manera estndar de contactar con el administrador
de correo. Correos de notificacin automticos suelen usar postmaster como direccin de
respuesta.
Tamao mximo de buzn: En esta opcin se puede indica un tamao mximo en MiB para los
buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir
una notificacin. Esta opcin puede sustituirse para cada usuario en la pagina Usuarios y
Grupos -> Usuarios.
Tamao mximo aceptado para los mensajes: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o
no de cualquier lmite al tamao del buzn de los usuarios.
Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta
de papelera de los usuarios ser borrado cuando su fecha sobrepase el limite de das establecido.
Periodo de expiracin para correo de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios.
Para configurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de
correo. eBox puede configurarse como servidor de POP3 o IMAP adems de sus versiones seguras
POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener correo de
direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin
de correo desde cuentas externas.
Tambin se puede configurar eBox para que permita reenviar correo sin necesidad de autenticarse
desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos
de red de eBox a travs de Correo
126
basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde
dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de eBox.
Warning: Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar
correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir
en una fuente de spam.
Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos
para los mensajes 4 . Para ello el servidor de filtrado debe recibir el correo en un puerto determinado
y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A
travs de Correo
127
Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros, acudimos a Usuarios y Grupos
dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de correo
lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado un alias o no, el correo
sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias
para autenticarse, se debe usar siempre la cuenta real.
128
Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automticamente una
cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos
-> Plantilla de Usuario por defecto > Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias
son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a
travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de
grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio
virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en
Correo Dominios Virtuales Alias a cuentas externas.
Gestin de cola
Desde Correo
Gestin de cola podemos ver los correos que todava no han sido enviados con
la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:
eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos botones
que permiten borrar o reencolar todos los mensajes en la cola.
129
de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede
configurar sus cuentas externas a travs del rincn del usuario 5 . El usuario debe tener una cuenta
de correo para poder hacerlo. Los servidores externos son consultados peridicamente, as que la
obtencin del correo no es instantnea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer
clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la lista
de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada cuenta tiene
los siguientes parmetros:
Cuenta externa: El nombre de usuario o direccin de correo requerida para identificarse en el servicio externo de recuperacin de correo.
Contrasea: Contrasea para autenticar la cuenta externa.
Servidor de correo: Direccin del servidor de correo que hospeda a la cuenta externa.
Protocolo: Protocolo de recuperacin de correo usado por la cuenta externa, puede ser uno de los
siguientes: POP3, POP3S, IMAP o IMAPS.
Puerto: Puerto usado para conectar al servidor de correo externo.
La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario.
130
otras cosas, clasificarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada
(o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para
usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8 .
Para usar ManageSieve en eBox, debes activar el servicio en Correo General Opciones de
servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios con
cuenta de correo. Si ManageSieve est activado y el mdulo de correo web
en uso, el interfaz de
131
Conexin segura: Seleccionar TLS si tienes activada la opcin TLS para el servidor SMTP, en
otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece ms adelante sobre
TLS/SSL.
Usuario SMTP: Como nombre de usuario se debe usar la direccin de correo completa del usuario,
no uses su nombre de usuario o alguno de sus alias de correo. Esta opcin slo es obligatoria
si est habilitado el parmetro Exigir autenticacin.
Contrasea SMTP: La contrasea del usuario.
132
Warning:
uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con
TLS, otros usan TLS para indicar que van a tratar de conectar al servicio a travs de un puerto
tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes
har falta probar tanto los modos SSL como TLS para averiguar cual de los mtodos funciona
correctamente.
Tienes mas informacin sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL .
133
Ejemplo prctico
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en
el dominio creado para dicho usuario. Configurar la retransmisin para el envo de correo. Enviar un
correo de prueba con la cuenta creada a una cuenta externa.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Correo, para ello
marca su casilla en la columna Estado. Habilitar primero los mdulos Red y Usuarios y
grupos si no se encuentran habilitados con anterioridad.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
Efecto: Se ha activado el botn Guardar Cambios.
3. Accin: Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir un nombre para el dominio y pulsar el botn Aadir.
Efecto: eBox nos notifica de que debemos salvar los cambios para usar el dominio.
4. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora ya podemos usar el dominio de correo que hemos aadido.
5. Accin: Acceder a Usuarios y Grupos
134
7. Accin: Acceder al men Objetos Aadir nuevo. Escribir un nombre para el objeto y pulsar
Aadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el
miembro, introducir la direccin IP de la mquina desde donde se enviar el correo y pulsar
Aadir.
Efecto: El objeto se ha aadido temporalmente y podemos usarlo en otras partes de la interfaz
de eBox, pero no ser persistente hasta que se guarden cambios.
8. Accin: Acceder a Correo
el objeto creado en el paso anterior asegurndose de que est marcada la casilla Permitir
reenvo y pulsar el botn Aadir.
Efecto: El botn Guardar Cambios estar activado.
9. Accin: Guardar los cambios.
Efecto: Se ha aadido una poltica de reenvo para el objeto que hemos creado, que permitir
el envo de correos al exterior para ese origen.
10. Accin: Configurar el cliente de correo seleccionado para que use eBox como servidor SMTP
y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa.
Efecto: Transcurrido un breve periodo de tiempo deberamos recibir el correo enviado en el
buzn de la cuenta externa.
11. Accin: Comprobar en el servidor de correo a travs del fichero de registro /var/log/mail.log
como el correo se ha enviado correctamente.
5.2
135
136
Filtros SIEVE
El correo web tambin incluye una interfaz para administrar filtros SIEVE. Esta interfaz slo est
disponible si el protocolo ManageSIEVE est activo en el servicio de correo.
5.3
137
Para configurar el servicio, accederemos a Jabber en el men izquierdo, definiendo los siguientes
parmetros:
Nombre de dominio: Especifica el nombre de dominio del servidor. Esto har que las cuentas de
los usuarios sean de la forma usuario@dominio.
Tip: dominio debera estar registrado en el servidor DNS para que pueda resolverse desde
los clientes.
Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros
servidores externos. Si por el contrario queremos un servidor privado, slo para nuestra red
interna, deber dejarse desmarcada.
Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para ms de
dos usuarios).
Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nombre de dominio debera estar registrado en el servidor DNS para que pueda resolverse desde
los clientes tambin.
138
Soporte SSL: Especifica si las comunicaciones (autentificacin y mensajes) con el servidor sern
cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como
opcional. Si lo dejamos como opcional ser en la configuracin del cliente Jabber donde se
especifique si se quiere usar SSL.
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si queremos
crear una nueva cuenta o a Usuarios Editar usuario si solamente queremos habilitar la cuenta de
Jabber para un usuario ya existente.
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos seleccionar
si la cuenta est activada o desactivada. Adems, podemos especificar si el usuario en cuestin tendr privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados
al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of
The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast).
Pidgin
Pidgin
12
Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!.
12
139
Pidgin era el cliente por omisin del escritorio Ubuntu hasta la versin Karmic, pero todava sigue
siendo el cliente de mensajera ms popular. Lo podemos encontrar en Internet
Cliente de men-
sajera Internet Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecer
la ventana de gestin de cuentas tal como aparece en la imagen.
Desde esta ventana podemos tanto aadir cuentas, como modificar y borrar las cuentas existentes.
Pulsando el botn Aadir, aparecern dos pestaas de configuracin bsica y avanzada.
Para la configuracin Bsica de la cuenta Jabber, deberemos seleccionar en primer lugar el
protocolo XMPP. El Nombre de usuario y Contrasea debern ser los mismos que la cuenta Jabber
tiene en eBox. El dominio deber ser el mismo que hayamos definido en la configuracin del mdulo
de Jabber/XMPP de eBox. Opcionalmente, en el campo Apodo local introduciremos el nombre que
queramos mostrar a nuestros contactos.
140
En la pestaa Avanzada est la configuracin de SSL/TLS. Por defecto Requerir SSL/TLS est
marcado, as que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir
autentificacin en texto plano sobre hilos no cifrados.
141
142
Psi
Psi 13 es un cliente de Jabber/XMPP que permite manejar mltiples cuentas a la vez. Rpido y ligero,
Psi es cdigo abierto y compatible con Windows, Linux y Mac OS X.
Al arrancar Psi, si no tenemos ninguna cuenta configurada todava, aparecer una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen.
Seleccionaremos Usar una cuenta existente.
13
143
La primera vez que conectemos, el cliente mostrar un error inofensivo porque todava no hemos
publicado nuestra informacin personal en el servidor.
144
145
Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea
se convierte en el administrador para esa sala. Este administrador puede definir todos los parmetros
de configuracin, aadir otros usuarios como moderadores o administradores y destruir la sala.
Uno de los parmetros que deberamos destacar es Hacer Sala Persistente. Por omisin, todas
las salas se destruyen al poco despus de que su ltimo participante salga. Estas son llamadas salas
dinmicas y es el mtodo preferido para conversaciones de varios usuarios. Por otra parte, las salas
persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para
grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos > Entrar en una Sala.... Aparecer
una ventana de Entrar en una Sala preguntando alguna informacin como el Nombre de la sala, el
Servidor que debera ser conference.dominio, el Usuario y la Contrasea en caso de ser necesaria.
El primer usuario en entrar a una nueva sala la bloquear y se le preguntar si quiere Configurar
la Sala o Aceptar la Configuracin por Omisin.
En Configuracin de la Sala podremos configurar todos los parmetros de la sala. Esta ventana
de configuracin puede ser abierta posteriormente ejecutando /config en la ventana de conversacin.
146
Una vez configurada, otros usuarios podrn entrar en la sala bajo la configuracin aplicada estando la sala lista para su uso.
En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ventana
de Entrar en una Sala aparecer preguntando alguna informacin como el Servidor que deber ser
conference.dominio, el Nombre de la Sala, el Nombre de Usuario y la Contrasea en caso de ser
necesaria.
147
El primer usuario en entrar a una nueva sala la bloquear y se le pedir que la configure. En la
esquina superior derecha hay un botn que despliega un men contextual dnde aparece la opcin
Configurar Sala.
148
Una vez configurada, otros usuarios podrn entrar en la sala bajo la configuracin aplicada estando la sala lista para su uso.
149
5.4
16
la latencia (tiempo que se tarda en llegar al destino), el jitter (la variacin de la latencia) y el ancho de
banda.
5.4.1 Protocolos
Son varios los protocolos involucrados en la transmisin de voz, desde los protocolos de red como
IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su
transporte como para su sealizacin.
Los protocolos de sealizacin en Voz IP desempean las tareas de establecimiento y control
de la llamada. SIP, IAX2 y H.323 son protocolos de sealizacin.
El protocolo de transporte de voz ms utilizado es RTP (Realtime Transport Protocol) y su tarea
es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha
una vez establecida la llamada por los protocolos de sealizacin.
SIP
SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF
17
para la iniciacin,
modificacin y finalizacin de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP.
SIP solamente se encarga de la sealizacin funcionando sobre el puerto UDP/5060. La transmisin
multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.
15
16
17
150
IAX2
IAX2 es la versin 2 del protocolo Inter Asterisk eXchange creado para la interconexin de centralitas
Asterisk
18
por el mismo flujo de datos y adems ste puede ser cifrado. Esto tiene la ventaja directa de poder
atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de
comunicacin simultneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.
5.4.2 Cdecs
Un cdec es un algoritmo que adapta (codificando en origen y descodificando en destino) una informacin digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y
recuperndose de los errores en la transmisin. G.711, G.729, GSM y speex son cdecs habituales
dentro de la Voz IP.
G.711: Es uno de los cdecs ms utilizados, con dos versiones, una americana (ulaw) y otra europea
(alaw). Este cdec ofrece buena calidad pero su consumo de ancho de banda es bastante
significativo con 64kbps. Es el ms habitual para la comunicacin por voz en redes locales.
G.729: Tiene una compresin mucho mayor usando solamente 8kbps siendo ideal para las comunicaciones a travs de Internet. El inconveniente es que tiene algunas restricciones en su uso.
GSM: Es el mismo cdec que el usado en las redes de telefona celular. La calidad de voz no es muy
buena y usa 13kbps aproximadamente.
speex: Es un cdec libre de patentes diseado para voz. Es muy flexible a pesar de consumir ms
tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz,
16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband
respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.
5.4.3 Despliegue
Veamos los elementos implicados en el despliegue de Voz IP:
18
Asterisk es un software para centralitas telefnicas que eBox usa para implementar el mdulo de Voz IP
<http://www.asterisk.org/>.
151
Telfonos IP
Son telfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo
a una red Ethernet en lugar del habitual RJ11 de las redes telefnicas. Introducen caractersticas
nuevas como acceso a la agenda de direcciones, automatizacin de llamadas, etc. no presentes en
los telfonos analgicos convencionales.
152
Adaptadores Analgicos
Tambin conocidos como adaptadores ATA (Analog Telephony Adapter ), permiten conectar un telfono analgico convencional a una red de datos IP y hacer que este funcione como un telfono IP.
Para ello dispone de un puerto de red de datos RJ45 y uno o ms puertos telefnicos RJ11.
Softphones
Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin ms hardware adicional que los propios altavoces y micrfono del ordenador. Existen multitud de aplicaciones
para este propsito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (WengoPhone) estn disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting)
o Twinkle son nativas de este ltimo.
Centralitas IP
A diferencia de la telefona tradicional, dnde las llamadas pasaban siempre por la centralita, en la Voz
IP los clientes (telfonos IP o softphones) se registran en el servidor, el emisor pregunta por los datos
del receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento
de la llamada negocian un cdec comn para la transmisin de la voz.
Asterisk es una aplicacin exclusivamente software que funciona sobre cualquier servidor habitual
proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar
entre s distintos telfonos, a un proveedor de Voz IP, o bien a la red telefnica. Tambin ofrece
servicios como buzn de voz, conferencias, respuesta interactiva de voz, etc.
153
154
Para conectar el servidor de la centralita Asterisk a la red telefnica analgica se usan unas
tarjetas llamadas FXO (Foreign eXchange Office) que permiten a Asterisk funcionar como si fuera un
telfono convencional y redirigir las llamadas a travs de la red telefnica. Para conectar un telfono
analgico al servidor se debe usar una tarjeta FXS (Foreign eXchange Station) as se pueden adaptar
los terminales existentes a una nueva red de telefona IP.
Como ya es habitual, en primer lugar deberemos habilitar el mdulo. Iremos a la seccin Estado
del Mdulo del men de eBox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el mdulo
Usuarios y Grupos deber ser habilitado previamente ya que depende de l.
A la configuracin general del servidor se accede a travs del men Voz IP General, una vez
all slo necesitamos configurar los siguientes parmetros generales:
155
Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensin
400 podremos escuchar la msica de espera, llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensin 600 se dispone de una prueba
de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones
nos permiten comprobar que nuestro cliente esta correctamente configurado.
Habilitar llamadas salientes: Habilita las llamadas salientes a travs del proveedor SIP que tengamos configurado para llamar a telfonos convencionales. Para realizar llamadas a travs
del proveedor SIP tendremos que aadir un cero adicional antes del nmero a llamar, por
ejemplo si queremos llamar a las oficinas de eBox Technologies (+34 976733506, o mejor
0034976733506), pulsaramos 00034976733506.
Extensin de buzn de voz: Es la extensin donde podemos consultar nuestro buzn de voz. El
usuario y la contrasea es la extensin adjudicada por eBox al crear el usuario o al asignrsela
por primera vez. Recomendamos cambiar la contrasea inmediatamente desde el Rincn
del Usuario 19 . La aplicacin que reside en esta extensin nos permite cambiar el mensaje de
bienvenida a nuestro buzn, escuchar los mensajes en l y borrarlos. Esta extensin solamente
es accesible por los usuarios de nuestro servidor, no aceptar llamadas entrantes de otros
servidores por seguridad.
Dominio Voz IP: Es el dominio que se asignar a las direcciones de nuestros usuarios. As pues un
usuario usuario, que tenga una extensin 1122 podr ser llamado a usuario@dominio.tld o
1122@dominio.tld.
19
156
En la seccin de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor
SIP para que eBox pueda redirigir las llamadas a travs de l:
Proveedor: Si estamos usando eBox VoIP Credit
20
de mquina dinmico.
En la seccin de Redes locales podremos aadir las redes locales a las que accedemos desde
eBox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados
desde eBox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del
protocolo SIP en entornos con NAT.
A la configuracin de las conferencias se accede a travs Voz IP Conferencias. Aqu podemos
configurar salas de reunin multiconferencia. La extensin de estas salas deber residir en el rango
8001-8999 y podrn tener opcionalmente una contrasea de entrada, una contrasea administrativa y una descripcin. A estas extensiones se podr acceder desde cualquier servidor simplemente
marcando extension@dominio.tld.
Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuario
y cambiar su extensin. Hay que tener en cuenta que una extensin slamente puede asignarse a
un usuario y no a ms, si necesitas llamar a ms de un usuario desde una extensin ser necesario
utilizar colas.
20
157
158
Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola
es una extensin dnde al recibir una llamada, se llama a todos los usuarios que pertenecen a este
grupo.
159
Desde Editar > Cuentas, seleccionando Cuentas > Aadir una cuenta SIP podremos configurar la cuenta de Voz IP de eBox Platform.
Nombre: Es el identificador de la cuenta dentro de Ekiga.
Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox.
Usuario y Usuario para autenticacin: Son el nombre de usuario de eBox.
Contrasea: Es la contrasea de usuario de eBox.
Para realizar una llamada tan slo hay que escribir el nmero o direccin SIP en la barra superior
y llamar usando el icono del telfono verde a la derecha. Para colgar se usa el icono del telfono rojo
a la derecha tambin.
160
Qutecom (Multiplataforma)
Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que est disponible en las tres plataformas ms extendidas: Linux, OSX y Windows. Tambin al lanzarlo por primera vez nos presentar un
asistente para configurar la cuenta de Voz IP.
Tenemos un teclado numrico o una lista de contactos para realizar llamadas. Se usan los
botones verde / rojo en la parte inferior para llamar y colgar.
22
161
# y despus introduciendo la extensin a dnde queremos reenviar la llamada podremos realizar una
transferencia. En ese momento, podremos colgar ya que esta llamada estar marcando la extensin
a donde ha sido transferida.
Aparcamiento de llamadas
El aparcamiento de llamadas se realiza sobre la extensin 700. Durante el transcurso de una conversacin, pulsaremos
ser anunciada a la parte llamada y quien estaba llamando comenzar a escuchar la msica de espera, si est configurada. Podremos colgar en ese momento. Desde un telfono distinto u otro usuario
distinto marcando la extensin anunciada podremos recoger la llamada aparcada y restablecer la conversacin.
En eBox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo mximo que una
llamada puede esperar son 300 segundos.
162
Ejemplo prctico
Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensin a 1500.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Voz IP marcando
la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no est activado
deberemos activarlo previamente pues depende de l. Entonces se informa sobre los cambios
que se van a realizar en el sistema. Permitiremos la operacin pulsando el botn Aceptar.
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Acceder al men Voz IP. En el campo Dominio Voz IP escribir el nombre de dominio
que corresponda a esta mquina. Este dominio deber poder resolverse desde las mquinas
de los clientes del servicio. Pulsar el botn Cambiar.
3. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
El servicio de Voz IP est preparado para usarse.
4. Accin:
Acceder al men Usuarios y Grupos
la informacin del formulario para crear un nuevo usuario. Pulsar el botn Crear
Usuario.
Efecto: eBox crea un nuevo usuario y nos muestra el perfil con las opciones de este.
5. Accin: En la seccin Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o
desactivada y la extensin que tiene asignada. Cerciorarse de que la cuenta est activada, ya
que todos los usuarios creados mientras el mdulo de Voz IP est habilitado tienen la cuenta
activada. Por ltimo, cambiar la extensin asignada por defecto, que es la primera libre del
rango de extensiones de usuarios, a la extensin 1500 que desebamos. Pulsar el botn
Aplicar cambios de la seccin Cuenta de Voz IP.
Efecto: eBox aplica los cambios realizados inmediatamente, el usuario ya puede recibir llamadas sobre esa extensin.
163
164
Chapter 6
eBox Unified Threat Manager
En este apartado se vern diferentes tcnicas para proteger la red ms all de un simple cortafuegos,
evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen.
El correo electrnico sin un buen filtrado de correo no funciona correctamente, en este tema se
vern diferentes tcnicas para evitar el correo basura (spam) y los virus en el correo electrnico con
eBox.
El trfico Web tambin puede traer problemas dependiendo de los lugares que se visiten. Por ello,
en este tema se explicar la integracin del filtrado de contenidos del proxy HTTP con un antivirus y
diversas configuraciones ms avanzadas para dar mayor seguridad a la navegacin por Internet de
los usuarios de la red.
En este apartado, se explicar como conectar de manera segura a los empleados fuera de la
oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales, para ello
se definirn las bases que sigue la seguridad en la red.
Finalmente, la deteccin de intrusos a travs de reglas de ataque se vern tambin en este
apartado. De una forma sencilla, podemos recibir notificaciones de ataques y analizar los daos que
hayan podido causar.
6.1
165
El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene que bucear
en su bandeja de entrada para encontrar los correos legtimos. Tambin genera una gran cantidad de
trfico que puede afectar al funcionamiento normal de la red y del servicio de correo.
Aunque los virus informticos no afectan al sistema en el que est instalado eBox, un correo
electrnico que contenga un virus puede infectar otras mquinas clientes de la red.
En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es vlido
o no. En primer lugar, el servidor de correo enva el correo al gestor de polticas de listas grises. Si el
correo supera este filtro, pasar al filtro de correo donde se examinarn una serie de caractersticas del
correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadstico.
Si supera todos esos filtros, entonces se determina que el correo es vlido y se emite a su receptor o
se almacena en un buzn del servidor.
En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos filtros y cmo
se configuran en eBox.
166
Lista gris
Una greylist (lista gris)
pone ms difcil el trabajo a un servidor de correo que acta como spammer (emisor de correo spam
o basura).
En el caso de eBox, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor
nuevo quiere enviarle un correo, eBox le dice Estoy fuera de servicio en este momento, intntalo en
300 segundos.
El Greylist se configura desde Correo Lista gris con las siguientes opciones:
1
167
Verificadores de contenidos
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para
realizar esta tarea eBox usa un interfaz entre el MTA (postfix) y dichos programas. Para ello, se usa
el programa amavisd-new
que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer
Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta
interfaz realiza las siguientes comprobaciones:
Listas blancas y negras de ficheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
3
168
Amavisd-new: http://www.ijs.si/software/amavisd/
Antivirus
El antivirus que usa eBox es ClamAV 4 , el cual es un conjunto de herramientas antivirus para UNIX
especialmente diseadas para escanear adjuntos en los correos electrnicos en un MTA. ClamAV
posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a travs del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos
virus que se van encontrando. Adems, el antivirus es capaz de escanear de forma nativa diversos
formatos de fichero como por ejemplo Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sistema.
Antispam
El filtro antispam asigna a cada correo un puntuacin de spam, si el correo alcanza la puntuacin
umbral de spam es considerado correo basura, si no es considerado correo legtimo. A este ltimo
tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes tcnicas para asignar la puntuacin:
Listas negras publicadas va DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de Spam.
Filtros basados en el checksum de los mensajes.
Entorno de poltica de emisor (Sender Policy Framework o SPF) RFC 4408.
DomainKeys Identified Mail (DKIM)
4
169
Filtro bayesiano
Reglas estticas
Otros.
Entre estas tcnicas el filtro bayesiano debe ser explicado con ms detenimiento. Este tipo de
filtro hace un anlisis estadstico del texto del mensaje obteniendo una puntuacin que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el anlisis no se hace contra un conjunto esttico
de reglas sino contra un conjunto dinmico, que es creado suministrando mensajes ham y spam al
filtro de manera que pueda aprender cuales son las caractersticas estadsticas de cada tipo.
La ventaja de esta tcnica es que el filtro se puede adaptar al siempre cambiante flujo de spam,
las desventajas es que el filtro necesita ser entrenado y que su precisin reflejar la calidad del
entrenamiento recibido.
eBox usa Spamassassin 6 como detector de spam.
La configuracin general del filtro se realiza desde Filtro de correo Antispam:
5
Existe una lista muy larga de tcnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Antispam_techniques_(e-mail)
6
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .
170
171
Umbral de auto-aprendizaje de ham: Puntuacin a partir de la cual el filtro aprender automticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar
falsos negativos. Su valor debera ser menor que 0.
Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten sus
correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el
filtro antispam (procesar ).
Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano envindole un
buzn de correo en formato Mbox
muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser ms exacto entrenarlo
con correo recibido en los sitios a filtrar. Conforme ms entrenado est el filtro, mejor ser el resultado
de la decisin de tomar un correo como basura o no.
Mbox y maildir son formatos de almacenamiento de correos electrnicos y es dependiente del cliente de correo
electrnico. En el primero todos los correos se almacenan en un nico fichero y con el segundo formato, se almacenan
en ficheros separados diferentes dentro de un directorio.
172
tros anteriores cuando eBox reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante:
173
Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones:
Aprobar: No hacer nada, dejar pasar el correo a su destinatario.
Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el
mensaje ha sido descartado.
Rebotar: Igual que Rechazar, pero adjuntando una copia del mensaje en la notificacin.
Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.
Desde Filtro de correo
comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben
las configuraciones generales definidas previamente.
Para personalizar la configuracin de un dominio virtual de correo, pulsamos sobre Aadir nuevo.
174
conexiones desde MTAs externos mediante su direccin IP o nombre de dominio hacia el filtro de
correo que se ha configurado usando eBox. De la misma manera, se puede permitir a esos MTAs
externos filtrar correo de aquellos dominios virtuales externos a eBox que se permitan a travs de su
175
configuracin en esta seccin. De esta manera, eBox puede distribuir su carga en dos mquinas, una
actuando como servidor de correo y otra como servidor para filtrar correo.
filtrado:
176
Ejemplo prctico
Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo filtro de correo, para
ello marcar su casilla en la columna Estado. Habilitar primero los mdulos red y cortafuegos
si no se encuentran habilitados con anterioridad.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
2. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
Efecto: Se ha activado el botn Guardar Cambios.
3. Accin: Acceder al men Filtro de Correo
177
7. Accin: Acceder a la consola de la mquina eBox y examinar las ltimas lneas del fichero
/var/log/mail.log, por ejemplo mediante el uso del comando tail.
Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especificndonos el nombre del virus:
6.2
Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u
objetos de red.
Las opciones de configuracin son idnticas a las explicadas en la configuracin del perfil por
defecto, con una importante salvedad: es posible usar la misma configuracin del perfil por defecto
en las distintas reas de configuracin. Para ello basta con marcar la opcin Usar configuracin por
defecto.
178
de filtrado en la linea correspondiente al objeto. Esta opcin requiere que la poltica del objeto este
establecida a Filtrar.
del grupo puede ser permitir o denegar. Esto slo afecta al acceso a la web, la activacin del filtrado
de contenidos no depende de esto sino de que tengamos una poltica global o de objeto de filtrar. A
la poltica de grupo se le puede asignar un horario, fuera del horario el acceso ser denegado.
Cada poltica de grupo tiene una prioridad reflejada en su posicin en la lista (primero en la lista,
mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios
grupos, en cuyo caso le afectarn nicamente las polticas adoptadas al grupo de mayor prioridad.
Tambin aqu se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de
contenidos a miembros del grupo de usuarios. En la prxima seccin se explica el uso de los perfiles
de filtrado.
179
Ejemplo prctico
Tenemos que crear una poltica de acceso para dos grupos: IT y Contabilidad. Los miembros del
grupo de contabilidad slo podrn acceder en horario de trabajo y tendrn el contenido filtrado con
mayor umbral que el resto de la empresa. Los miembros de IT podrn entrar a cualquier hora, no
tendrn filtrado pero tendrn denegada la misma listas de dominios que el resto de la empresa. Asumimos que los grupos y sus usuarios ya estn creados.
Para ello, podemos seguir estos pasos:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy, para ello
marcar su casilla en la columna Estado.
Efecto: Una vez los cambios guardados, se pedir autenticacin a todo el que trate de acceder
al contenido web y de acceder el filtrado de contenidos estar activado.
180
Perfiles de Fil-
trado. Primero, agregar al perfil por defecto la lista de dominios prohibidos por la empresa.
Entrar por medio del icono en la columna de Configuracin a los parmetros del perfil por defecto. Seleccionar la pestaa Filtrado de dominios y en la lista de dominios aadir marca.es
y youtube.com.
A continuacin, volver a Proxy HTTP
filtrado para nuestros grupos, con los nombres Perfil IT y Perfil contabilidad. Seguidamente
configuraremos ambos.
El Perfil contabilidad tan slo debe distinguirse por la poca tolerancia de su umbral, as que en
umbral de filtrado lo estableceremos al valor muy estricto, el resto de configuracin debe seguir
la poltica por defecto de la empresa as que tanto en Filtro de dominios, como en Filtro de
extensiones de fichero y en Filtro de tipos MIME marcaremos la opcin Usar configuracin
por defecto asegurndonos as que el comportamiento para estos elementos no diferir de la
poltica por defecto.
En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los
que debemos seguir la poltica habitual. En consecuencia iremos a Filtro de dominios y
marcaremos la opcin Usar configuracin por defecto, el nivel de umbral lo dejaremos en
Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME, vacas.
Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuarios.
3. Accin: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos. Para ello entraremos en Proxy HTTP Poltica de grupo.
Pulsaremos sobre Aadir nueva, seleccionaremos Contabilidad como grupo, estableceremos
el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de
contabilidad.
De igual manera crearemos una poltica para el grupo IT. Para este grupo seleccionaremos el
Perfil IT y no pondremos ninguna restriccin en cuanto horario.
Efecto: Una vez guardados los cambios, habremos finalizado la configuracin para este caso.
Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las
dos polticas. Algunas cosas que podemos comprobar:
Entrar como miembro de contabilidad en www.playboy.com y comprobar que es
denegada por el anlisis de contenidos. A continuacin entrar como miembro de IT
y comprobar que el anlisis esta desactivado entrando en dicha pgina.
181
6.3
182
Existe mucha documentacin sobre el cifrado basado en clave pblica. Este enlace puede ser un comienzo:
http://en.wikipedia.org/wiki/Public-key_encryption
183
usar la clave pblica. Un certificado es un fichero que contiene una clave pblica, firmada por un
participante en el que confiamos. A este participante en el que depositamos la confianza de verificar
las identidades se le denomina autoridad de certificacin (Certification Authority - CA).
184
10
para este
servicio.
Primero, es necesario generar las claves y expedir el certificado de la CA. Este paso es necesario
para firmar nuevos certificados, as que el resto de funcionalidades del mdulo no estarn disponibles
hasta que las claves de la CA se generen y su certificado, que es auto firmado, sea expedido. Tngase
en cuenta que este mdulo es independiente y no necesita ser activado en Estado del Mdulo.
185
Una vez que la CA ha sido creada, seremos capaces de expedir certificados firmados por esta
CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certificacin
General. Los datos necesarios son el Nombre Comn del certificado y los Das para Expirar. Este
ltimo dato est limitado por el hecho de que ningn certificado puede ser vlido durante ms tiempo
que la CA. En el caso de que estemos usando estos certificados para un servicio como podra ser un
servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio
del servidor. De todas maneras, se puede poner cualquier nmero de Nombres alternativos para
el sujeto
HTTP
12
11
para el certificado para, por ejemplo, establecer otro nombre comn a un dominio virtual
o una direccin IP o incluso una direccin de correo para firmar los mensajes de correo
electrnico.
Una vez el certificado haya sido creado, aparecer en la lista de certificados y estar disponible
para los mdulos de eBox que usen certificados y para las dems aplicaciones externas. Adems, a
travs de la lista de certificados podemos realizar distintas acciones con ellos:
Descargar las claves pblica, privada y el certificado.
Renovar un certificado.
11
Para
tener
ms
informacin
sobre
los
nombres
alternativos
para
un
sujeto,
visita
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
12
Para ms informacin sobre los dominios virtuales en HTTP, investiga en la seccin Dominios virtuales para obtener
ms detalles.
186
Revocar un certificado.
Si renovamos un certificado, el certificado actual ser revocado y uno nuevo con la nueva fecha
de expiracin ser expedido junto al par de claves.
Si se renueva la CA, todos los certificados se renovarn con la nueva CA tratando de mantener la
antigua fecha de expiracin, si esto no es posible debido a que es posterior a la fecha de expiracin
de la CA, entonces se establecer la fecha de expiracin de la CA.
187
Certificados de Servicios
Ejemplo prctico A
Crear una autoridad de certificacin (CA) vlida durante un ao, despus crear un certificado llamado
servidor y crear dos certificados para clientes llamados cliente1 y cliente2.
1. Accin: En Autoridad de Certificacin General, en el formulario Expedir el Certificado de
la Autoridad de Certificacin rellenamos los campos Nombre de la Organizacin y Das
para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificacin.
Efecto: El par de claves de la Autoridad de Certificacin es generados y su certificado expedido. La nueva CA se mostrar en el listado de certificados. El formulario para crear la
Autoridad de Certificacin ser sustituido por uno para expedir certificados normales.
188
2. Accin: Usando el formulario Expedir un Nuevo Certificado para expedir certificados, escribiremos servidor en Nombre Comn y en Das para Expirar un nmero de das
menor o igual que el puesto en el certificado de la CA. Repetiremos estos pasos con los
nombres cliente1 y cliente2.
Efecto: Los nuevos certificados aparecern en el listado de certificados, listos para ser usados.
13
ientes ventajas:
Autenticacin mediante infraestructura de clave pblica.
Cifrado basado en tecnologa SSL.
Clientes disponibles para Windows, MacOS y Linux.
Cdigo que se ejecuta en espacio de usuario, no hace falta modificacin de la pila de red (al
contrario que con IPSec).
Posibilidad de usar programas de red de forma transparente.
189
Una vez tenemos los certificados, deberamos poner a punto el servidor OpenVPN en eBox mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un servidor
es el nombre. eBox hace que la tarea de configurar un servidor OpenVPN sea sencilla, ya que establece valores de forma automtica.
Los siguientes parmetros de configuracin son aadidos automticamente por eBox, y pueden
ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (eBox crear uno
automticamente usando el nombre del servidor OpenVPN) y una direccin de red. Las direcciones
de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direccin de
red nos deberemos asegurar que no entra en conflicto con una red local. Adems, las redes locales,
es decir, las redes conectadas directamente a los interfaces de red de la mquina, se anunciarn
automticamente a travs de la red privada.
Como vemos, el servidor OpenVPN estar escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa va Red
Interfaces. En
nuestro escenario slo se necesitan dos interfaces, una interna para la LAN y otra externa para el
lado colocado hacia Internet. Es posible configurar nuestro servidor para escuchar en las interfaces
internas, activando la opcin de Network Address Translation (NAT), pero de momento la vamos a
ignorar.
Si queremos que los clientes puedan conectarse entre s usando su direccin de VPN, debemos
activar la opcin Permitir conexiones entre clientes.
El resto de opciones de configuracin las podemos dejar con sus valores por defecto.
190
Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor OpenVPN est funcionando.
Tras ello, debemos anunciar redes, dichas redes sern accesibles por los clientes OpenVPN
autorizados. Hay que tener en cuenta que eBox anunciar todas las redes internas automticamente.
Por supuesto, podemos aadir o eliminar las rutas que necesitemos. En nuestro escenario, se habr
aadido automticamente la red local para hacer visible el cliente 3 a los otros dos clientes.
Una vez hecho esto, es momento de configurar los clientes. La forma ms sencilla de configurar
un cliente OpenVPN es utilizando nuestros bundles. Estos estn disponibles en la tabla que aparece
en VPN
creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS o
GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certificados
que se van dar al cliente y se establece la direccin IP externa a la cual los clientes VPN se deben
conectar. Si el sistema seleccionado es Windows, se incluye tambin un instalador de OpenVPN
para Win32. Los bundles de configuracin los descargar el administrador de eBox para distribuirlos
a los clientes de la manera que crea ms oportuna.
191
Un bundle incluye el fichero de configuracin y los ficheros necesarios para comenzar una conexin VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del
recientemente creado directorio, el siguiente comando:
Ejemplo prctico B
En este ejercicio vamos a configurar un servidor de VPN. Configuraremos un cliente en un ordenador
residente en una red externa, conectaremos a la VPN y a travs de ella accederemos a una mquina
residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna.
14
Para ms informacin sobre comparticin de ficheros ir a la seccin Servicio de comparticin de ficheros y de autenticacin
192
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo OpenVPN, para ello
marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
Efecto: Se ha activado el botn Guardar cambios.
3. Accin: Acceder a la interfaz de eBox, entrar en la seccin VPN
Aadir nuevo, aparecer un formulario con los campos Habilitado y Nombre. Introduciremos
un nombre para el servidor.
Efecto: El nuevo servidor aparecer en la lista de servidores.
4. Accin: Pulsar en Guardar cambios y aceptar todos los cambios.
Efecto: El servidor est activo, podemos comprobar su estado en la seccin Dashboard.
5. Accin: Para facilitar la configuracin del cliente, descargar el bundle de configuracin para
el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y
rellenar el formulario de configuracin. Introducir las siguientes opciones:
Tipo de cliente: seleccionar Linux, ya que es el SO del cliente.
Certificado del cliente: elegir cliente1. Si no est creado este certificado, crearlo
siguiendo las instrucciones del ejercicio anterior.
Direccin del servidor: aqu introducir la direccin por la que el cliente puede alcanzar al servidor VPN. En nuestro escenario coincide con la direccin de la interfaz
externa conectada a la misma red que el ordenador cliente.
Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el
cliente. Ser un archivo en formato comprimido .tar.gz.
6. Accin: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio.
Observar que el bundle contena los ficheros con los certificados necesarios y un fichero
de configuracin con la extensin .conf. Si no han existido equivocaciones en los pasos
anteriores ya tenemos toda la configuracin necesaria y no nos queda ms que lanzar el
programa.
Para lanzar el cliente ejecutar el siguiente comando dentro del directorio:
193
openvpn --config
[ nombre_del_fichero.conf ]
ping -c 3
[ direccin_ip_del_otro_ordenador ]
Para comprobar que no slo hay comunicacin sino que podemos acceder a los recursos
del otro ordenador, iniciar una sesin de consola remota, para ello usamos el siguiente
comando desde el ordenador del cliente:
ssh
[ direccin_ip_del_otro_ordenador ]
Despus de aceptar la identidad del ordenador e introducir usuario y contrasea, accederemos a la consola del otro ordenador.
194
Figure 6.7: Conexin desde un cliente VPN a la LAN con VPN usando NAT
Figure 6.8: eBox como servidor OpenVPN vs. eBox como cliente OpenVPN
Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en
el Ejemplo prctico B.
Sin embargo, se necesita hacer dos pequeos cambios habilitando la opcin Permitir tneles
eBox a eBox para intercambiar rutas entre mquinas eBox y contrasea tnel eBox a eBox para
establecer la conexin en un entorno ms seguro entre las dos oficinas. Hay que tener en cuenta que
deberemos anunciar la red LAN 1 en Redes anunciadas.
195
Para configurar eBox como un cliente OpenVPN, podemos hacerlo a travs de VPN Clientes.
Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuracin del cliente
manualmente o automticamente usando el bundle dado por el servidor VPN, como hemos hecho en
el Ejemplo prctico B. Si no se usa el bundle, se tendr que dar la direccin IP y el par protocolopuerto donde estar aceptando peticiones el servidor. Tambin ser necesaria la contrasea del
tnel y los certificados usados por el cliente. Estos certificados debern haber sido creados por la
misma autoridad de certificacin que use el servidor.
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en
la red 2 ejecutndose como cliente con la conexin objetivo dirigida a la otra eBox dentro de la LAN 1.
Cuando la conexin est completa, la mquina que tiene el papel de servidor tendr acceso a
todas las rutas de las maquinas clientes a travs de la VPN. Sin embargo, aquellas cuyo papel sea de
196
cliente slo tendrn acceso a aquellas rutas que el servidor haya anunciado explcitamente.
Ejemplo prctico C
El objetivo de este ejercicio es montar un tnel entre dos redes que usan servidores eBox como puerta
de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar
entre s.
1. Accin: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el tnel.
Asegurarse de que el mdulo de VPN est activado y activarlo si es necesario. Una vez en
la seccin VPN
configuracin:
Puerto: elegir un puerto que no est en uso, como el 7766.
Direccin de VPN: introducir una direccin privada de red que no est en uso en ninguna
parte de nuestra infraestructura, por ejemplo 192.168.77.0/24.
Habilitar Permitir tneles eBox-a-eBox. Esta es la opcin que indica que va a ser un
servidor de tneles.
Introducir una contrasea para tneles eBox-a-eBox.
Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir la
interfaz externa con la que podr conectar la eBox cliente.
Para concluir la configuracin del servidor se deben anunciar redes siguiendo los mismos pasos
que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso
el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente
suministrar todas sus rutas automticamente al servidor. Nos resta habilitar el servidor y
guardar cambios.
Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, podemos comprobar su estado en el Dashboard.
2. Accin: Para facilitar el proceso de configuracin del cliente, obtener un bundle de configuracin del cliente, descargndolo del servidor. Para descargarlo, acceder de nuevo a la interfaz
Web de eBox y en la seccin VPN
racin del cliente en nuestro servidor. Antes de poder descargar el bundle se deben establecer algunos parmetros en el formulario de descarga:
Tipo de cliente: elegir Tnel eBox a eBox.
197
Certificado del cliente: elegir un certificado que no sea el del servidor ni est en uso por
ningn cliente ms. Sino se tienen suficientes certificados, seguir los pasos de ejercicios
anteriores para crear un certificado que pueda usar el cliente.
Direccin del servidor: aqu se debe introducir la direccin por la que el cliente pueda
conectar con el servidor, en nuestro escenario la direccin de la interfaz externa conectada a la red visible tanto por el servidor como el cliente ser la direccin adecuada.
Una vez introducidos todos los datos pulsamos el botn de Descargar.
Efecto: Descargamos un archivo tar.gz con los datos de configuracin necesarios para el
cliente.
3. Accin: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Comprobar que el mdulo VPN est activo, ir a la seccin VPN
ve una lista vaca de clientes, para crear uno pulsar sobre Aadir cliente e introducir un nombre para l. Como no est configurado no se podr habilitar, as que se debe volver a la lista
de clientes y pulsar en el apartado de configuracin correspondiente a nuestro cliente. Dado
que se tiene un bundle de configuracin de cliente, no se necesita rellenar las secciones a
mano. Usaremos la opcin Subir bundle de configuracin del cliente, seleccionar el archivo
obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuracin, se
puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el
icono de Editar, que se encuentra en la columna de Acciones. Aparecer un formulario donde
podremos marcar la opcin de Habilitado. Ahora tenemos el cliente totalmente configurado y
slo nos resta guardar los cambios.
Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos comprobar en el Dashboard. Si tanto la configuracin del servidor como del cliente son correctas,
el cliente iniciar la conexin y en un instante tendremos el tnel listo.
4. Accin: Ahora se comprobar que los ordenadores en las redes internas del servidor y del
cliente pueden verse entre s. Adems de la existencia del tnel sern necesarios los siguientes
requisitos:
Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si, como en
nuestro escenario, eBox est siendo utilizado como puerta de enlace no habr necesidad
de introducir rutas adicionales.
El cortafuegos deber permitir conexiones entre las rutas para los servicios que utilicemos.
198
Una vez comprobados estos requisitos podremos pasar a comprobar la conexin, para ello
entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las
siguientes comprobaciones:
Ping a un ordenador en la red del cliente VPN.
Tratar de iniciar una sesin SSH en un ordenador de la red del cliente VPN.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente
VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN.
6.4
Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www.snort.org
199
que genera la inspeccin de trfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de seleccin.
En la pestaa Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules). Por
defecto, se encuentra habilitado un conjunto tpico de reglas. Podemos ahorrar tiempo de CPU desactivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra
red. Si tenemos recursos hardware de sobra podemos tambin activar otras reglas adicionales que
nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las
interfaces.
200
Ejemplo prctico
Habilitar mdulo IDS y lanzar un ataque basado en el escaneo de puertos contra la mquina eBox.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo IDS, para ello marcar
su casilla en la columna Estado. Nos informa de que se modificar la configuracin de Snort.
Permitir la operacin pulsando el botn Aceptar.
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Del mismo modo, activar el mdulo registros, en caso de que no se encontrase
activado previamente.
Efecto: Cuando el IDS entre en funcionamiento podr registrar sus alertas.
3. Accin: Acceder al men IDS y en la pestaa Interfaces activar una interfaz que sea alcanzable desde la mquina en la que lanzaremos el ataque.
Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden
los cambios.
4. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
A partir de ahora el IDS se encuentra analizando el trfico de la interfaz seleccionada.
5. Accin: Instalar el paquete nmap en otra mquina mediante el comando aptitude install nmap.
201
dominio IDS.
Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar.
202
Chapter 7
eBox Core
En eBox no slo se configuran los servicios de red de manera integrada. Sino que adems ofrece una
serie de caractersticas que facilitan y hacen ms eficiente la administracin de eBox. Este conjunto
de caractersticas es lo que denominamos el ncleo del sistema eBox.
Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber
qu ha pasado y cundo, notificaciones ante incidencias o determinados eventos, monitorizacin de
la mquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en
este apartado.
7.1
Registros
eBox proporciona una infraestructura para que sus mdulos puedan registrar todo tipo de eventos que
puedan ser tiles para el administrador. Estos registros se pueden consultar a travs de la interfaz de
eBox de manera comn. Estos registros se almacenan en una base de datos para hacer la consulta,
los informes y las actualizaciones de manera ms sencilla y eficiente. El gestor de base de datos que
se usa es PostgreSQL 1 .
Adems podemos configurar distintos manejadores para los eventos, de forma que el administrador pueda ser notificado por distintos medios (Correo, Jabber o RSS 2 ).
Disponemos de registros para los siguientes servicios:
1
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas http://www.rssboard.org/rss-specification/.
203
Consultar registros
204
para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con
un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta
personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de evento para que
nos avise cuando ocurra alguna coincidencia. Adems, si la consulta se realiza hasta el momento
actual, el resultado se ir refrescando con nuevos datos.
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un da,
una hora, una semana o un mes. La informacin que obtenemos es una o varias grficas, acompaadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver,
como ejemplo, las estadsticas de peticiones y trfico del proxy HTTP al da.
205
Adems podemos forzar la eliminacin instantnea de todos los registros anteriores a un determinado periodo. Esto lo hacemos mediante el botn Purgar de la seccin Forzar la purga de registros,
que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 das.
Ejemplo prctico
Habilitar el mdulo de registros. Usar el Ejemplo prctico como referencia para generar trfico de
correo electrnico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los
resultados en Registros Consulta Registros Informe completo.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo registros, para ello
marcar su casilla en la columna Estado. Nos informa de que se crear una base de datos para
guardar los registros. Permitir la operacin pulsando el botn Aceptar.
Efecto: Se ha activado el botn Guardar Cambios.
2. Accin: Acceder al men Registros Configurar registros y comprobar que los registros para
el dominio Correo se encuentran habilitados.
Efecto: Hemos habilitado el mdulo registros y nos hemos asegurado de tener activados los
registros para el correo.
206
207
dominio Correo.
Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando
distintas informaciones de cada uno.
208
7.2
Monitorizacin
El mdulo de monitorizacin permite al administrador conocer el estado del uso de los recursos del
servidor eBox. Esta informacin es esencial tanto para diagnosticar problemas como para planificar
los recursos necesarios con el objetivo de evitar problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos
valores son normales o estn fuera del rango comn de valores, tanto en su valor inferior como
superior. El principal problema de la monitorizacin es la seleccin de aquellos valores significativos
del sistema. Para cada una de las mquinas esos valores pueden ser diferentes. Por ejemplo, en un
servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador
la memoria disponible y la carga son valores mucho ms significativos para conocer el estado del
servicio ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo concreto.
Es por ello que las mtricas que monitoriza eBox son relativamente limitadas. Estas son: carga
del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros.
La monitorizacin se hace mediante grficas que permiten hacerse fcilmente una idea de la
evolucin del uso de recursos. Para acceder a las grficas se hace a travs de la entrada Monitorizacin. Ah se muestran las grficas de las medidas monitorizadas. Colocando el cursor encima de
algn punto de la lnea de la grfica en el que estemos interesados podremos saber el valor exacto
para ese momento.
Podemos elegir la escala temporal de las grficas entre una hora, un da, un mes o un ao. Para
ello simplemente pulsaremos sobre la pestaa correspondiente.
209
7.2.1 Mtricas
Carga del sistema
La carga del sistema trata de medir la relacin entre la demanda de trabajo y el realizado por el
computador. Esta mtrica se calcula usando el nmero de tareas ejecutables en la cola de ejecucin
y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos.
La interpretacin de esta mtrica es la capacidad de la CPU usada en el periodo elegido. As, una
carga de 1 significara que esta operando a plena capacidad. Un valor de 0.5 significara que podra
llegar a soportar el doble de trabajo. Y siguiendo la misma proporcin, un valor de 2 se interpretara
como que le estamos exigiendo el doble del trabajo que puede realizar.
Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En estos casos no
se correspondera bien con el uso de la CPU, pero seguira siendo til para estimar la relacin entre
la demanda y la capacidad de trabajo.
210
Uso de la CPU
Con esta grfica tendremos una informacin detallada del uso de la CPU. En caso de que dispongamos de una maquina con mltiples CPUs tendremos una grfica para cada una de ellas.
En la grfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,
ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera de una operacin de
entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling
conocidos como jiffies. En la mayora de sistemas Linux ese valor es 100 por segundo pero no hay
ninguna limitacin o posibilidad que dicho valor sea diferente.
211
Uso de la memoria
La grfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:
Memoria libre: Cantidad de memoria no usada
Cach de pagina: Cantidad destinada a la cach del sistema de ficheros
Buffer cache: Cantidad destinada a la cach de los procesos
Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachs.
212
Temperatura
Con esta grfica es posible leer la informacin disponible sobre la temperatura del sistema en grados
centgrados usando el sistema ACPI 3 . Para tener activada esta mtrica, es necesario que existan
datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone.
3
La especificacin Advanced Configuration and Power Interface (ACPI) es un estndar abierto para la configuracin
de dispositivos centrada en sistemas operativos y en la gestin de energa del computador. http://www.acpi.info/
213
7.2.2 Alertas
Las grficas no tendran ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos
valores de la monitorizacin. De esta manera, podemos saber cuando la mquina est sufriendo una
carga inusual o est llegando a su mxima capacidad.
Las alertas de monitorizacin deben configurarse en el mdulo de eventos. Entrando en Eventos Configurar eventos, podemos ver la lista de eventos disponibles, los eventos de monitorizacin
estn agrupados en el vento Monitor.
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo as discriminar entre la gravedad del evento. Tenemos la opcin de invertir: que har que los valores
considerados correctos sean considerados fallos y a la inversa. Otra opcin importante es la de persistente:. Dependiendo de la mtrica tambin podremos elegir otros parmetros relacionados con
214
esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga
puede ser til la carga a corto plazo, etc.
Cada medida tiene una mtrica que se describe como sigue:
Carga del sistema: Los valores deben ser en nmero de tareas ejecutables media en la cola de
ejecucin.
Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling.
Uso de la memoria fsica: Los valores deben establecerse en bytes.
Sistema de ficheros: Los valores deben establecerse en bytes.
Temperatura: Los valores a establecer debe establecer en grados.
Una vez configurado y activado el evento deberemos configurar al menos un observador para
recibir las alertas. La configuracin de los observadores es igual que la de cualquier evento, as que
deberemos seguir las indicaciones contenida en el captulo de Incidencias (eventos y alertas).
7.3
215
Para activar cualquiera de ellos accederemos al men Eventos Configurar eventos. Podemos
editar el estado de cada uno mediante el icono del lpiz. Para ello marcaremos la casilla Habilitado y
pulsaremos el botn Cambiar.
216
217
De idntica forma a la activacin de eventos, debemos editarlos y seleccionar la casilla Habilitado. Excepto en el caso del fichero de registro (que escribir implcitamente los eventos recibidos al
fichero /var/log/ebox/ebox.log), el resto de emisores requieren una configuracin adicional que detallamos a continuacin:
Correo: Debemos especificar la direccin de correo destino (tpicamente la del administrador de
eBox), adems podemos personalizar el asunto de los mensajes.
Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contrasea del usuario que nos notificar los eventos, y la cuenta Jabber del administrador que
recibir dichas notificaciones.
RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el enlace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para nadie, o autorizar slo a una
direccin IP u objeto determinado.
218
7.4
Copias de seguridad
7.4.1 Diseo de un sistema de copias de seguridad
La prdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos.
Fallos de hardware, fallos de software o un error humano pueden provocar un dao irreparable en el
sistema o la prdida de datos importantes.
Es por tanto imprescindible disear un correcto procedimiento para realizar, comprobar y
restaurar copias de seguridad o respaldo del sistema, tanto de configuracin como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es
decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera
copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lgica adicional para la restauracin de
la copia de seguridad. La decisin ms habitual es realizar copias incrementales y de vez en cuando
hacer una copia completa a otro medio, pero esto depender de nuestras necesidades y recursos de
almacenamiento disponibles.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma
mquina o a otra remota. El uso de una mquina remota ofrece un nivel de seguridad mayor debido
a la separacin fsica. Un fallo de hardware, un fallo de software, un error humano o una intrusin en
el servidor principal no deberan de afectar la integridad de las copias de seguridad. Para minimizar
este riesgo el servidor de copias debera ser exclusivamente dedicado para tal fin y no ofrecer otros
servicios adicionales ms all de los requeridos para realizar las copias. Tener dos servidores no
dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso en
uno lleva a un compromiso del otro.
219
Mtodo: Los distintos mtodos que son soportados actualmente son eBox Backup Storage (EU),
eBox Backup Storage (US Denver), eBox Backup Storage (US West Coast), FTP, SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del mtodo que seleccione
deberemos proporcionar ms o menos informacin: direccin del servidor remoto, usuario o
contrasea. Todos los mtodos salvo Sistema de ficheros acceden servicios remotos. sto significa que proporcionaremos los credenciales adecuados para conectar con el servidor. Puedes
crear una cuenta en nuestra tienda 5 para los mtodos eBox Backup Storage, emplea este servicio para disfrutar de una ubicacin segura remota donde almacenar tus datos. Adems no
necesitars incluir la direccin del servidor remoto ya que eBox lo tendr configurado automticamente. Por otro lado, si se selecciona FTP o SCP tendremos que introducir la direccin del
servidor remoto.
5
220
Warning:
huella del servidor remoto para aadirlo a la lista de servidores SSH conocidos. Si no se realiza
esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el
servidor.
Servidor o destino:
Para FTP, y SCP tenemos que proporcionar el nombre del servidor
remoto o su direccin IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un
directorio local. Si se usa cualquiera de los mtodos de eBox Backup Storage, entonces slo
se requiere introducir una ruta relativa.
Usuario: Nombre de usuario para autenticarse en la mquina remota.
Contrasea: Contrasea para autenticarse en la mquina remota.
Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simtrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado
asimtrico a tus datos.
Frecuencia de copia de seguridad completa: Este parmetro se usa para determinar la frecuencia
con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario,
Semanal y Mensual.
Nmero de copias totales almacenadas: Este valor se usa para limitar el nmero de copias totales
que estn almacenadas. Es importante y debemos familiarizarnos con lo que significa. Tiene
relacin directa con Frecuencia de copia de seguridad completa. Si seleccionamos una frecuencia Semanal y el nmero de copias almacenadas a 2, la copia de respaldando ms antigua
ser de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo ms
antigua ser de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos
almacenar de las copias de respaldo y el espacio en disco que tengamos.
Frecuencia de copia incremental: Este valor tambin est relacionado con Frecuencia de copia de
seguridad completa. Una configuracin tpica de copias de respaldo consiste en realizar copias
incrementales entre las copias completas. Estas copias deben hacerse con ms frecuencia
que las completas. Esto significa que si tenemos copias completas semanales, las copias
incrementales se harn diarias. Por el contrario, no tiene sentido hacer copias incrementales
con las misma frecuencia que las completas. Para entender sto mejor veamos un ejemplo:
El valor de Frecuencia de copia completa es semanal. El Numero de copias totales a
almacenar es 4. Con esta configuracin tendremos cuatro copias de seguridad completas de
221
cuatro semanas, y entre cada copia completa tendremos copias incrementales. Es decir, un
mes entero de copias. Lo que significa que podemos restaurar cualquier da arbitrario del mes.
Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso
de la toma de la copia de respaldo. Es una buena idea establecerlo a horas cuando no haya
nadie en la oficina ya que puede consumir bastante ancho de banda de subida.
La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, y /proc. Es una mala
idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podra
fallar.
La lista por defecto de directorios incluidos es: /.
Podemos excluir extensiones de fichero utilizando caracteres de shell. Por ejemplo, si quieres
saltarte ficheros de vdeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresin regular
y aadir *.avi.
222
# /usr/share/ebox-ebackup/ebox-remote-ebackup --full
O para iniciar una copia incremental:
# /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental
Restaurar ficheros
Hay dos formas de restaurar un fichero. Dependiendo del tamao del fichero o del directorio que
deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de eBox. En la seccin Copia
de seguridad
Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que
contiene la copia remota, as como las distintas fechas o versiones de los mismos. Podemos usar este
mtodo con ficheros pequeos. Con ficheros grandes, el proceso es costoso en tiempo y no se podr
223
usar el interfaz Web de eBox mientras la operacin est en curso. Debemos ser especialmente cautos
con el tipo de fichero que restauramos. Normalmente, ser seguro restaurar ficheros de datos que no
estn siendo abiertos por aplicaciones en ese momento. Estos archivos de datos estn localizados
bajo el directorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib,
/var o /usr mientras el sistema est en funcionamiento puede ser muy peligroso. No hagas sto a no
ser que sepas muy bien lo que ests haciendo.
Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.
Dependiendo del fichero, podemos hacerlo mientras el sistema est en funcionamiento. Sin embargo,
para directorios de sistema usaremos un CD de rescate como explicamos ms tarde.
En cualquier caso, debemos familiarizarnos con la herramienta que usa este mdulo: duplicity.
El proceso de restauracin de un fichero o directorio es muy simple. Se ejecuta el siguiente comando:
224
Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la
seccin Restaurar ficheros en eBox.
Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaramos
el siguiente comando:
225
226
El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer
que nuestra particin raz es /dev/sda1. As que ejecutamos:
# rm -rf /mnt/*
Instalaremos duplicity en caso de no tenerlo disponible:
# apt-get update
# apt-get install duplicity
Antes de hacer una restauracin completa necesitamos restaurar /etc/passwd y /etc/group. En
caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numricos.
As pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario
o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group
en el sistema de rescate. Ejecutamos:
# duplicity restore
227
Por ltimo debemos crear los directorios excluidos de la copia de respaldo as como limpiar los
directorios temporales:
#
#
#
#
#
mkdir -p /mnt/dev
mkdir -p /mnt/sys
mkdir -p /mnt/proc
rm -fr /mnt/var/run/*
rm -fr /mnt/var/lock/*
El proceso de restauracin ha finalizado y podemos reiniciar el sistema original.
cambios en la configuracin sin guardar, como puede verse en el aviso que aparece en la imagen.
228
Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (configuracin o completo) y pulsando el botn Backup, aparecer una pantalla donde se mostrar el
progreso de los distintos mdulos hasta que finalice con el mensaje de Backup finalizado con xito.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la
pgina aparece una Lista de backups. A travs de esta lista podemos restaurar, descargar a nuestro
disco, o borrar cualquiera de las copias guardadas. As mismo aparecen como datos informativos el
tipo de copia, la fecha de realizacin de la misma y el tamao que ocupa.
En la seccin Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalacin anterior
de eBox Platform en otra mquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedir confirmacin, hay que tener cuidado porque la configuracin actual ser reemplazada por completo. El
proceso de restauracin es similar al de copia, despus de mostrar el progreso se nos notificar el
xito de la operacin si no se ha producido ningn error.
229
destacar que en este modo, las contraseas de los usuarios son reemplazadas para mayor confidencialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web.
Podemos ver todas las opciones del programa con el parmetro help.
ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuracin.
Posee tambin una opcin para extraer la informacin del fichero. Otra opcin a sealar es la posibilidad de hacer restauraciones parciales, solamente de algunos mdulos en concreto. Es el caso tpico
cuando queremos restaurar una parte de una copia de una versin antigua. Tambin es til cuando el
proceso de restauracin ha fallado por algn motivo. Tendremos que tener especial cuidado con las
dependencias entre los mdulos. Por ejemplo, si restauramos una copia del mdulo de cortafuegos
que depende de una configuracin del mdulo objetos y servicios debemos restaurar tambin estos
primero. An as, existe una opcin para ignorar las dependencias que puede ser til usada con
precaucin.
Si queremos ver todas las opciones de este programa podemos usar tambin el parmetro help.
7.5
Actualizacin de software
Como todo sistema de software, eBox Platform requiere actualizaciones peridicas, bien sea para
aadir nuevas caractersticas o para reparar defectos o fallos del sistema.
eBox distribuye su software mediante paquetes y usa la herramienta estndar de Ubuntu, APT 6 ,
sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso.
Mediante la interfaz web podremos ver para qu componentes de eBox est disponible una nueva
versin e instalarlos de un forma sencilla. Tambin podemos actualizar el software en el que se apoya
eBox, principalmente para corregir posibles fallos de seguridad.
Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto Debian que simplifica en gran medida la instalacin y eliminacin de programas en el sistema operativo GNU/Linux
http://wiki.debian.org/Apt
7
Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el captulo al respecto
de la documentacin oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.html
230
El propio gestor de componentes es un mdulo ms, y como cada mdulo de eBox, debe ser
habilitado antes de ser usado. Para gestionar los componentes de eBox debemos entrar en Gestin
de Software Componentes de eBox.
Presenta una lista con todos los componentes de eBox, as como la versin instalada y la ultima
versin disponible. Aquellos componentes que no estn instalados o actualizados, pueden instalarse
o actualizarse pulsando en el icono correspondiente en la columna de Acciones. Existe un botn de
Actualizar todos los paquetes para actualizar todos aquellos que tengan actualizacin disponible.
Tambin podemos desinstalar componentes pulsando el icono apropiado para esta accin. Antes
de realizar la desinstalacin, se muestra un dilogo con la lista de aquellos paquetes de software que
se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que
al ser usados por otros conlleva tambin la eliminacin de los ltimos.
Algunos componentes son bsicos y no pueden desinstalarse, ya que hara que se desinstalase
eBox Platform.
231
Actualizaciones
del sistema. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema est
ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web,
los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de
bsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha bsqueda se puede
hacer ejecutando:
$ sudo ebox-software
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono
indicativo de ms informacin. Si es una actualizacin de seguridad podemos ver el fallo de seguridad
con el registro de cambios del paquete, pulsando sobre el icono.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la
accin y pulsar el botn correspondiente. Como atajo tambin tenemos un botn de Actualizar todos
los paquetes. Durante la actualizacin se irn mostrando mensajes sobre el progreso de la operacin.
Actualiza-
ciones automticas.
No es aconsejable usar esta opcin si el administrador quiere tener una mayor seguridad en la
gestin de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles
errores en las mismas no pasen desapercibidos.
232
233
7.6
A continuacin se describe la configuracin del lado del cliente con el Centro de Control.
234
http://www.ebox-technologies.com/products/controlcenter/
habilita una conexin VPN entre eBox y el Centro de Control, por tanto, se habilitar el mdulo vpn.
10
comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la
configuracin de manera manual si quieres estar seguro que tu ltima configuracin est almacenada
en el Centro de Control.
Se pueden restaurar, descargar o borrar copias de seguridad de la configuracin que se almacenan en el Centro de Control. Adems para mejorar el proceso de restauracin ante un desastre, se
puede restaurar o descargar la configuracin almacenada de uno del resto de eBox suscritos al Centro de Control usando tu par usuario/correo electrnico y contrasea. Para hacer eso, ir a la pestaa
Sistema Backup Backup remoto de otras mquinas suscritas.
9
235
Figure 7.20: Copia de seguridad de la configuracin remota desde otra mquina suscrita
236