EBox For Network Administrators

eBox 1.
4 para Administradores de Redes

R EVISIN 1.4
E B OX
P LATFORM - F ORMACIN
http://www.ebox-technologies.com/
G UA
DEL ESTUDIANTE
eBox 1.4 para Administradores de Redes
Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo

la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/
es/ )
En este documento se han empleado imgenes de Tango Desktop Project distribudas bajo
Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.
http://tango.freedesktop.org/
Contents
1 eBox Platform: servidor Linux para PYMEs
1.1
Presentacin
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1
El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . .
La interfaz web de administracin . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.3
1.3.1
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
1.3.2
Aplicando los cambios en la configuracin
19
1.3.3
. . . . . . . . . . . . . . . . .
Configuracin del estado de los mdulos . . . . . . . . . . . . . . . . . .
20
1.4
Cmo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . .
21
1.5
Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
1.5.1
Configuracin de la red local . . . . . . . . . . . . . . . . . . . . . . . .
22
1.5.2
Configuracin de red con eBox Platform
. . . . . . . . . . . . . . . . . .
23
1.5.3
Diagnstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
2 eBox Infrastructure
2.1
2.2
2.3
2.4
33
Servicio de configuracin de red (DHCP) . . . . . . . . . . . . . . . . . . . . . .
33
2.1.1
Configuracin de un servidor DHCP con eBox . . . . . . . . . . . . . . . .
34
Servicio de resolucin de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . .
40
2.2.1
Configuracin de un servidor cach DNS con eBox . . . . . . . . . . . . .
40
2.2.2
Configuracin de un servidor DNS con eBox
. . . . . . . . . . . . . . . .
41
Servicio de publicacin de informacin web (HTTP) . . . . . . . . . . . . . . . . .
46
2.3.1
Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . .
46
2.3.2
El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . .
49
2.3.3
Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
2.3.4
Configuracin de un servidor HTTP con eBox . . . . . . . . . . . . . . . .
50
Servicio de sincronizacin de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .
52
2.4.1
52
Configuracin de un servidor NTP con eBox
3 eBox Gateway
. . . . . . . . . . . . . . . .
55
3.1
3.2
3.3
3.4
3.5
3.6
Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . .
55
3.1.1
Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
3.1.2
Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
3.2.1
El cortafuegos en GNU/Linux: Netfilter . . . . . . . . . . . . . . . . . . .
60
3.2.2
Modelo de seguridad de eBox
. . . . . . . . . . . . . . . . . . . . . . .
61
Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
3.3.1
Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . .
66
3.3.2
Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . .
71
3.3.3
Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . .
73
Moldeado de trfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
3.4.1
Calidad de servicio (QoS)
. . . . . . . . . . . . . . . . . . . . . . . . .
75
3.4.2
Configuracin de la calidad de servicio en eBox . . . . . . . . . . . . . . .
76
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
3.5.1
Configuracin del servidor RADIUS con eBox . . . . . . . . . . . . . . . .
79
3.5.2
Configuracin del Punto de Acceso . . . . . . . . . . . . . . . . . . . . .
80
Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
3.6.1
Configuracin de poltica de acceso . . . . . . . . . . . . . . . . . . . . .
82
3.6.2
Conexin al proxy y modo transparente . . . . . . . . . . . . . . . . . . .
84
3.6.3
Control de parmetros de la cach . . . . . . . . . . . . . . . . . . . . .
85
3.6.4
Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . .
85
4 eBox Office
4.1
91
Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
4.1.1
Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
Servicio de comparticin de ficheros y de autenticacin . . . . . . . . . . . . . . .
100
4.2.1
Comparticin de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . .
100
4.2.2
SMB/CIFS y su implementacin Linux Samba . . . . . . . . . . . . . . . .
100
4.2.3
Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . .
101
4.2.4
eBox como servidor de ficheros . . . . . . . . . . . . . . . . . . . . . . .
101
4.2.5
Configuracin de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . .
104
4.2.6
eBox como un servidor de autenticacin
. . . . . . . . . . . . . . . . . .
107
4.2.7
Configuracin de clientes PDC . . . . . . . . . . . . . . . . . . . . . . .
109
4.3
Servicio de comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . .
110
4.4
Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114
4.4.1
115
4.2
Configuracin de servicio de groupware con eBox . . . . . . . . . . . . . .
5 eBox Unified Communications

5.1
ii
Servicio de correo electrnico (SMTP/POP3-IMAP4)
121
. . . . . . . . . . . . . . . .
121
5.1.1
Cmo funciona el correo electrnico en Internet . . . . . . . . . . . . . . .
122
5.1.2
Configuracin de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . .
124
5.1.3
Recibiendo y retransmitiendo correo
. . . . . . . . . . . . . . . . . . . .
124
5.1.4
Parmetros SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
5.1.5
Parmetros POP3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
5.1.6
Parmetros IMAP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
5.1.7
Parmetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . .
133
5.2
Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135
Configurando el correo web en eBox . . . . . . . . . . . . . . . . . . . .
136
5.3
Servicio de mensajera instantnea (Jabber/XMPP) . . . . . . . . . . . . . . . . .
137
5.3.1
Configuracin de un servidor Jabber/XMPP con eBox . . . . . . . . . . . .
138
5.3.2
Configuracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . .
139
5.3.3
Configurando salas de conferencia Jabber
145
5.3.4
Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
149
Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150
5.2.1
5.4
. . . . . . . . . . . . . . . . .
5.4.1
Protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150
5.4.2
Cdecs
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
5.4.3
Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
5.4.4
Configuracin de un servidor Asterisk con eBox . . . . . . . . . . . . . . .
155
5.4.5
Configurando un softphone para conectar a eBox . . . . . . . . . . . . . .
159
5.4.6
Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . .
162
6 eBox Unified Threat Manager

6.1
6.2
6.3
6.4
165
Filtrado de correo electrnico . . . . . . . . . . . . . . . . . . . . . . . . . . . .
165
6.1.1
Esquema del filtrado de correo de eBox . . . . . . . . . . . . . . . . . . .
166
6.1.2
Listas de control de conexiones externas . . . . . . . . . . . . . . . . . .
175
6.1.3
Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . .
176
Configuracin Avanzada para el proxy HTTP . . . . . . . . . . . . . . . . . . . .
178
6.2.1
Configuracin de perfiles de filtrado . . . . . . . . . . . . . . . . . . . . .
178
6.2.2
Perfil de filtrado por objeto . . . . . . . . . . . . . . . . . . . . . . . . .
178
6.2.3
Filtrado basado en grupos de usuarios . . . . . . . . . . . . . . . . . . .
179
6.2.4
Filtrado basado en grupos de usuarios para objetos . . . . . . . . . . . . .
180
Interconexin segura entre redes locales . . . . . . . . . . . . . . . . . . . . . .
182
6.3.1
Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . .
182
6.3.2
Infraestructura de clave pblica (PKI) con una autoridad de certificacin (CA)
183
6.3.3
Configuracin de una Autoridad de Certificacin con eBox . . . . . . . . . .
184
6.3.4
Configuracin de una VPN con eBox . . . . . . . . . . . . . . . . . . . .
189
Sistema de Deteccin de Intrusos (IDS)
. . . . . . . . . . . . . . . . . . . . . .
199
iii
6.4.1
Configuracin de un IDS con eBox . . . . . . . . . . . . . . . . . . . . .
199
6.4.2
Alertas del IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
7 eBox Core
7.1
Registros
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
203
Configuracin de registros . . . . . . . . . . . . . . . . . . . . . . . . .
205
Monitorizacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
209
7.1.1
7.2
7.2.1
Mtricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210
7.2.2
Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
7.3
Incidencias (eventos y alertas) . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
Ejemplo prctico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
218
7.4
Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
7.4.1
Diseo de un sistema de copias de seguridad . . . . . . . . . . . . . . . .
219
7.4.2
Configuracin de las copias de seguridad con eBox . . . . . . . . . . . . .
220
7.4.3
Como recuperarse de un desastre
225
7.4.4
Copias de seguridad de la configuracin
7.3.1
7.5
7.6
iv
203
Actualizacin de software
. . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . .
228
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
7.5.1
Gestin de componentes de eBox
. . . . . . . . . . . . . . . . . . . . .
230
7.5.2
Actualizaciones del sistema
. . . . . . . . . . . . . . . . . . . . . . . .
231
7.5.3
Actualizaciones automticas . . . . . . . . . . . . . . . . . . . . . . . .
232
Cliente del Centro de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . .
234
7.6.1
Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . .
234
7.6.2
Copia de seguridad de la configuracin al Centro de Control . . . . . . . . .
235
Chapter 1
eBox Platform: servidor Linux para PYMEs
1.1
Presentacin
Aunque las PYMEs constituyen la inmensa mayora del tejido empresarial mundial, sorprendentemente suelen carecer de soluciones tecnolgicas que se ajusten a sus necesidades o recursos (humanos, monetarios o tcnicos) disponibles. En el mercado de los servidores, esto ha significado que
hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en
soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que
tampoco tuvieran alternativas de gestin de redes que integrasen todos los componentes necesarios
y que fueran sencillas de administrar.
Aparentemente es una buena oportunidad para que el software libre entre en el mercado con
una solucin potente, escalable, flexible y de bajo coste que pueda ser soportada por una multitud
de proveedores externos potenciales. De hecho, Linux parece ser una opcin perfecta como servidor
para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones
pequeas. Sin emabrgo, el uso de Linux como servidor de PYME es nfimo, siendo Microsoft el
principal actor del mercado con Windows Small Business Server. Por qu?
Linux, combinado con otras herramientas de software libre para la gestin de redes (Samba,
Postfix, Squid, Snort, eGroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme
en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho,
son gratis). Adems, de igual manera que otras tecnologas disruptivas, empezaron ofreciendo un
nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y
las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores
del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado
esta tecnologa).
Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia
muy reducida como servidores de PYMEs. La razn es sencilla: para que una solucin de servidor
sea adoptada en una PYME necesita que todos sus componentes estn estrechamente integrados y
que sea fcil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar
soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de
Microsoft cubren bien las necesidades tecnolgicas de las PYMEs.
Es aqu donde una solucin como eBox Platform (<http://ebox-platform.com/>) encuentra su encaje en el mercado. eBox Platform es un servidor Linux para PYMEs, la alternativa en software
libre a Windows Small Business Server. Basado en Ubuntu, eBox Platform permite a profesionales
TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informtica,
tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compartidos o las comunicaciones, a travs de una nica plataforma. Todas estas funcionalidades estn
estrechamente integradas, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Estas caractersticas pueden desplegarse en distintas mquinas o en un nico
servidor, eligiendo para cada caso la combinacin funcional y de hardware ms conveniente.
Todas estas caractersticas son de gran importancia para los departamentos TIC de PYMEs y
proveedores de servicio tcnico, ya que tienen que hacerse cargo de un cada vez mayor trfico de
redes y crecientes demandas de fiabilidad, seguridad y servicios adicionales con recursos mnimos.
En este panorama, eBox Platform aumenta significativamente la capacidad de estos recursos, permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de
los profesionales experimentados, eliminar riesgos de cometer errores de configuracin y aumentar la
seguridad de los sistemas automatizando la mayora de las tareas.
Adems, eBox Platform es un software de cdigo abierto, el cual se puede descargar libremente
de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando
las 12.000 descargas mensuales y con una comunidad de unos 2.500 colaboradores activos. Igualmente, eBox Platform es parte integral de la distribucin Ubuntu desde hace tres aos, lo que ayuda
a aumentar su difusin y credibilidad como producto tecnolgico. Su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Italia y Brasil los
pases que cuentan con ms instalaciones. eBox Platform se usa principalmente en PYMEs, pero
tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso
en instituciones de alto prestigio como la propia NASA.
Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central, llamado eBox Control Center, un producto alojado en la nube que permite la administracin y monitorizacin centralizada, segura y a tiempo real de mltiples redes eBox. Adems, posibilita la progra-
CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES
macin de tareas para grupos de redes, la aplicacin masiva de actualizaciones de seguridad o la

realizacin de informes de actividad peridicos. Adicionalmente, a travs de eBox Control Center se
ofrecen una serie de servicios de subscripcin complementarios, como pueden ser backup remoto y
seguro de datos para la recuperacin rpida de desastres o la contratacin de crdito VoIP para la
realizacin de llamadas a bajo coste a cualquier telfono del mundo a travs de eBox como centralita
telefnica.
eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una
solucin muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs)
y revendedores de valor aadido (VARs) puesto que pueden obtener toda la tecnologa y servicios
necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un nico proveedor,
llegando a un nivel de integracin que alcanza todos los aspectos que influyen en la gestin de redes.
eBox Technologies es la empresa detrs del desarrollo y comercializacin de eBox Platform y sus
productos y servicios asociados, basando su modelo de negocio en la subscripcin a eBox Control
Center y a los servicios remotos asociados, adems de soporte tcnico y formacin certificada, tanto
de forma directa como a travs de su red Global de Partners.
Este manual describe las principales caractersticas tcnicas incluidas en la versin 1.4 de eBox
Platform, incluyendo los siguientes servicios:
Gestin de redes:
Cortafuegos y encaminador
* Filtrado de trfico
* NAT y redireccin de puertos
* Redes locales virtuales (VLAN 802.1Q)
* Soporte para mltiples puertas de enlace, balanceo de carga y auto-adaptacin
ante la prdida de conectividad.
* Moldeado de trfico (soportando filtrado a nivel de aplicacin)
* RADIUS
* Monitorizacin de trfico
* Soporte de DNS dinmico
Objetos y servicios de red de alto nivel
Infraestructura de red
* Servidor DHCP
* Servidor DNS
* Servidor NTP
Redes privadas virtuales (VPN)
* Auto-configuracin dinmica de rutas
Proxy HTTP
* Cach
* Autenticacin de usuarios
* Filtrado de contenido (con listas categorizadas)
* Antivirus transparente
Servidor de correo
* Filtro de Spam y Antivirus
* Filtro transparente de POP3
* Listas blancas, negras y grises
* Servicio de correo web
Servidor web
* Dominios virtuales
Autoridad de Certificacin
Trabajo en grupo:
Directorio compartido usando LDAP (Windows/Linux/Mac)
* Autenticacin compartida (incluyendo PDC de Windows)
Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red)
Impresoras compartidas
Servidor de Groupware: calendarios, agendas, ...
Servidor de VozIP
* Buzn de voz
* Conferencias
* Llamadas a travs de proveedor externo
Servidor de mensajera instantnea (Jabber/XMPP)
* Conferencias
Rincn del usuario para que estos puedan modificar sus datos
Informes y monitorizacin
Dashboard para tener la informacin de los servicios centralizada
Monitorizacin de disco, memoria, carga, temperatura y CPU de la mquina
Estado del RAID por software e informacin del uso de disco duro
Registros de los servicios de red en BBDD, permitiendo la realizacin de informes diarios,
semanales, mensuales y anuales
Sistema de monitorizacin a travs de eventos
* Notificacin va Jabber, correo y subscripcin de noticias (RSS)
Gestin de la mquina:
Copia de seguridad de configuracin y datos
Actualizaciones
Centro de control para administrar y monitorizar fcilmente varias mquinas eBox desde
un nico punto 1
1.2
Instalacin
eBox Platform est pensada para su instalacin en una mquina (real o virtual) de forma, en principio,
exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a travs de la interfaz
que debern ser configurados manualmente.
Funciona sobre el sistema operativo GNU/Linux con la distribucin Ubuntu Server Edition
ver-
sin estable Long Term Support (LTS) . La instalacin puede realizarse de dos maneras diferentes:
1
Para ms informacin sobre este servicio ir a http://www.ebox-technologies.com/products/controlcenter/.
Ubuntu es una distribucin de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores
porttiles, sobremesa y servidores <http://www.ubuntu.com/>.
3
Cuyo soporte es mayor que en una versin normal y para la versin para servidores llega a los 5 aos.
Usando el instalador de eBox Platform (opcin recomendada).

Instalando a partir de una instalacin de Ubuntu Server Edition.
En el segundo caso es necesario aadir los repositorios oficiales de eBox Platform y proceder a
instalar eBox con aquellos paquetes que se deseen.
Sin embargo, en el primer caso se facilita la instalacin y despliegue de eBox Platform ya que se
encuentran todas las dependencias en un slo CD y adems se realizan algunas preconfiguraciones
durante el proceso de instalacin.
1.2.1 El instalador de eBox Platform

El instalador de eBox Platform est basado en el instalador de Ubuntu as que el proceso de instalacin resultar muy familiar a quien ya lo conozca.
Figure 1.1: Seleccin del idioma

Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro
y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. Tambin
podemos seleccionar la opcin expert mode que permite realizar un particionado personalizado. La
mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un
servidor con requisitos especiales, como por ejemplo RAID por software.
Tras instalar el sistema base y reiniciar, comenzar la instalacin de eBox Platform. El primer
paso ser crear un usuario en el sistema. Este usuario podr entrar en el sistema y tendr privilegios
de administrador mediante el comando sudo.
Figure 1.2: Pantalla de inicio del instalador
Figure 1.3: Usuario administrador
Despus preguntar la contrasea para este usuario recin creado. Esta contrasea adems se
usar para identificarse en la interfaz de eBox.
Figure 1.4: Contrasea administrativa
Se preguntar de nuevo la contrasea para confirmar que no ha habido ninguna equivacin al

teclearla.
Figure 1.5: Confirmar contrasea administrativa
Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen
dos mtodos para esta seleccin:
Simple: Se instalarn un conjunto de paquetes que agrupan una serie de funcionalidades segn la
tarea que vaya a desempear el servidor.
Avanzado: Se seleccionarn los paquetes de manera individualizada. Si algn paquete tiene como
dependencia otro, posteriormente se seleccionar automticamente.
Figure 1.6: Mtodo de instalacin de paquetes
Si la seleccin es simple, aparecer la lista de perfiles disponibles. Como se puede observar en la

figura Perfiles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual.
Figure 1.7: Perfiles de eBox a instalar
eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y
controlado.
eBox Unified Threat Manager: eBox protege la red local contra ataques externos, intrusiones, amenazas en la seguridad interna y posibilita la interconexin segura entre redes locales a travs
de Internet u otra red externa.
eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios bsicos: DHCP,
DNS, NTP, servidor HTTP, etc.
eBox Office: eBox es el servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, autenticacin, perfiles de usuarios y grupos, etc.
eBox Unified Communications: eBox se convierte en el centro de comunicaciones de la empresa

incluyendo correo, mensajera instantnea y voz sobre IP.
Podemos seleccionar varios perfiles para hacer que eBox tenga, de forma simultnea, diferentes
roles en la red.
Sin embargo, si el mtodo seleccionado es avanzado, entonces aparecer la larga lista de mdulos de eBox Platform y se podrn seleccionar individualmente aquellos que se necesiten.
Figure 1.8: Paquetes de eBox a instalar
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios. Adems esta
seleccin no es definitiva, pudiendo posteriormente instalar y desinstalar paquetes segn se necesite.
Una vez seleccionados los componentes a instalar, comenzar la instalacin que ir informando
de su estado con una barra de progreso.
El instalador tratar de preconfigurar algunos parmetros importantes dentro de la configuracin.
Primero tendremos que seleccionar el tipo de servidor para el modo de operacin de Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Un slo servidor. Si por el contrario estamos
desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory, elegiremos Avanzado. Este paso aparecer solamente si el mdulo
usuarios y grupos est instalado.
Tambin preguntar, si alguna de las interfaces de red es externa a la red local, es decir, si va a
ser utilizada para conectarse a Internet u otras redes externas. Se aplicarn polticas estrictas para
10
Figure 1.9: Instalando eBox Platform
Figure 1.10: Tipo de servidor
11
todo el trfico entrante a travs de interfaces de red externas. Este paso aparecer solamente si el
mdulo de red est instalado y el servidor tiene ms de una interfaz de red.
Figure 1.11: Seleccin de la interfaz de red externa
Despus, seguiremos con la configuracin del correo, definiendo el principal dominio virtual. Este
paso solo presentar si hemos instalado el mdulo de correo.
Una vez hayan sido respondidas estas preguntas, se realizar la preconfiguracin de cada uno
de los mdulos instalados preparados para su utilizacin desde la interfaz web.
Una vez terminado el proceso de instalacin de eBox Platform, obtendremos un interfaz grfico
con un navegador para autenticarnos en la interfaz web de administracin de eBox utilizando la contrasea introducida en los primeros pasos del instalador.
1.3
La interfaz web de administracin

Una vez instalado eBox Platform, la direccin para acceder a la interfaz web de administracin, desde
cualquier mquina de la red interna, es:
https://direccion_de_red/ebox/
Donde direccion_de_red es la direccin IP o el nombre de la mquina donde est instalado eBox
que resuelve a esa direccin.
12
Figure 1.12: Configuracin del servidor de correo
Figure 1.13: Preconfiguracin de los paquetes
13
Figure 1.14: Interfaz web de administracin de eBox
Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores
como Microsoft Internet Explorer pueden dar problemas.
La primera pantalla solicita la contrasea del administrador:
Tras autenticarse aparece la interfaz de administracin que se encuentra dividida en tres partes
fundamentales:
Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante eBox Platform, separados por categoras. Cuando se ha seleccionado algn servicio
en este men puede aparecer un submen para configurar cuestiones particulares de dicho
servicio.
Men superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos, as como para el cierre de sesin.
14
Figure 1.15: Pantalla principal
Figure 1.16: Men lateral izquierdo
15
Figure 1.17: Men superior

Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios
o tablas con informacin acerca de la configuracin del servicio seleccionado a travs del
men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una
barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la
seccin a la que hemos accedido.
Figure 1.18: Formulario de configuracin
1.3.1 Dashboard
El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo
momento se pueden reorganizar pulsando en los ttulos y arrastrndolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets.
Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central.
Estado de los mdulos

Hay un widget muy importante dentro del dashboard que muestra el estado de todos los mdulos
instalados en eBox.
16
Figure 1.19: Dashboard
Figure 1.20: Configuracin del dashboard
17
Figure 1.21: Widget de estado de los mdulos
18
La imagen muestra el estado para un servicio y una accin que se puede ejecutar sobre l. Los
estados disponibles son los siguientes:
Ejecutndose: Los demonios del servicio se estn ejecutando para aceptar conexiones de los
clientes. Se puede reiniciar el servicio usando Reiniciar.
Ejecutndose sin ser gestionado: Si no has configurado el servicio todava, es posible encontrarlo
ejecutando con la configuracin por defecto de la distribucin. Por tanto, no es gestionado por
eBox hasta el momento.
Parado: Ha ocurrido algn problema ya que el servicio debera estar ejecutndose pero est parado
por alguna razn. Para descubrirla, se deberan comprobar los ficheros de registro para el
servicio o el fichero de registro de eBox mismo como describe la seccin Cmo funciona
eBox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar.
Deshabilitado: El servicio ha sido deshabilitado explcitamente por el administrador como se explica
en Configuracin del estado de los mdulos.
1.3.2 Aplicando los cambios en la configuracin

Una particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las
configuraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los cambios en
el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente
se tendr que presionar Guardar Cambios del men superior. Este botn cambiar a color rojo
para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perdern todos
los cambios que se hayan realizado a lo largo de la sesin al finalizar sta. Existen algunos casos
especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.
Figure 1.22: Guardar Cambios
Adems de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas
o no ests seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en
cuenta que si modificas la configuracin de las interfaces de red o el puerto de administracin, puedes
perder la conexin con eBox. Para recuperarla quizs debas reescribir la URL en el navegador.
19
1.3.3 Configuracin del estado de los mdulos

Como se ha discutido previamente, eBox se construye modularmente. El objetivo de la mayora de
mdulos es gestionar servicios de red que debes habilitar a travs de Estado del mdulo.
Figure 1.23: Configuracin del estado de los mdulos
Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio
DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de
las interfaces de red configuradas. Por tanto, las dependencias se muestran en la columna Depende.
Habilitar un mdulo por primera vez es conocido dentro de la jerga eBox como configurar un
mdulo. Dicha configuracin se realiza una vez por mdulo. Seleccionando la columna Estado,
habilitas o deshabilitas el mdulo. Si es la primera vez, se presenta un dilogo para completar una
serie de acciones y modificaciones a ficheros que implica la activacin del mdulo 4 . Tras ello, puedes
guardar los cambios para llevar a acabo las modificaciones.
4
20
Este proceso es obligatorio para cumplir la poltica de Debian/Ubuntu http://www.debian.org/doc/debian-policy/
Figure 1.24: Dilogo de confirmacin para configurar un mdulo
1.4
Cmo funciona eBox Platform?

EBox Platform no es slo una interfaz web que sirve para administrar los servicios de red ms comunes 5 . Entre sus principales funciones destaca el dar cohesin y unicidad a un conjunto de servicios
de red que de lo contrario funcionaran de forma independiente.
Toda la configuracin de cada uno de los servicios es escrita por eBox de manera automtica.
Para ello utiliza un sistema de plantillas. Con esta automatizacin se evitan los posibles errores
cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada
uno de los formatos de los ficheros de configuracin de cada servicio. Por tanto, no se deben editar
5
Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un anlisis
extenso al cdigo de eBox Platform en <http://www.ohloh.net/p/ebox/analyses/latest>.
21
los ficheros de configuracin originales del sistema ya que se sobreescribiran al guardar cambios al
estar gestionados automticamente por eBox.
Los informes de los eventos y posibles errores de eBox se almacenan en el directorio
/var/log/ebox/ y se distribuyen en los siguientes ficheros:
/var/log/ebox/ebox.log: Los errores relacionados con eBox Platform.
/var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz.
/var/log/ebox/access.log: Los accesos al servidor web de la interfaz.
Si se quiere aumentar la informacin sobre algn error que se haya producido, se puede habilitar
el modo de depuracin de errores a travs de la opcin debug en el fichero /etc/ebox/99ebox.conf. Tras
habilitar esta opcin se deber reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox
apache restart.
1.5
Emplazamiento en la red
1.5.1 Configuracin de la red local
eBox Platform puede utilizarse de dos maneras fundamentales:
Encaminador y filtro de la conexin a internet.
Servidor de los distintos servicios de red.
Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias.
La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar
el servidor con eBox Platform dentro de la red, tanto haciendo nexo de unin entre redes como un
servidor dentro de la propia red.
A lo largo de esta documentacin se ver cmo configurar eBox Platform para desempear un
papel de puerta de enlace y encaminador. Y por supuesto tambin veremos la configuracin en los
casos que acte como un servidor ms dentro de la red.
22
Figure 1.25: Distintas ubicaciones en la red
1.5.2 Configuracin de red con eBox Platform

Si colocamos el servidor en el interior de una red, lo ms probable es que se nos asigne una direccin
IP a travs del protocolo DHCP. A travs de Red
Interfaces se puede acceder a cada una de
las tarjetas de red detectadas por el sistema y se puede configurar de manera esttica (direccin
configurada manualmente), dinmica (direccin configurada por DHCP) o como Trunk 802.1Q, para
la creacin de redes VLAN.
Figure 1.26: Configuracin de interfaces de red
Si configuramos la interfaz como esttica podemos asociar una o ms Interfaces Virtuales a

dicha interfaz real para servir direcciones IP adicionales con lo que se podra atender a diferentes
redes o a la misma con diferente direccin.
Si no se dispone de un router con soporte PPPoE, eBox puede gestionar tambin este tipo de
conexiones. Para ello, solo hay que seleccionar PPPoE como Mtodo e introducir el Nombre de
usuario y Contrasea proporcionado por el proveedor de ADSL.
23
Figure 1.27: Configuracin esttica de interfaces de red
Figure 1.28: Configuracin PPPoE de interfaces de red
24
Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno
o varios servidores de nombres en Red DNS.
Figure 1.29: Configuracin de servidores DNS
Si tu conexin a Internet tiene una IP pblica dinmica y quieres que un nombre de dominio
apunte a ella, se necesita un proveedor de DNS dinmico. eBox da soporte para conectar con algunos
de los proveedores de DNS dinmico ms populares.
Para configurar un nombre de DNS dinmico en eBox desde Red
DynDNS selecciona el
proveedor del servicio y configura el nombre de usuario, contrasea y nombre de dominio que queremos actualizar cuando la direccin pblica cambie. Slo resta Activar DNS Dinmico y Guardar
Cambios.
Figure 1.30: Configuracin de DNS Dinmico
25
eBox se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin
de direccin red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en
un escenario con multirouter 6 , no hay que olvidar crear una regla que haga que las conexiones al
proveedor use siempre la misma puerta de enlace.
1.5.3 Diagnstico de redes

Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red
Diag-
nstico.
Figure 1.31: Herramientas de diagnstico de redes
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP para observar la
conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.
Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes
encaminados a travs de las distintas redes hasta llegar a una mquina remota determinada. Con
esta herramienta podemos ver el camino que siguen los paquetes para diagnsticos ms avanzados.
Y tambin contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolucin de nombres.
Ejemplo prctico A
Vamos a configurar eBox para que obtenga la configuracin de la red mediante DHCP.
Para ello:
6
26
Consultar Reglas multirouter y balanceo de carga para obtener ms detalles.
Figure 1.32: Herramienta ping
27
Figure 1.33: Herramienta traceroute
28
Figure 1.34: Herramienta dig
29
1. Accin: Acceder a la interfaz de eBox, entrar en Red
Interfaces y seleccionar para la
interfaz de red eth0 el Mtodo DHCP. Pulsar el botn Cambiar.

Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos
introducidos.
2. Accin: Entrar en Estado del mdulo y activar el mdulo Red, para ello marcar su casilla en
la columna Estado.
Efecto: eBox solicita permiso para sobreescribir algunos ficheros.
3. Accin: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar
permiso a eBox para sobreescribirlos.
Efecto: Se ha activado el botn Guardar Cambios y algunos mdulos que dependen de red
ahora pueden ser activados.
4. Accin: Guardar los cambios.
Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo
muestra.
Ahora eBox gestiona la configuracin de la red.
5. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a ebox-platform.com.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con el servidor
de internet.
6. Accin: Acceder a Red Herramientas de Diagnstico. Hacer ping a una eBox de un compaero de aula.
Efecto: Se muestran como resultado tres intentos satisfactorios de conexin con la mquina.
7. Accin: Acceder a Red
Herramientas Diagnstico. Ejecutar traceroute hacia ebox-
technologies.com.
Efecto: Se muestra como resultado la serie de mquinas que un paquete recorre hasta llegar
a la mquina destino.
30
Ejemplo prctico B
Para el resto de ejercicios del manual es una buena prctica habilitar los registros.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Estado del mdulo y activar el mdulo Registros, para ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar una serie de acciones.
2. Accin: Leer los acciones que va a realizar eBox y aceptarlas.
Efecto: Se ha activado el botn Guardar Cambios.
muestra.
Ahora eBox tiene los registros activados. Puedes echar un vistazo en Registros
Consultar registros. De todas maneras, en la seccin Registros.
31
32
Chapter 2
eBox Infrastructure
En este apartado explicaremos varios de los servicios para gestionar y optimizar el trfico interno y la
infraestructura de una red local, incluyendo la gestin de dominio, la auto-configuracin de red en los
clientes, la publicacin de sitios Web internos y la sincronizacin de la hora via Internet. La configuracin de dichos servicios requiere un esfuerzo importante. Sin embargo, eBox facilita enormemente
esta tarea.
El servicio de DHCP es ampliamente utilizado para configurar automticamente diversos parmetros de red como pueden ser la direccin IP de una mquina, o la puerta de enlace o gateway que
utilizar para alcanzar Internet.
El servicio de DNS permite acceder a servicios y mquinas utilizando nombres en lugar de direcciones IP, las cuales son ms difciles de memorizar.
Adems, en muchas empresas se utilizan aplicaciones Web a las que slo se tiene acceso de
manera interna.
2.1
Servicio de configuracin de red (DHCP)

Como hemos comentado, DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite
a un dispositivo pedir y obtener una direccin IP desde un servidor que tiene una lista de direcciones
disponibles para asignar.
El servicio DHCP 1 se usa tambin para obtener otros muchos parmetros tales como la puerta de
enlace por defecto, la mscara de red, las direcciones IP de los servidores de nombres o el dominio
1
eBox usa ISC DHCP Software (https://www.isc.org/software/dhcp) para configurar el servicio de DHCP
33
de bsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una
configuracin manual por parte del cliente.
Cuando un cliente DHCP se conecta a la red enva una peticin de difusin (broadcast). El
servidor DHCP responde a esa peticin con una direccin IP, su tiempo de concesin y los otros
parmetros explicados previamente. La peticin suele suceder durante el perodo de arranque del
cliente y debe completarse antes de seguir con el arranque del resto de servicios de red.
Existen dos mtodos de asignacin de direcciones:
Manual: La asignacin se hace a partir de una tabla de correspondencia entre direcciones fsicas
(MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla.
Dinmica: El administrador de la red asigna un rango de direcciones IP por un proceso de peticin y
concesin que usa el concepto de alquiler con un perodo controlado de tiempo en el que la IP
concedida es vlida. El servidor guarda una tabla con las asignaciones anteriores para intentar
volver a asignar la misma IP a un cliente en sucesivas peticiones.
2.1.1 Configuracin de un servidor DHCP con eBox

Para configurar el servicio DHCP con eBox, se necesita al menos una interfaz configurada estticamente. Una vez la tenemos, vamos al men DHCP donde se configurar el servidor DHCP.
Como hemos dicho, se pueden enviar algunos parmetros de la red junto con la direccin IP,
estos parmetros se pueden configurar en la pestaa de Opciones comunes.
Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra
ruta por la que enviar el paquete a su destino. Su valor puede ser eBox, una puerta de enlace
ya configurada en el apartado Red Routers o una direccin IP personalizada.
Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas siguiendo la
forma <mquina>.sub.dominio.com, se podra configurar el dominio de bsqueda como
sub.dominio.com. De esta forma, cuando se intente resolver un nombre de dominio sin xito,
se intentar de nuevo aadindole el dominio de bsqueda al final o partes de ese dominio.
Por ejemplo, si smtp no se puede resolver como dominio, se intentar resolver
smtp.dominio.com en la mquina cliente.
Podemos escribir el dominio de bsqueda, o podemos seleccionar uno que se haya configurado
en el servicio de DNS.
34
CHAPTER 2. EBOX INFRASTRUCTURE
Figure 2.1: Vista general de configuracin del servicio DHCP
35
Servidor de nombres primario: Se trata de aquel servidor DNS
con el que contactar el cliente
en primer lugar cuando tenga que resolver un nombre o traducir una direccin IP a un nombre.
Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de
eBox, hay que tener en cuenta que el mdulo dns debe estar habilitado) o una direccin IP de
otro servidor DNS.
Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no
est disponible. Su valor debe ser una direccin IP de un servidor DNS.
Servidor NTP: Este es el servidor NTP (Network Transport Protocol)
que el cliente usar cuando
quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, eBox NTP local (hay que
tener en cuenta que el mdulo ntp debe estar habilitado) o un servidor NTP personalizado.
Servidor WINS: Este es el servidor WINS (Windows Internet Name Service)
que el cliente usar
para resolver nombres NetBIOS. Su valor puede ser ninguno, eBox local (hay que tener en
cuenta que el mdulo samba debe estar habilitado) o uno personalizado.
Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen
mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP est activo,
al menos debe haber un rango de direcciones a distribuir o una asignacin esttica. En caso contrario,
el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red.
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier
direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas.
Aadir un rango en la seccin Rangos se hace introduciendo un nombre con el que identificar el
rango y los valores que se quieran asignar dentro del rango que aparece encima.
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas
en el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte
de ningn rango. Se puede aadir una descripcin opcional para la asignacin tambin.
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se
tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara
desde 1800 segundos hasta 7200. Las asignaciones estticas tambin estn limitadas en el tiempo.
De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas.
2
Ir a la seccin Servicio de resolucin de nombres (DNS) para tener ms detalles sobre este servicio.
Comprobar la seccin Servicio de sincronizacin de hora (NTP) para obtener detalles sobre el servicio de sincronizacin de hora
4
WINS es una implementacin para NBNS (NetBIOS Name Service). Para obtener ms informacin sobre ello, ir a la
3
seccin Servicio de comparticin de ficheros y de autenticacin.
36
Figure 2.2: Aspecto de la configuracin avanzada para DHCP
Un Cliente Ligero es una mquina sin disco duro (y hardware modesto) que arranca a travs de
la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros.
eBox permite configurar a qu servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se
encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema,
se debe configurar por separado.
El servidor PXE puede ser una direccin IP o un nombre, en cuyo caso ser necesario indicar la
ruta de la imagen de arranque, o eBox, en cuyo caso se puede cargar el fichero de la imagen.
Actualizaciones dinmicas de DNS

El servidor DHCP tiene la habilidad de actualizar dinmicamente el servidor DNS 6 . Esto es, el servidor
DHCP actualizar en tiempo real los registros A y PTR para mapear una direccin IP a un nombre de
mquina y viceversa cuando se sirva una direccin IP. La manera en que esto se hace es dependiente
de la configuracin del servidor DHCP.
5
Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados
(http://en.wikipedia.org/wiki/Preboot_Execution_Environment)
6
El RFC 2136 explica como hacer actualizaciones automticas en el Sistema de Nombres de Dominio (DNS).
37
Con eBox es posible usar la actualizacin dinmica de DNS integrando los mdulos de dhcp y
dns de la misma mquina dentro la pestaa Opciones de DNS dinmico. Para habilitar esta caracterstica, el mdulo DNS debe ser habilitado tambin. Se debe disponer un Dominio dinmico y un
Dominio esttico, que ambos se aadirn a la configuracin de DNS automticamente. El dominio
dinmico mapea los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue este patrn: dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Con respecto al
dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el
nombre que se establece en la tabla de Asignaciones estticas. Hay que tener en cuenta que una
actualizacin desde el cliente DHCP es ignorada por eBox.
Figure 2.3: Configuracin de actualizaciones DNS dinmicas
La actualizacin se hace usando un protocolo seguro 7 y, actualmente, slo el mapeo directo est
soportado por eBox.
Ejemplo prctico
Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde
otra mquina cliente usando dhclient que funciona correctamente.
Para configurar DHCP debemos tener activado y configurado el mdulo Red. La interfaz de
red sobre la cual vamos a configurar el servidor DHCP deber ser esttica (direccin IP asignada
manualmente) y el rango a asignar deber estar dentro de la subred determinada por la mscara de
red de esa interfaz (por ejemplo rango 10.1.2.1-10.1.2.21 en una interfaz 10.1.2.254/255.255.255.0).
1. Accin: Entrar en eBox y acceder al panel de control. Entrar en Estado del mdulo y activar
el mdulo DHCP, para ello marcar su casilla en la columna Estado.
7
La comunicacin se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones
dinmicas usando una clave secreta compartida.
38

3. Accin: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurar el servidor.
La pasarela puede ser la propia eBox, alguna de las pasarelas de eBox, una direccin
especfica, o ninguna (sin salida a otras redes). Adems se podr definir el dominio de
bsqueda (dominio que se aade a todos los nombres DNS que no se pueden resolver)
y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario).
A continuacin eBox nos informa del rango de direcciones disponibles, vamos a elegir un
subconjunto de 20 direcciones y en Aadir nueva le damos un nombre significativo al
rango que pasar a asignar eBox.
muestra.
Ahora eBox gestiona la configuracin del servidor DHCP.
5. Accin: Desde otro equipo conectado a esa red solicitamos una IP dinmica del rango mediante dhclient:
$ sudo dhclient eth0

There is already a pid file /var/run/dhclient.pid with pid 9922
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
wmaster0: unknown hardware address type 801
wmaster0: unknown hardware address type 801
Listening on LPF/eth0/00:1f:3e:35:21:4f
Sending on
LPF/eth0/00:1f:3e:35:21:4f
Sending on
Socket/fallback
DHCPREQUEST on wlan0 to 255.255.255.255 port 67
DHCPACK from 10.1.2.254
bound to 10.1.2.1 -- renewal in 1468 seconds.
39
6. Accin: Comprobar desde el Dashboard que la direccin concedida aparece en el widget

DHCP leases 8 .
2.2
Servicio de resolucin de nombres (DNS)

La funcionalidad de DNS (Domain Name System) es convertir nombres de mquinas, legibles y fciles
de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es
una arquitectura arborescente cuyos objetivos son evitar la duplicacin de la informacin y facilitar la
bsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte
UDP y TCP.
2.2.1 Configuracin de un servidor cach DNS con eBox

Un servidor de nombres puede actuar como cach
para las consultas que l no puede responder.
Es decir, la primera vez consultar al servidor adecuado porque se parte de una base de datos sin
informacin, pero posteriormente responder la cach, con la consecuente disminucin del tiempo de
respuesta.
En la actualidad, la mayora de los sistemas operativos modernos tienen una biblioteca local para
traducir los nombres que se encarga de almacenar una cach propia de nombres de dominio con las
peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo, ...).
Ejemplo prctico A
Comprobar el correcto funcionamiento del servidor cach DNS. Qu tiempo de respuesta hay ante
la misma peticin www.example.com?
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo DNS, para ello
marcar su casilla en la columna Estado.
8
9
Hay que tener en cuenta que las asignaciones estticas no aparecen en el widget del DHCP.
Cach es una coleccin de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado
con el tiempo de lectura de la cach (http://en.wikipedia.org/wiki/Cache)
40

3. Accin: Ir a Red
DNS y aadir un nuevo Servidor de nombres de dominio con valor
127.0.0.1 .
Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa.
muestra.
Ahora eBox gestiona la configuracin del servidor DNS.
5. Accin: Comprobar a travs de la herramienta Resolucin de Nombres de Dominio
disponible en Red
Diagnstico comprobar el funcionamiento de la cach consultado
el dominio www.example.com consecutivamente y comprobar el tiempo de respuesta.
2.2.2 Configuracin de un servidor DNS con eBox

DNS posee una estructura en rbol y el origen es conocido como . o raz. Bajo el . existen los TLD
(Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si ste
no conoce la respuesta, se buscar recursivamente en el rbol hasta encontrarla. Cada . en una
direccin (por ejemplo, home.example.com) indica una rama del rbol de DNS diferente y un mbito
de consulta diferente que se ir recorriendo de derecha a izquierda.
Como se puede ver en la figura rbol de DNS, cada zona tiene un servidor de nombre autorizado 10 . Cuando un cliente hace una peticin a un servidor de nombres, delega la resolucin a aquel
servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo,
un cliente pide la direccin IP de www.casa.example.com a un servidor que es autoridad para example.com. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para
la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debera
saber la direccin IP para esa mquina.
Otro aspecto importante es la resolucin inversa (in-addr.arpa), ya que desde una direccin IP
podemos traducirla a un nombre del dominio. Adems a cada nombre asociado se le pueden aadir
tantos alias (o nombres cannicos) como se desee, as una misma direccin IP puede tener varios
nombres asociados.
10
Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la informacin para resolver la consulta
para ese dominio
41
Figure 2.4: rbol de DNS
Una caracterstica tambin importante del DNS es el registro MX. Dicho registro indica el lugar
donde se enviarn los correos electrnicos que quieran enviarse a un determinado dominio. Por
ejemplo, si queremos enviar un correo a alguien@example.com, el servidor de correo preguntar por
el registro MX de example.com y el servicio responder que es mail.example.com.
La configuracin en eBox se realiza a travs del men DNS. En eBox, se pueden configurar tantos
dominios DNS como deseemos.
Para configurar un nuevo dominio, desplegamos el formulario pulsando Aadir nuevo. Desde all
se configura el nombre del dominio y una direccin IP opcional a la que har referencia el dominio.
Cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo llamado

dinmico con valor falso. Un dominio se establece como dinmico cuando es actualizado automticamente por un proceso sin reiniciar el servidor. Un ejemplo tpico para esto es cuando un servidor
42
DHCP actualiza los registros DNS para un dominio cuando ofrece una direccin IP a una mquina. Ve
a la seccin Actualizaciones dinmicas de DNS para obtener detalles sobre esta configuracin con
eBox. Actualmente, si un dominio se establece como dinmico, no se puede configurar manualmente
desde el interfaz de eBox.
Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la
posibilidad de rellenar la lista de mquinas (hostnames) para el dominio. Se podrn aadir tantas
direcciones IP como se deseen usando los nombres que decidamos. La resolucin inversa se aade
automticamente. Adems, para cada pareja nombre-direccin se podrn tambin poner tantos alias
como se deseen.
Con eBox se establece automticamente el servidor autorizado para los dominios configurados
a la mquina con nombre ns. Si esa mquina no existe, entonces se usa 127.0.0.1 como servidor
de nombres autorizado. Si quieres configurar el servidor de nombres autorizado manualmente para
tus dominios (registros NS), ve a servidores de nombres y elige una de las mquinas del dominio o
una personalizada. En el escenario tpico, se configurar una mquina con nombre ns usando como
direccin IP una de las configuradas en la seccin Red Interfaces.
43
Como caracterstica adicional, podemos aadir nombres de servidores de correo a travs de los
intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox
es autoridad o uno externo. Adems se le puede dar una preferencia cuyo menor valor es el que da
mayor prioridad, es decir, un cliente de correo intentar primero aquel servidor con menor nmero de
preferencia.
Para profundizar en el funcionamiento de DNS, veamos qu ocurre en funcin de la consulta que

se hace a travs de la herramienta de diagnstico dig que se encuentra en Red Diagnstico.
Si hacemos una consulta a uno de los dominios que hemos aadido, el propio servidor DNS de
eBox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS
lanza una peticin a los servidores DNS raz, y responder al usuario tan pronto como obtenga una
respuesta de stos. Es importante tener en cuenta que los servidores de nombres configurados en
Red DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNS
no los utiliza de ningn modo. Si queremos que eBox resuelva nombres utilizando su propio DNS
debemos configurar 127.0.0.1 como servidor DNS primario en dicha seccin.
Ejemplo prctico B
Aadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una direccin de red al
nombre de una mquina. Desde otra mquina comprobar usando la herramienta dig que resuelve
correctamente.
1. Accin: Comprobar que el servicio DNS est activo a travs de Dashboard en el widget Estado de mdulos. Si no est activo, habilitarlo en Estado de mdulos.
2. Accin: Entrar en DNS y en Aadir nueva introducimos el dominio que vamos a gestionar. Se
desplegar una tabla donde podemos aadir nombres de mquinas, servidores de correo
para el dominio y la propia direccin del dominio. Dentro de Nombres de mquinas
procedemos de la misma manera aadiendo el nombre de la mquina y su direccin IP
asociada.
44

Efecto: eBox solicitar permiso para escribir los nuevos ficheros.
4. Accin: Aceptar sobreescribir dichos ficheros y guardar cambios.
Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra.
5. Accin: Desde otro equipo conectado a esa red solicitamos la resolucin del nombre mediante dig, siendo por ejemplo 10.1.2.254 la direccin de nuestra eBox y mirror.eboxplatform.com el dominio a resolver:
$ dig mirror.ebox-platform.com @10.1.2.254

; <<>> DiG 9.5.1-P1 <<>> mirror.ebox-platform.com @10.1.2.254
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33835
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;mirror.ebox-platform.com.
IN
;; ANSWER SECTION:
mirror.ebox-platform.com. 600
IN
87.98.190.119
;; AUTHORITY SECTION:
ebox-platform.com.
ebox-platform.com.
600
600
IN
IN
NS
NS
ns1.ebox-platform.com.
;; ADDITIONAL SECTION:
600
600
IN
IN
A
A
67.23.0.68
209.123.162.63
;;
;;
;;
;;
Query time: 169 msec

SERVER: 10.1.2.254#53(10.1.2.254)
WHEN: Fri Mar 20 14:37:52 2009
MSG SIZE rcvd: 126
45
2.3
Servicio de publicacin de informacin web (HTTP)

La Web es uno de los servicios ms comunes en Internet, tanto que se ha convertido en su cara
visible para la mayora de los usuarios.
Una pgina Web empez siendo la manera ms cmoda de publicar informacin en una red.
Para acceder basta con un navegador Web, que se encuentra instalado de serie en las plataformas de
escritorio actuales. Una pgina Web es fcil de crear y se puede visualizar desde cualquier ordenador.
Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de
verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio.
En este captulo veremos una introduccin al funcionamiento interno de la Web, as como la
configuracin de un servidor Web con eBox.
2.3.1 Hyper Text Transfer Protocol

Una de las claves del xito de la Web ha sido el protocolo de capa de Aplicacin empleado, HTTP
(Hyper Text Transfer Protocol), y es que HTTP es muy sencillo a la vez que flexible.
HTTP es un protocolo orientado a peticiones y respuestas. Un cliente, tambin llamado User
Agent, realiza una solicitud a un servidor. El servidor la procesa y devuelve una respuesta.
Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar, y el 443 para conexiones
cifradas (HTTPS). Una de las tecnologas ms usadas para el cifrado es TLS 11 .
Una solicitud del cliente contiene los siguientes elementos:
Una primera lnea conteniendo <mtodo> <recurso solicitado> <versin HTTP>. Por ejemplo
GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo
HTTP/1.1.
Cabeceras, como User-Agent: Mozilla/5.0 ... Firefox/3.0.6 que identifican el tipo de cliente que
solicita la informacin.
Una lnea en blanco.
Un cuerpo del mensaje opcional. Se utiliza, por ejemplo, para enviar ficheros al servidor usando
el mtodo POST.
11
TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan
seguridad e integridad de datos para las comunicaciones en Internet. En la seccin Redes privadas virtuales (VPN) se
ahondar en el tema.
46
Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del
servidor. Encaminadores y proxies en medio.
47
Hay varios mtodos 12 con los que el cliente puede pedir informacin. Los ms comunes son GET
y POST:
GET: Se utiliza GET para solicitar un recurso. Es un mtodo inocuo para el servidor, ya que no se
debe modificar ningn fichero en el servidor si se hace una solicitud mediante GET.
POST: Se utiliza POST para enviar una informacin que debe procesar el servidor. Por ejemplo en
un webmail cuando pulsamos Enviar Mensaje, se enva al servidor la informacin del correo
electrnico a enviar. El servidor debe procesar esa informacin y enviar el correo electrnico.
OPTIONS: Sirve para solicitar qu mtodos se pueden emplear sobre un recurso.
HEAD: Solicita informacin igual que GET, pero la respuesta no incluir el cuerpo, slo la cabecera.
De esta forma se puede obtener la meta-informacin del recurso sin descargarlo.
PUT: Solicita que la informacin del cuerpo sea almacenada y accesible desde la ruta indicada.
DELETE: Solicita la eliminacin del recurso indicado
TRACE: Indica al servidor que debe devolver la cabecera que enva el cliente. Es til para ver cmo
modifican la solicitud los proxies intermedios.
CONNECT: La especificacin se reserva este mtodo para realizar tneles.
La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la
primera fila. En este caso la primera fila sigue la forma <status code> <text reason>, que corresponden
al cdigo de respuesta y a un texto con la explicacin respectivamente.
Los cdigos de respuesta 13 ms comunes son:
200 OK: La solicitud ha sido procesada correctamente.
403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el recurso solicitado.
404 Not Found: Si el recurso solicitado no se ha encontrado.
500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecucin de la solicitud.
12
Una explicacin ms detallada se puede encontrar en la seccin 9 del RFC 2616
13
En la seccin 10 del RFC 2616 se pueden encontrar el listado completo de cdigos de respuesta del servidor HTTP.
48
HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el
servidor no puede recordar a los clientes entre conexiones. Una solucin para este problema es el
uso de cookies. Por otro lado, el servidor no puede iniciar una conversacin con el cliente. Si el cliente
quiere alguna notificacin del servidor, deber solicitarla peridicamente.
El servicio HTTP puede ofrecer dinmicamente los resultados de aplicaciones software. Para ello,
el cliente realiza una peticin a una determinada URL con unos parmetros y el software se encarga
gestionar la peticin para devolver un resultado. El primer mtodo utilizado fue conocido como CGI
(Common Gateway Interface) que se ejecuta un comando por URL. Este mecanismo ha sido superado
debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones:
FastCGI: Un protocolo de comunicacin entre las aplicaciones software y el servidor HTTP, teniendo
un nico proceso para resolver las peticiones realizadas por el servidor HTTP.
SCGI (Simple Common Gateway Interface): Es una versin simplificada del protocolo de FastCGI
Otros mecanismos de expansin: Estos mecanismos dependern del servidor HTTP utilizado y
pueden permitir la ejecucin de software dentro del propio servidor.
2.3.2 El servidor HTTP Apache

El servidor HTTP Apache
14
es el programa ms popular para servir pginas Web desde abril de
1996. EBox usa dicho servidor tanto para su interfaz Web de administracin como para el mdulo
Web. Su objetivo es ofrecer un sistema seguro, eficiente y extensible siguiendo los estndares HTTP.
Ofrece la posibilidad de extender las funcionalidades del ncleo (core), utilizando mdulos adicionales
para incluir nuevas caractersticas. Es decir, una de sus principales ventajas es la extensibilidad.
Algunos de los mdulos nos ofrecen interfaces para lenguajes de script. Ejemplos de ello son
mod_perl, mod_python, TCL PHP, lo que permite crear pginas Web usando los lenguajes de programacin Perl, Python, TCL o PHP. Tambin tenemos mdulos para varios sistemas de autenticacin
como mod_access, mod_auth, entre otros. Adems, permite el uso de SSL y TLS con mod_ssl, mdulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. En
definitiva, disponemos de una gran cantidad de mdulos de Apache 15 para aadir diversas funcionalidades.
14
15
Apache HTTP Server project http://httpd.apache.org.

Podemos consultar la lista completa en http://modules.apache.org.
49
2.3.3 Dominios virtuales

El objetivo de los dominios virtuales (Virtual Hosts) es alojar varios sitios Web en un mismo servidor.
Si el servidor dispone de una direccin IP pblica por cada sitio Web, se puede realizar una
configuracin por cada interfaz de red. Vistos desde fuera dar la impresin de que son varios Hosts
en la misma red. El servidor redirigir el trfico de cada interfaz a su sitio Web correspondiente.
Sin embargo, lo ms normal es disponer de una o dos IPs por mquina. En ese caso habr
que asociar cada sitio Web con su dominio. El servidor Web leer las cabeceras de los clientes
y dependiendo del dominio de la solicitud lo redirigir a un sitio Web u otro. A cada una de estas
configuraciones se le llama Virtual Host, ya que slo hay un Host en la red, pero se simula que
existen varios.
2.3.4 Configuracin de un servidor HTTP con eBox

A travs del men Web podemos acceder a la configuracin del servicio.
Figure 2.6: Aspecto de la configuracin del mdulo Web

En el primer formulario podemos modificar los siguientes parmetros:
Puerto de escucha Dnde va a escuchar peticiones HTTP el demonio.
Habilitar el public_html por usuario Con esta opcin, si est habilitado el mdulo Samba (eBox
como servidor de ficheros) los usuarios pueden crear un subdirectorio llamado public_html en
su directorio personal dentro de samba que ser expuesto por el servidor Web a travs de
la URL http://<eboxIP>/~<username>/ donde username es el nombre del usuario que quiere
publicar contenido.
50
Respecto a los Dominios virtuales, simplemente se introducir el nombre que se desea para el
dominio y si est habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en
el mdulo DNS (si est instalado) de tal manera que si se aade el dominio www.company.com, se
crear el dominio company.com con el nombre de mquina www cuya direccin IP ser la direccin
de la primera interfaz de red que sea esttica.
Para publicar datos estos deben estar bajo /var/www/<vHostname>, donde vHostName es el
nombre del dominio virtual. Si se quiere aadir cualquier configuracin personalizada, por ejemplo
capacidad para servir aplicaciones en Python usando mod_python, se debern crear los ficheros de
configuracin necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/userebox-<vHostName>/.
Ejemplo prctico
Habilitar el servicio Web. Comprobar que est escuchando en el puerto 80. Configurarlo para que
escuche en un puerto distinto y comprobar que el cambio surte efecto.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo servidor web, para
ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en
el sistema. Permitir la operacin pulsando el botn Aceptar.
muestra.
El servidor Web ha quedado habilitado por defecto en el puerto 80.
3. Accin: Utilizando un navegador, acceder a la siguiente direccin http://ip_de_eBox/.
Efecto: Aparecer una pgina por defecto de Apache con el mensaje It works!.
4. Accin: Acceder al men Web. Cambiar el valor del puerto de 80 a 1234 y pulsar el botn
Cambiar.
muestra.
Ahora el servidor Web est escuchando en el puerto 1234.
51
6. Accin: Volver a intentar acceder con el navegador a http://<ip_de_eBox>/.

Efecto: No obtenemos respuesta y pasado un tiempo el navegador informar de que ha sido
imposible conectar al servidor.
7. Accin: Intentar acceder ahora a http://<ip_de_eBox>:1234/.
Efecto: El servidor responde y obtenemos la pgina de It works!.
2.4
Servicio de sincronizacin de hora (NTP)

El protocolo NTP (Network Time Protocol) fue diseado para sincronizar los relojes de las computadoras sobre una red no fiable, con latencia variable. Este servicio escucha en el puerto 123 del protocolo
UDP. Est diseado para resistir los efectos de la latencia variable (jitter ).
Es uno de los protocolos ms antiguos de Internet (desde antes de 1985). NTP versin 4 puede
alcanzar una exactitud de hasta 200 s o incluso mejor si el reloj est en la red local. Existen diferentes
estratos que definen la distancia del reloj de referencia y su asociada exactitud. Existen hasta 16
niveles. El estrato 0 es para los relojes atmicos que no se conectan a la red sino a otro ordenador
con conexin serie RS-232 y estos son los de estrato 1. Los de estrato 2 son los ordenadores que se
conectan, ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en
los sistemas operativos ms conocidos como GNU/Linux, Windows, o MacOS.
2.4.1 Configuracin de un servidor NTP con eBox

Para configurar eBox dentro de la arquitectura NTP
16
, en primer lugar eBox tiene que sincronizarse
con algn servidor externo de estrato superior (normalmente 2) que se ofrecen a travs de Sistema
Fecha/hora. Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org) que son
una coleccin dinmica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus
clientes a travs de Internet.
16
52
Proyecto del servicio pblico NTP http://support.ntp.org/bin/view/Main/WebHome.
Una vez que eBox se haya sincronizado como cliente NTP 17 , el propio eBox podr actuar tambin
como servidor NTP, con una hora sincronizada mundialmente.
Ejemplo prctico
Habilitar el servicio NTP y sincronizar la hora de nuestra mquina utilizando el comando ntpdate.
Comprobar que tanto eBox como la mquina cliente tienen la misma hora.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo ntp, para ello marca
su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema.
Permitir la operacin pulsando el botn Aceptar.
2. Accin: Acceder al men Sistema
Fecha/Hora. En la seccin Sincronizacin con servi-
dores NTP seleccionar Activado y pulsar Cambiar.

Efecto: Desaparece la opcin de cambiar manualmente la fecha y hora y en su lugar aparecen
campos para introducir los servidores NTP con los que se sincronizar.
muestra.
Nuestra mquina eBox actuar como servidor NTP.
17
eBox usa ntpdate para sincronizarse por primera vez, una vez sincronizado usa ntpd para mantener la sincrona.
http://www.ece.udel.edu/~mills/ntp/html/
53
4. Accin: Instalar el paquete ntpdate en nuestra mquina cliente. Ejecutar el comando ntpdate
<ip_de_eBox>.
Efecto: La hora de nuestra mquina habr quedado sincronizada con la de la mquina eBox.
Podemos comprobarlo ejecutando el comando date en ambas mquinas.
54
Chapter 3
eBox Gateway
En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. eBox Gateway
puede hacer tu red ms fiable, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar
en tu red.
En este apartado hay un captulo que se centra en el funcionamiento del mdulo cortafuegos de
eBox, el cual nos permite la gestin de reglas para el trfico entrante y saliente de nuestra red interna.
La configuracin del cortafuegos no se realiza directamente, sino que se apoya en otros dos
mdulos que facilitan la gestin de objetos y servicios de red, los cuales se describen en la primera
parte del apartado.
Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas segn el trfico
saliente. Adems, se explica en este apartado el moldeado de trfico, que se utiliza para asegurar
que las aplicaciones crticas se sirven correctamente e incluso para limitar aquellas aplicaciones que
generan mucho trfico en la red.
Finalmente, se ofrece una introduccin al servicio de proxy HTTP que ofrece eBox. Este servicio
permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado,
incluyendo reglas basadas en el contenido.
3.1
Abstracciones de red a alto nivel de eBox
55
3.1.1 Objetos de red

Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto
de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red,
pudiendo elegir comportamientos para dichos objetos.
Por ejemplo, pueden servir para dar un nombre significativo a una direccin IP o a un grupo de
ellas. Si es el segundo caso, en lugar de definir reglas de acceso de cada una de las direcciones,
bastara simplemente con definirlas para el objeto de red. As, todas las direcciones pertenecientes al
objeto adquiriran dicha configuracin.
Figure 3.1: Representacin de objetos de red
Gestin de los objetos de red con eBox

Para su gestin en eBox se debe ir al men Objetos y ah se crean nuevos objetos, que tendrn
asociado un nombre, y una serie de miembros.
Se puede crear, editar y borrar objetos. Estos objetos sern usados ms tarde por otros mdulos
como por ejemplo el cortafuegos, el Proxy cach Web o el de correo.
56
CHAPTER 3. EBOX GATEWAY
Figure 3.2: Aspecto general del mdulo de objetos de red
Cada uno de ellos tendr al menos los siguientes valores: nombre, direccin IP y mscara de
red utilizando notacin CIDR. La direccin fsica slo tendr sentido para miembros que representen
una nica mquina.
Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener
mucho cuidado al usarlos en el resto de mdulos para obtener la configuracin deseada y no tener
problemas de seguridad.
3.1.2 Servicios de red

Un servicio de red es la abstraccin de uno o ms protocolos de aplicacin que pueden ser usados
en otros mdulos como el cortafuegos o el mdulo de moldeado de trfico.
La utilidad de los servicios es similar a la de los objetos. Si veamos que con los objetos podamos
hacer referencia fcilmente a un conjunto de direcciones IP usando un nombre significativo, podemos
57
as mismo identificar un conjunto de puertos numricos, difciles de recordar y engorrosos de teclear

varias veces en distintas configuraciones, con un nombre acorde a su funcin (tpicamente el nombre
del protocolo de nivel 7 o aplicacin que usa esos puertos).
Figure 3.3: Conexin de un cliente a un servidor
Gestin de los servicios de red con eBox

Para su gestin en eBox se debe ir al men Servicios donde es posible crear nuevos servicios, que
tendrn asociado un nombre, una descripcin y un indicador de si el servicio es externo o interno. Un
servicio es interno si los puertos configurados para dicho servicio se estn usando en la mquina en
la que est eBox instalado. Adems cada servicio tendr una serie de miembros. Cada uno de ellos
tendr los siguientes valores: protocolo, puerto origen y puerto destino.
En todos estos campos podemos introducir el valor cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen.
Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que ms
se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino
conocido. Los puertos del 1 al 1023 se llaman puertos bien conocidos y en sistemas operativos
tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. Del 1024 al 49.151
son puertos registrados. Y del 49.152 al 65.535 son puertos efmeros y son utilizados como puertos
temporales, sobre todo por los clientes al comunicarse con los servidores. Existe una lista de servicios
de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el fichero /etc/services.
1
La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a
puertos bien conocidos. La lista completa se encuentra en http://www.iana.org/assignments/port-numbers
58
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para
evitar tener que aadir dos veces un mismo puerto que se use para ambos protocolos.
Figure 3.4: Aspecto general del mdulo de servicios de red
Se puede crear, editar y borrar servicios. Estos servicios sern usados ms adelante en el cortafuegos o el moldeado de trfico haciendo referencia simplemente al nombre significativo.
Ejemplo prctico
Crear un objeto y aadir lo siguiente: una mquina sin direccin MAC, una mquina con direccin
MAC y una direccin de red.
Para ello:
1. Accin: Acceder a Objetos. Aadir mquinas de contabilidad.
Efecto: El objeto mquinas de contabilidad se ha creado.
2. Accin: Acceder a Miembros del objeto mquinas de contabilidad. Crear miembro servidor contable con una direccin IP de la red, por ejemplo, 192.168.0.12/32. Crear otro miembro servidor contable respaldo con otra direccin IP, por ejemplo, 192.168.0.13/32 y una
direccin MAC vlida, por ejemplo, 00:0c:29:7f:05:7d. Finalmente, crea el miembro red de
59
ordenadores contables con direccin IP una subred de tu red local, como por ejemplo,
192.168.0.64/26. Finalmente, ir a Guardar cambios para confirmar la configuracin creada.
Efecto: El objeto mquinas de contabilidad contendr tres miembros servidor contable,
servidor contable respaldo y red de ordenadores contables de forma permanente.
3.2
Cortafuegos
Para ver la aplicacin de los objetos y servicios de red, vamos a configurar un cortafuegos. Un
cortafuegos es un sistema que refuerza las polticas de control de acceso entre redes. En nuestro
caso, vamos a tener una mquina dedicada a proteccin de nuestra red interna y eBox de ataques
procedentes de la red exterior.
Un cortafuegos permite definir al usuario una serie de polticas de acceso, por ejemplo, cules
son las mquinas a las que se puede conectar o las que pueden recibir informacin y el tipo de la
misma. Para ello, utiliza reglas que pueden filtrar el trfico dependiendo de determinados parmetros,
por ejemplo protocolo, direccin origen o destino y puertos utilizados.
Tcnicamente, la mejor solucin es disponer de un computador con dos o ms tarjetas de red que
aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos
se encargue de conectar los paquetes de las redes y determinar cules pueden pasar o no y a qu
red lo harn. Al configurar nuestra mquina como cortafuegos y encaminador podremos enlazar los
paquetes de trnsito entre redes de manera ms segura.
3.2.1 El cortafuegos en GNU/Linux: Netfilter

A partir del ncleo Linux 2.4, se proporciona un subsistema de filtrado denominado Netfilter que
proporciona caractersticas de filtrado de paquetes y de traduccin de redes NAT 2 . La interfaz del
comando iptables permite realizar las diferentes tareas de configuracin de las reglas que afectan al
sistema de filtrado (tabla filter ), reglas que afectan a la traduccin de los paquetes con NAT (tabla nat)
o reglas para especificar algunas opciones de control y manipulacin de paquetes (tabla mangle). Su
manejo es muy flexible y ortogonal pero aade mucha complejidad y tiene una curva de aprendizaje
alta.
2
Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan
por un encaminador o cortafuegos. Su uso principal es permitir a varias mquinas de una red privada acceder a Internet
con una nica IP pblica.
60
3.2.2 Modelo de seguridad de eBox

El modelo de seguridad de eBox se basa en intentar proporcionar la mxima seguridad posible por
defecto, intentando a su vez minimizar el esfuerzo de configuracin de un administrador cuando aade
nuevos servicios.
Cuando eBox acta de cortafuegos normalmente se instala entre la red local y el router que
conecta esa red con otra red, normalmente Internet. Los interfaces de red que conectan la mquina
con la red externa (el router ) deben marcarse como tales. Esto permite al mdulo Cortafuegos
establecer unas polticas de filtrado por defecto.
Figure 3.5: Red interna - Reglas de filtrado - Red externa
La poltica para las interfaces externas es denegar todo intento de nueva conexin a eBox. Para
las interfaces internas se deniegan todos los intentos de conexin, excepto los que se realizan a
servicios internos definidos en el mdulo Servicios, que son aceptadas por defecto.
Adems eBox configura el cortafuegos automticamente de tal manera que hace NAT para los
paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta
funcionalidad, puede ser desactivada mediante la variable nat_enabled en el fichero de configuracin
del mdulo cortafuegos en /etc/ebox/80firewall.conf.
Configuracin de un cortafuegos con eBox

Para facilitar el manejo de iptables en tareas de filtrado se usa el interfaz de eBox en Cortafuegos
Filtrado de paquetes.
Si eBox acta como puerta de enlace, se pueden establecer reglas de filtrado que se encargarn
de determinar si el trfico de un servicio local o remoto debe ser aceptado o no. Hay cinco tipos de
trfico de red que pueden controlarse con las reglas de filtrado:
61
Trfico de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas mquinas).
Trfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet
desde determinada red interna).
Trfico de eBox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia
mquina con eBox).
Trfico de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde
Internet).
Trfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno
desde Internet).
Hay que tener en cuenta que los dos ltimos tipos de reglas pueden ser un compromiso para la
seguridad de eBox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de
filtrado en el siguiente grfico:
Figure 3.6: Tipos de reglas de filtrado
eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una
interfaz interna (donde se encuentra la Intranet) e Internet. Su configuracin habitual se realiza por
objeto. As podemos determinar cmo un objeto de red puede acceder a cada uno de los servicios de
62
eBox. Por ejemplo, podramos denegar el acceso al servicio de DNS a determinada subred. Adems
se manejan las reglas de acceso a Internet, por ejemplo, para configurar el acceso a Internet se debe
habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier direccin.
Figure 3.7: Lista de reglas de filtrado de paquetes desde las redes internas a eBox
Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. Por
ejemplo, las reglas de filtrado para salida de eBox slo hace falta fijar el destinatario ya que el origen
siempre es eBox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el
trfico de salida excepto el de SSH 3 . Adicionalmente, se le puede dar una descripcin para facilitar
la gestin de las reglas. Finalmente, cada regla tiene una decisin que tomar, existen tres tipos:
Aceptar la conexin.
Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se
ha podido establecer la conexin.
Denegar la conexin y adems registrarla. De esta manera, a travs de Registros -> Consulta
registros del Cortafuegos podemos ver si una regla est funcionando correctamente.
3
SSH: Secure Shell permite la comunicacin segura entre dos mquinas usando principalmente como consola remota
63
Redirecciones de puertos
Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos Redirecciones de
puertos donde se puede hacer que todo el trfico dirigido a un puerto externo (o rango de puertos),
se direccione a una mquina que est escuchando en un puerto determinado haciendo la traduccin
de la direccin destino.
Para configurar una redireccin hay que establecer la interfaz donde se va a hacer la traduccin,
el destino original (puede ser eBox, una direccin IP o un objeto), el puerto de destino original
(puede ser cualquiera, un rango de puertos o un nico puerto), el protocolo, la origen desde donde se
iniciar la conexin (en una configuracin usual su valor ser cualquiera), la IP destino y, finalmente,
el puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original
o no. Existe tambin un campo opcional llamado descripcin que es til para aadir un comentario
que describa el propsito de la regla.
Segn el ejemplo, todas las conexiones que vayan a eBox a travs del interfaz eth0 al puerto
8080/TCP se redirigirn al puerto 80/TCP de la mquina con direccin IP 10.10.10.10.
Ejemplo prctico
Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la mquina
eBox. Aadir un servicio y una regla de cortafuegos para que una mquina interna pueda acceder al
servicio.
64
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Cortafuegos, para
ello marcar su casilla en la columna Estado.
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
3. Accin:
Crear un servicio interno a travs de Servicios con nombre netcat con puerto destino 6970.
Seguidamente, ir a Cortafuegos
Filtrado de paquetes en Reglas de filtrado desde las
redes internas a eBox aadir la regla con, al menos, los siguientes campos:
Decisin : ACEPTAR
Fuente : Cualquiera
Servicio : netcat. Creado en esta accin.
Una vez hecho esto. Guardar cambios para confirmar la configuracin.
Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que
permiten conectarse al mismo.
4. Accin: Lanzar desde la consola de eBox el siguiente comando:
nc -l -p 6970
5. Accin: Desde la mquina cliente comprobar que hay acceso a dicho servicio usando el comando nc:
nc <ip_eBox> 6970
Efecto Puedes enviar datos que sern visto en la terminal donde hayas lanzado netcat en
eBox.
65
3.3
Encaminamiento
3.3.1 Tablas de encaminamiento
El trmino encaminamiento hace referencia a la accin de decidir a travs de qu interfaz debe ser
enviado un determinado paquete que va a salir desde una mquina. El sistema operativo cuenta con
una tabla de encaminamiento con un conjunto de reglas para tomar esta decisin.
Cada una de estas reglas cuenta con diversos campos, pero los tres ms importantes son: direccin de destino, interfaz y router. Se deben de leer como sigue: para llegar a una direccin de
destino dada, tenemos que dirigir el paquete a travs de un router, el cual es accesible a travs de
una determinada interfaz.
Cuando llega un mensaje, se compara su direccin destino con las entradas en la tabla y se
enva por la interfaz indicada en la regla cuya direccin mejor coincide con el destino del paquete,
es decir, aquella regla que es ms especfica. Por ejemplo, si se especifica una regla en la que para
alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B
(10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino
10.15.23.23/32, entonces el sistema operativo decidir que se enve al router B ya que existe una
regla ms especfica.
Todas las mquinas tienen al menos una regla de encaminamiento para la interfaz de loopback,
o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o
con Internet.
Para realizar la configuracin manual de una tabla de rutas estticas se utiliza Red
Rutas
(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el
protocolo DHCP.
Puerta de enlace
A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, ste
se enviar a travs de la puerta de enlace.
La puerta de enlace (gateway ) es la ruta por omisin para los paquetes que se envan a otras
redes.
Para configurar una puerta de enlace se utiliza Red Puertas de enlace.
66
Figure 3.8: Configuracin de rutas
Habilitado: Indica si realmente esta puerta de enlace es efectiva o est desactivada.

Nombre: Nombre por el que identificaremos a la puerta de enlace.
Direccin IP: Direccin IP de la puerta de enlace. Esta direccin debe ser accesible desde la
mquina que contiene eBox.
Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de
enlace se enviarn a travs de esta interfaz.
Peso: Cuanto mayor sea el peso, ms trfico absorber esa puerta de enlace cuando est activado
el balanceo de carga.
Default: Si est activado, se toma esta como la puerta de enlace por omisin.
67
Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden aadir puertas de enlace
explticamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden
seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden
editar el resto de los atributos.
Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE
Ejemplo prctico A
Vamos a configurar la interfaz de red de manera esttica. La clase quedar dividida en dos
subredes.
Para ello:
Interfaces y seleccionar para el
interfaz de red eth0 el mtodo Esttico. Como direccin IP introducir la que indique el
instructor. Como Mscara de red 255.255.255.0. Pulsar el botn Cambiar.
La direccin de red tendr la forma 10.1.X.Y, dnde 10.1.X corresponde con la red e Y con la
mquina. En adelante usaremos estos valores.
Entrar en Red DNS y seleccionar Aadir. Introducir como Servidor de nombres 10.1.X.1.
Pulsar Aadir.
Efecto: Se ha activado el botn Guardar Cambios y la interfaz de red mantiene los datos
introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el
servidor recin creado.
Efecto: eBox muestra el progreso mientras aplica los cambios.
68
3. Accin: Acceder a Red Diagnstico. Hacer ping a ebox-platform.com.

Efecto: Se muestra como resultado:
connect: Network is unreachable

4. Accin: Acceder a Red Diagnstico. Hacer ping a una eBox de un compaero de aula que
forme parte de la misma subred.
est en la otra subred.
Ejemplo prctico B
Vamos a configurar una ruta para poder acceder a mquinas de otras subredes.
Para ello:
Rutas y seleccionar Aadir nuevo.
Rellenar el formulario con los siguientes valores:

Network 10.1.X.0 / 24
Gateway 10.1.1.1
Description Ruta a la otra subred
Pulsar el botn Aadir.
Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de rutas en la que
se incluye la ruta recin creada.
69

Ejemplo prctico C
Vamos a configurar una puerta de enlace que nos conecte con el resto de redes.
Para ello:
1. Accin: Acceder a la interfaz de eBox, entrar en Red Rutas y eliminar la ruta creada en el
ejercicio anterior.
Entrar en Red
Puertas de enlace y selecciona Aadir nuevo. Rellenar con los siguientes
datos:
Nombre Default Gateway
IP Address 10.1.X.1
Interface eth0
Weight 1
Default s
Efecto: Se ha activado el botn Guardar Cambios. Ha desaparecido la lista de rutas. Ha
aparecido una lista de puertas de enlace con la puerta de enlace recin creada.
70
3.3.2 Reglas multirouter y balanceo de carga

Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias
conexiones a Internet de una manera transparente. Esto es til si, por ejemplo, una oficina dispone
de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin
tener que preocuparnos de repartir el trabajo manualmente de las mquinas entre ambos routers, de
tal manera que la carga se distribuya automticamente entre ellos.
El balanceo de carga bsico reparte de manera equitativa los paquetes que salen de eBox hacia
Internet. La forma ms simple de configuracin es establecer diferentes pesos para cada router, de
manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer
un uso ptimo de ellas.
Las reglas multirouter permiten hacer que determinado tipo de trfico se enve siempre por el
mismo router en caso de que sea necesario. Ejemplos comunes son enviar siempre el correo electrnico por un determinado router o hacer que una determinada subred siempre salga a Internet por
el mismo router.
eBox utiliza las herramientas iproute2 e iptables para llevar a cabo la configuracin necesaria
para la funcionalidad de multirouter. Mediante iproute2 se informa al kernel de la disponibilidad
de varios routers. Para las reglas multirouter se usa iptables para marcar los paquetes que nos
interesan. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que
un paquete dado debe ser enviado.
Hay varios posibles problemas que hay que tener en cuenta. En primer lugar en iproute2 no existe
el concepto de conexin, por lo que sin ningn otro tipo de configuracin los paquetes pertenecientes
a una misma conexin podran acabar siendo enviados por diferentes routers, imposibilitando la comunicacin. Para solucionar esto se utiliza iptables para identificar las diferentes conexiones y asegurarnos que todos los paquetes de una conexin se envan por el mismo router.
Lo mismo ocurre con las conexiones entrantes que se establecen, todos los paquetes de respuesta a una conexin deben ser enviados por el mismo router por el cual se recibi esa conexin.
Para establecer una configuracin multirouter con balanceo de carga en eBox debemos definir
tantos routers como sean necesarios en Red Puertas de enlace. Utilizando el parmetro peso en
la configuracin de un router podemos determinar la proporcin de paquetes que cada uno de ellos
enviar. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente, por el
primer router se enviarn 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarn a
travs del segundo.
71
Las reglas multirouter y el balanceo de trfico se establecen en la seccin Red
Balanceo
de trfico. En esta seccin podemos aadir reglas para enviar ciertos paquetes a un determinado
router dependiendo de la interfaz de entrada, la fuente (puede ser una direccin IP, un objeto, eBox
o cualquiera), el destino (una direccin IP o un objeto de red), el servicio al que se quiere asociar
esta regla y por cual de los routers queremos direccionar el tipo de trfico especificado.
Ejemplo prctico D
Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona
utilizando la herramienta traceroute.
Para ello:
1. Accin: Ponerse por parejas, dejando una eBox con la configuracin actual y aadiendo en la
otra un nuevo gateway, accediendo a travs del interfaz a Red Puertas de enlace y pulsando
en Aadir nuevo, con los siguientes datos:
Nombre Gateway 2
Direccin IP <IP eBox compaero>
72
Interfaz eth0
Peso 1
Predeterminado s
Efecto: Se ha activado el botn Guardar Cambios. Ha aparecido una lista de puertas de
enlace con la puerta de enlace recin creada y la puerta de enlace anterior.
3. Accin: Ir a una consola y ejecutar el siguiente script:
for i in $(seq 1 254); do sudo traceroute -I -n 155.210.33.$i -m 6; done

Efecto: El resultado de una ejecucin de traceroute muestra los diferentes routers por los
que un paquete pasa para llegar a su destino. Al ejecutarlo en una mquina con configuracin multirouter el resultado de los primeros saltos entre routers debera ser diferente
dependiendo del router elegido.
3.3.3 Tolerancia a fallos (WAN Failover)

Si se est balanceando trfico entre dos o ms routers esta caracterstica es realmente til. En un
escenario normal sin tolerancia a fallos, supngase que se est balanceando el trfico entre dos
routers y uno de ellos se cae. Asumiendo que los dos routers tengan el mismo peso, la mitad del
trfico seguira intentando salir por el router cado, causando problemas de conectividad a todos los
clientes de la red.
En la configuracin del failover se pueden definir conjuntos de reglas para cada router que necesite ser comprobado. Estas reglas pueden ser un ping al router, a una mquina externa, una resolucin de DNS o una peticin HTTP. Tambin se puede definir cuntas pruebas se quieren realizar as
como el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje
de aceptacin, el router asociado a ella ser desactivado. Pero las pruebas se siguen ejecutando, por
tanto, en cuanto el router vuelva a estar operativo, todas las pruebas se ejecutarn satisfactoriamente
y el router ser activado de nuevo.
Deshabilitar un router sin conexin tiene como consecuencia que todo el trfico salga por el otro
router que sigue habilitado, en lugar de ser balanceado. De esta forma, los usuarios de la red no
73
deberan sufrir problemas con su conexin a Internet. Una vez que eBox detecta que el router cado
est completamente operativo se restaura el comportamiento normal de balanceo de trfico.
El failover est implementado como un evento de eBox. Para usarlo, primero se necesita tener el
mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.
Para configurar las opciones y reglas del failover se debe acudir al men Red
WAN Failover.
Se puede especificar el periodo del evento modificando el valor de la opcin Tiempo entre revisiones.
Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario
con los siguientes campos:
Habilitado: Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de
los routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las
necesidades, sin tener que borrarlas y aadirlas de nuevo.
Router: Se encuentra previamente rellenado con la lista de routers configurados, slo se necesita
seleccionar uno de ellos.
4
Para ms detalles acerca de cmo funcionan y como se configuran los eventos en eBox se puede consultar el captulo
Incidencias (eventos y alertas).
74
Tipo de prueba: Puede tomar uno de los siguientes valores:

Ping a puerta de enlace: Enva un paquete ICMP echo con la direccin de la puerta de enlace como destino.
Ping a mquina: Enva un paquete ICMP echo con la direccin IP de la mquina externa
especificada abajo como destino.
Resolucin DNS: Intenta obtener la direccin IP para el nombre de mquina especificado
abajo.
Peticin HTTP: Se descarga el contenido del sitio web especificado abajo.
Mquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping
a puerta de enlace.
Nmero de pruebas: Nmero de veces que se repite la prueba.
Ratio de xito requerido: Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la prueba.
Se recomienda configurar un emisor de eventos para estar al tanto de las conexiones y desconexiones de routers que puedan producirse. Si no se hace esto, los eventos sern registrados solamente
en el fichero /var/log/ebox/ebox.log.
3.4
Moldeado de trfico
3.4.1 Calidad de servicio (QoS)
La calidad de servicio (Quality of Service, QoS) en redes de computadores se refiere a los mecanismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de
datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impuestas por la aplicacin. Restricciones como el retraso en la entrega, la tasa de bit, la probabilidad de
prdida de paquetes o la variacin de retraso por paquete 5 pueden estar fijadas por diversas aplicaciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos slo aplican cuando
los recursos son limitados (redes inalmbricas celulares) o cuando hay congestin en la red, en caso
contrario no se deberan aplicarse dichos mecanismos.
Existen diversas tcnicas para dar calidad de servicio:
5
jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes
seleccionados de un flujo.
75
Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para
pedir y reservar espacio en los encaminadores. Sin embargo, esta opcin se ha relegado
ya que no escala bien en el crecimiento de Internet.
Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el servicio al que sirven. Dependiendo de las marcas, los encaminadores usarn diversas tcnicas
de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta tcnica est actualmente aceptada.
Como aadido a estos sistemas, existen mecanismos de gestin de ancho de banda para mejorar
la calidad de servicio basada en el moldeado de trfico, algoritmos de scheduling o evitacin de
la congestin.
Para el moldeado de trfico existen bsicamente dos algoritmos:
Token bucket: Dicta cuando el trfico puede transmitirse, basado en la presencia de tokens en el
bucket (sitio virtual donde almacenar tokens). Cada token es una unidad de Bytes determinada, as cada vez que se envan datos, se consumen tokens, cuando no hay tokens no es
posible transmitir datos. Se proveen tokens peridicamente a cada uno de los buckets. Con
esta tcnica se permite el envo de datos en perodos de alta demanda 6 .
Leaky bucket: Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket
hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a
una tasa continua y estable a travs de dicho agujero.
3.4.2 Configuracin de la calidad de servicio en eBox

eBox utiliza las capacidades del ncleo de Linux 7 para hacer moldeado de trfico usando token bucket
que permite una tasa garantizada, limitada y una prioridad a determinados tipos de flujos de datos
(protocolo y puerto) a travs del men Moldeado de trfico Reglas.
Para poder realizar moldeado de trfico es necesario disponer de al menos una interfaz interna y
una interfaz externa. Tambin debe existir un router. Adems debemos configurar las tasas de subida
y bajada de los routers en Moldeado de trfico Tasas de Interfaz, estableciendo el ancho de banda
que nos proporciona cada router que est conectado a una interfaz externa. Las reglas de moldeado
son especficas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda
asignado y a todas las interfaces internas.
6
7
76
Trmino conocido como burst.

Linux Advanced Routing & Traffic Control http://lartc.org
Si se moldea la interfaz externa, entonces se estar limitando el trfico de salida de eBox hacia
Internet. En cambio, si se moldea la interfaz interna, entonces se estar limitando la salida de eBox
hacia sus redes internas. El lmite mximo de tasa de salida y entrada viene dado por la configuracin
en Moldeado de trfico Tasas de Interfaz. Como se puede observar, no se puede moldear el trfico
entrante en s, eso es debido a que el trfico proveniente de la red no es predecible y controlable de
casi ninguna forma. Existen tcnicas especficas a diversos protocolos para tratar de controlar el
trfico entrante a eBox, como por ejemplo, TCP con el ajuste artificial del tamao de ventana de flujo
de la conexin TCP o controlando la tasa de confirmaciones (ACK ) devueltas al emisor.
Para cada interfaz se pueden aadir reglas para dar prioridad (0: mxima prioridad, 7: mnima
prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarn al trfico determinado por el
servicio, origen y destino del flujo.
Figure 3.10: Reglas de moldeado de trfico
Ejemplo prctico
Crear una regla para moldear el trfico de bajada HTTP y limitarlo a 20KB/s. Comprobar su funcionamiento.
1. Accin: Aadir un router a travs de Red Routers a tu interfaz de red externo.
Efecto: Se ha activado el botn Guardar Cambios. La lista de puertas de enlace contiene un
nico router.
3. Accin: Acceder de nuevo a la interfaz de eBox y aadir en Servicios un servicio llamado
HTTP con protocolo TCP, tipo externo y puerto de destino simple 80.
77
Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio
HTTP.
4. Accin: Ir a la entrada Moldeado de trfico
Reglas. Seleccionar la interfaz interna en la
lista de interfaces y pulsar en Aadir nuevo para aadir una nueva regla con los siguientes
datos:
Habilitada S
Servicio Servicio basado en puerto / HTTP
Origen cualquiera
Destino cualquiera
Prioridad 7
Tasa garantizada 0 Kb/s
Tasa limitada 160 Kb/s
Efecto: eBox muestra una tabla con la nueva regla de moldeado de trfico.
5. Accin: Comenzar a descargar desde una mquina de tu LAN (distinta de eBox) usando el
comando wget un fichero grande accesible desde Internet (por ejemplo, una imagen ISO de
Ubuntu).
Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s).
3.5
RADIUS
RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticacin, autorizacin y gestin de la tarificacin, en ingls AAA (Authentication, Authorization and
Accounting) para ordenadores que se conectan y usan una red.
El flujo de autenticacin y autorizacin en RADIUS funciona de la siguiente manera: el usuario
o mquina enva una peticin a un NAS (Network Access Server ) como podra ser un punto de
acceso inalmbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red utilizando los credenciales de acceso. En respuesta, el NAS enva un mensaje Access Request al
servidor RADIUS solicitando autorizacin para acceder a la red, incluyendo todos los credenciales
de acceso necesarios, no solo nombre de usuario y contrasea, pero probablemente tambin realm,
78
direccin IP, VLAN asignada y tiempo mximo que podr permanecer conectado. Esta informacin
se comprueba utilizando esquemas de autenticacin como Password Authentication Protocol (PAP),
Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP)
y se enva una respuesta al NAS:

Access Reject: Cuando se deniega el acceso al usuario.
Access Challenge: Cuando se solicita informacin adicional, como en TTLS donde un dilogo a
travs de un tnel establecido entre el servidor RADIUS y el cliente realiza una segunda autenticacin.
Access Accept: Cuando se autoriza el acceso al usuario.
Los puertos oficialmente asignados por el IANA son 1812/UDP para autenticacin y 1813/UDP
para tarificacin. Este protocolo no transmite las contraseas en texto plano entre el NAS y el servidor
(incluso utilizando el protocolo PAP) ya que existe una contrasea compartida que cifra la comunicacin entre ambas partes.
El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en eBox.
3.5.1 Configuracin del servidor RADIUS con eBox

Para configurar el servidor RADIUS en eBox, primero comprobaremos en Estado del Mdulo si Usuarios y Grupos est habilitado, ya que RADIUS depende de l. Entonces marcaremos la casilla RADIUS para habilitar el mdulo de eBox de RADIUS.
Para configurar el servicio, accederemos a RADIUS en el men izquierdo. All podremos definir si
Todos los usuarios o slamente los usuarios que pertenecen a uno de los grupos existentes podrn
acceder al servicio.
Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacin a eBox deben ser
especificados en Clientes RADIUS. Para cada uno podemos definir:
Habilitado: Indicando si el NAS est habilitado o no.
Cliente: El nombre para este cliente, como podra ser el nombre de la mquina.
Direccin IP: La direccin IP o el rango de direcciones IP a las que se permite enviar peticiones al
servidor RADIUS.
8
Estos protocolos de autenticacin estn definidos en RFC 1334.
FreeRADIUS - El servidor RADIUS ms popular del mundo <http://freeradius.org/>.
79
Figure 3.11: Configuracin general de RADIUS
Contrasea compartida: Contrasea compartida entre el servidor RADIUS y el NAS para autenticar
y cifrar sus comunicaciones.
3.5.2 Configuracin del Punto de Acceso

En cada dispositivo NAS necesitaremos configurar la direccin de eBox como el servidor RADIUS,
el puerto, normalmente el UDP/1812, y la contrasea compartida. Tanto WPA como WPA2, usando
TKIP o AES (recomendado) pueden usarse con eBox RADIUS. El modo deber ser EAP.
3.6
Servicio Proxy HTTP

Un servidor Proxy Cach Web se utiliza para reducir el consumo de ancho de banda en una conexin
HTTP (Web) 10 , controlar su acceso, mejorar la seguridad en la navegacin e incrementar la velocidad
de recepcin de pginas de la red.
Un proxy es un programa que acta de intermediario en la conexin a un protocolo, en este
caso el protocolo HTTP. Al intermediar puede modificar el comportamiento del protocolo, por ejemplo
actuando de cach o modificando los datos recibidos.
El servicio de proxy HTTP suministrado por eBox ofrece las siguientes funcionalidades:
10
80
Para ms informacin sobre el servicio HTTP, ir a la seccin Servicio de publicacin de informacin web (HTTP).
Figure 3.12: Configuracin del Punto de Acceso
81
Acta de cach de contenidos acelerando la navegacin y reduciendo el consumo de ancho

de banda.
Restriccin de acceso dependiendo de la direccin de red de origen, de usuario o de horario.
Anti-virus, bloqueando el acceso a contenidos infectados.
Restriccin de acceso a determinados dominios y tipos de fichero.
Filtrado de contenidos.
eBox utiliza Squid 11 como proxy, apoyndose en Dansguardian 12 para el control de contenidos.
3.6.1 Configuracin de poltica de acceso

La parte ms importante de configurar el proxy HTTP es establecer la poltica de acceso al contenido
web a travs de l. La poltica determina si se puede acceder a la web y si se aplica del filtro de
contenidos.
El primer paso a realizar es definir una poltica global de acceso. Podemos establecerla en la
seccin Proxy HTTP General, seleccionando una de las seis polticas disponibles:
Permitir todo: Con esta poltica se permite a los usuarios navegar sin restricciones. Esta falta de
restricciones no significa que no puedan disfrutar de las ventajas de la cach de pginas web.
11
12
82
Squid: http://www.squid-cache.org Squid Web Proxy Cache

Dansguardian: http://www.dansguardian.org Web content filtering
Denegar todo: Esta poltica deniega el acceso web. A primera vista podra parecer poco til ya que el
mismo efecto se puede conseguir ms fcilmente con una regla de cortafuegos. Sin embargo,
como explicaremos posteriormente podemos establecer polticas particulares para cada objeto
de red, pudiendo usar esta poltica para denegar por defecto y luego aceptar las peticiones
web para determinados objetos.
Filtrar: Esta poltica permite el acceso y activa el filtrado de contenidos que puede denegar el acceso
web segn el contenido solicitado por los usuarios.
Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. La autorizacin se explicar en
la seccin Configuracin Avanzada para el proxy HTTP.
Tras establecer la poltica global, podemos refinar nuestra poltica asignando polticas particulares
a objetos de red. Para asignarlas entraremos en la seccin Proxy HTTP Poltica de objetos.
Podremos elegir cualquiera de las seis polticas para cada objeto; cuando se acceda al proxy
desde cualquier miembro del objeto esta poltica tendr preferencia sobre la poltica global. Una
direccin de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los
objetos para reflejar la prioridad. Se aplicar la poltica del objeto de mayor prioridad que contenga la
direccin de red. Adems existe la posibilidad de definir un rango horario fuera del cual no se permitira
acceso al objeto de red.
Warning: La opcin de rango horario no es compatible para polticas que usen filtrado de contenidos.
83
Figure 3.13: Polticas de acceso web para objetos de red
3.6.2 Conexin al proxy y modo transparente

Para conectar al proxy HTTP, los usuarios deben configurar su navegador estableciendo eBox como
proxy web. El mtodo especfico depende del navegador, pero la informacin necesaria es la direccin
del servidor de eBox y el puerto donde acepta peticiones el proxy.
El proxy de eBox Platform nicamente acepta conexiones provenientes de sus interfaces de red
internas, por tanto, se debe usar una direccin interna en la configuracin del navegador.
El puerto por defecto es el 3128, pero se puede configurar desde la seccin Proxy HTTP
General. Otros puertos tpicos para servicios de proxy web son el 8000 y el 8080.
Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy, deberamos tener denegado el trfico HTTP en nuestro cortafuegos.
Una manera de evitar la necesidad de configurar cada navegador es usar el modo transparente. En este modo, eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia
las redes externas a eBox (Internet) sern redirigidas al proxy. Para activar este modo debemos ir
a la pgina Proxy HTTP
General y marcar la opcin proxy transparente. Como veremos en
Configuracin Avanzada para el proxy HTTP, el modo transparente es incompatible con polticas que
requieran autorizacin.
Por ltimo, hay que tener en cuenta que el trfico Web seguro (HTTPS) no puede ser filtrado al
estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos
para las redes internas hacia Internet dando acceso garantizado al trfico HTTPS.
84
3.6.3 Control de parmetros de la cach

En el apartado Proxy HTTP
General es posible definir el tamao de la cach en disco y qu
direcciones estn exentas de su uso.

El tamao de la cach controla el mximo de espacio usado para almacenar los elementos web
cacheados. El tamao se establece en el campo Tamao de ficheros de cach que se puede
encontrar bajo el encabezado Configuracin General.
Con un mayor tamao se aumentar la probabilidad de que se pueda recuperar un elemento
desde la cach, pudiendo incrementar la velocidad de navegacin y reducir el uso de ancho de banda.
Sin embargo, el aumento de tamao tiene como consecuencias negativas no slo el aumento de
espacio usado en el disco duro sino tambin un aumento en el uso de la memoria RAM, ya que la
cach debe mantener ndices a los elementos almacenados en el disco duro.
Corresponde a cada administrador decidir cual es el tamao ptimo para la cach teniendo en
cuenta las caractersticas de la mquina y el trfico web esperado.
Es posible indicar dominios que estn exentos del uso de la cach. Por ejemplo, si tenemos
servidores web locales no se acelerar su funcionamiento usando la cach HTTP y se malgastara
memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la
cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern
directamente los datos recibidos desde el servidor sin almacenarlos.
Dichos dominios se definen bajo el encabezado Excepciones a la cach que podemos encontrar
en la seccin Proxy HTTP General.
3.6.4 Filtrado de contenidos web

eBox permite el filtrado de pginas web segn su contenido. Para que el filtrado tenga lugar la poltica
global o la particular de cada objeto desde que se accede deber ser de Filtrar o Autorizar y Filtrar.
Con eBox se pueden definir mltiples perfiles de filtrado pero slo trataremos en esta seccin el
perfil por defecto, dejando la discusin de mltiples perfiles para la seccin Configuracin Avanzada
para el proxy HTTP. Para configurar las opciones de filtrado, iremos a Proxy HTTP
Perfiles de
Filtrado y seleccionaremos la configuracin del perfil por defecto
85
El filtrado de contenidos de la pginas Web se basa en diferentes mtodos incluyendo marcado

de frases clave, filtrado heurstico y otros filtros ms sencillos. La conclusin final es determinar si una
pgina puede ser visitada o no.
El primer filtro es el anti-virus. Para poder utilizarlo debemos tener el mdulo de antivirus instalado y activado. Podemos configurar si deseamos activarlo o no. Si est activado se bloquear el
trfico HTTP en el que sean detectados virus.
El filtro de contenidos principalmente consiste en el anlisis de los textos presentes en las paginas
web, si se considera que el contenido no es apropiado (pornografa, violencia, etc) se bloquear el
acceso a la pgina.
Para controlar este proceso se puede establecer un umbral ms o menos restrictivo, siendo este
el valor que se comparar con la puntuacin asignada a la pgina para decidir si se bloquea o no. El
lugar donde establecer el umbral es la seccin Umbral de filtrado de contenido. Tambin se puede
desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este anlisis
se puede llegar a bloquear paginas inocuas, este problema se puede remediar aadiendo dominios a
una lista blanca, pero siempre existir el riesgo de un falso positivo con pginas desconocidas.
Existen otro tipo de filtros de carcter explcito:
Por dominio: Prohibiendo el acceso a la pgina de un diario deportivo en una empresa.
Por extensin del fichero a descargar.
Por tipo de contenidos MIME: Denegando la descarga de todos los ficheros de audio o vdeo.
Estos filtros estn dispuestos en la interfaz por medio de las pestaas Filtro de extensiones de
fichero, Filtro de tipos MIME y Filtro de dominios,
86
En la pestaa de Filtro de extensiones de fichero se puede seleccionar que extensiones sern

bloqueadas.
De manera similar en Filtro de tipos MIME se puede indicar qu tipos MIME se quieren bloquear
y aadir otros nuevos si es necesario. Los tipos MIME (Multipurpose Internet Mail Extensions) son
un estndar, concebido para extender las capacidades del correo electrnico, que define los tipos de
contenidos. Estos tambin se usan en otros protocolos como el HTTP para determinar el contenido
de los ficheros que se transmiten. Un ejemplo de tipo MIME es text/html que son las pginas Web. El
primero de los elementos determina el tipo de contenido que almacena (texto, vdeo, audio, imagen,
binario, ...) y el segundo el formato especfico para representar dicho contenido (HTML, MPEG, gzip,
...).
En la pestaa de Filtro de dominios encontraremos los parametros que controlan el filtrado de
paginas en base al dominio al que pertenecen. Existen dos opciones de carcter general:
87
Bloquear dominios especificados slo como IP, esta opcin bloquea cualquier dominio especificado nicamente por su IP asegurndonos as que no es posible encontrar una manera
de saltarse nuestras reglas mediante el uso de direcciones IP.
Bloquear dominios no listados, esta opcin bloquea todos los dominios que no estn presentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas
de dominios. En este ltimo caso, las categorias con una poltica de Ignorar no son consideradas como listadas.
A continuacin tenemos, la lista de dominios, donde podemos introducir nombres de dominio y
seleccionar una poltica para ellos entre las siguientes:
Permitir siempre: El acceso a los contenidos del dominio ser siempre permitido, todos los filtros del
filtro de contenido son ignorados.
Denegar siempre: El acceso nunca se permitir a los contenidos de este dominio.
Filtrar: Se aplicarn las reglas usuales a este dominio. Resulta til si est activada la opcin Bloquear dominios no listados.
En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceras
88
partes y tienen la ventaja de que los dominios estn clasificados por categoras, permitindonos seleccionar una poltica para una categora entera de dominios. eBox soporta las listas distribuidas por
urlblacklist
13
, shallas blacklists
14
y cualquiera que use el mismo formato.
Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo,
podemos incorporarlo a nuestra configuracin y establecer polticas para las distintas categoras de
dominios.
Las polticas que se pueden establecer en cada categora son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categora. Existe una poltica
adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categora a la
hora de filtrar. Dicha poltica es la elegida por defecto para todas las categoras.
Ejemplo prctico
Activar el modo transparente del proxy. Comprobar usando los comandos de iptables las reglas de
NAT que ha aadido eBox para activar este modo
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy HTTP, para
ello marcar su casilla en la columna Estado.
13
14
URLBlacklist: http://www.urlblacklist.com
Shallas blacklist: http://www.shallalist.de
89
3. Accin: Ir a Proxy HTTP
General, activar la casilla de Modo transparente. Asegurarnos
que eBox puede actuar como router, es decir, que haya al menos una interfaz de red externa y
otra interna.
Efecto: El modo transparente est configurado
4. Accin: Guardar cambios para confirmar la configuracin
Efecto: Se reiniciarn los servicios de cortafuegos y proxy HTTP.
5. Accin: Desde la consola en la mquina en la que est eBox, ejecutar el comando
iptables -t nat -vL.

Efecto: La salida de dicho comando debe ser algo parecido a esto:
Chain PREROUTING (policy ACCEPT 7289 packets, 1222K bytes)

pkts bytes target
prot opt in
out
source
destination
799 88715 premodules all -- any
any
anywhere
anywhere
Chain POSTROUTING (policy ACCEPT 193 packets, 14492 bytes)

pkts bytes target
prot opt in
out
source
destination
29 2321 postmodules all -- any
any
anywhere
anywhere
0
0 SNAT
all -- any
eth2 !10.1.1.1
anywhere to:10.1.1.
90
Chain OUTPUT (policy ACCEPT 5702 packets, 291K bytes)

pkts bytes target
prot opt in
out
source
destination
Chain postmodules (1 references)

pkts bytes target
prot opt in
out
destination
Chain premodules (1 references)

pkts bytes target
prot opt in
0
0 REDIRECT
tcp -- eth3
out
any
source
source
destination
anywhere !192.168.45.204
tcp
Chapter 4
eBox Office
Uno de los fundamentos de la creacin de las redes de computadores, fue la comparticin de recursos
y de informacin 1 . A lo largo de todo este captulo, se van a ir explorando los diferentes recursos de
informacin disponibles en una red de rea local dispuesta en casa o en la oficina.
La gestin de usuarios y grupos a travs de un servicio de directorio para todos los servicios
de la red de forma unificada, el empleo de ficheros e impresoras compartidas, adems de todos los
servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado.
4.1
Servicio de directorio (LDAP)

Para almacenar y organizar la informacin relativa a organizaciones (en nuestro caso, usuarios y grupos) se utilizan los servicios de directorio. Estos permiten a los administradores de la red manejar
el acceso a los recursos por parte de los usuarios aadiendo una capa de abstraccin entre ambos.
Este servicio da una interfaz de acceso a la informacin. Tambin acta como una autoridad central y
comn a travs de la cual los usuarios se pueden autenticar de manera segura.
Se podra hacer la analoga entre un servicio de directorio y las pginas amarillas. Entre sus
caractersticas destacan:
La informacin es muchas ms veces leda que escrita.
Estructura jerrquica que simula la arquitectura de las organizaciones.
1
De hecho, se considera la motivacin principal de su creacin.
91
A cada clase de objeto, estandarizada por la IANA 2 , se le definen unas propiedades sobre las
cuales se pueden definir listas de control de acceso (ACLs).
Existen mltiples implementaciones del servicio de directorio entre las que destacamos NIS,
OpenLDAP, ActiveDirectory, etc. eBox usa OpenLDAP como servicio de directorio con tecnologa
Samba para controlador de dominios Windows adems de para la comparticin de ficheros e impresoras.
4.1.1 Usuarios y grupos

Normalmente, en la gestin de una organizacin de mayor o menor tamao existe la concepcin
de usuario o grupo. Para facilitar la tarea de administracin de recursos compartidos se diferencia
entre entre usuarios y grupos de ellos. Cada uno de los cuales puede tener diferentes privilegios con
respecto a los recursos de la organizacin.
Gestin de los usuarios y grupos en eBox
Modos
Como se ha explicado, eBox est diseada de manera modular, permitiendo al administrador
distribuir los servicios entre varias mquinas de la red. Para que esto sea posible, el mdulo de
usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir
usuarios entre las diferentes eBoxes.
Por defecto y a no ser que se indique lo contrario en el men Usuarios y Grupos
Modo, el
mdulo se configurar como un directorio LDAP maestro y el Nombre Distinguido (DN) del directorio
se establecer de acuerdo al nombre de la mquina. Si se desea configurar un DN diferente, se puede
hacer en la entrada de texto LDAP DN.
2
Internet Assigned Numbers Authority (IANA) es una organizacin que se encarga de la asignacin de direcciones IP
pblicas, nombres de dominio de mximo nivel (TLD), etc. http://www.iana.org/
92
CHAPTER 4. EBOX OFFICE
Otras eBoxes pueden ser configuradas para usar un maestro como fuente de sus usuarios, convirtindose as en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en
Usuarios y Grupos Modo. La configuracin del esclavo necesita dos datos ms, la IP o nombre de
mquina del directorio maestro y su clave de LDAP. Esta clave no es la de eBox, sino una generada
automticamente al activar el mdulo usuarios y grupos. Su valor puede ser obtenido en el campo
Contrasea de la opcin de men Usuarios y Grupos Datos LDAP en la eBox maestra.
Hay un requisito ms antes de registrar una eBox esclava en una eBox maestra. El maestro debe
de ser capaz de resolver el nombre de mquina del esclavo utilizando DNS. Hay varias maneras de
conseguir esto. La ms sencilla es aadir una entrada para el esclavo en el fichero /etc/hosts del
maestro. Otra opcin es configurar el servicio DNS en eBox, incluyendo el nombre de mquina del
esclavo y la direccin IP.
Si el mdulo cortafuegos est habilitado en la eBox maestra, debe ser configurado de manera
que permita el trfico entrante de los esclavos. Por defecto, el cortafuegos prohbe este trfico, por lo
que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir.
93
Una vez todos los parmetros han sido establecidos y el nombre de mquina del esclavo puede
ser resuelto desde el maestro, el esclavo puede registrarse en la eBox maestra habilitando el mdulo
de usuarios y grupos en Estado de los mdulos.
Los esclavos crean una rplica del directorio maestro cuando se registran por primera vez, que
se mantiene actualizada automticamente cuando se aaden nuevos usuarios y grupos. Se puede
ver la lista de esclavos en el men Usuarios y grupos Estado de los esclavos de la eBox maestra.
Los mdulos que utilizan usuarios como por ejemplo correo y comparticin de ficheros pueden
instalarse ahora en los esclavos y utilizarn los usuarios disponibles en la eBox maestra. Algunos
mdulos necesitan que se ejecuten algunas acciones cuando se aaden usuarios, como por ejemplo
comparticin de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro
notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a
los esclavos de ejecutar las acciones apropiadas.
Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno
de los esclavos est apagado. En ese caso, el maestro recordar que hay acciones pendientes que
deben realizarse y lo reintentar peridicamente. El usuario puede comprobar tambin el estado
de los esclavos en Usuarios y Grupos
Estado de Esclavo y forzar el reintento de las acciones
manualmente. Desde esta seccin tambin es posible borrar un esclavo.

Hay una importante limitacin en la arquitectura maestro/esclavo actual. El maestro eBox no
puede tener instalados mdulos que dependan de usuarios y grupos, como por ejemplo comparticin de ficheros o correo. Si el maestro tiene alguno de estos mdulos instalados, deben ser
desinstalados antes de intentar registrar un esclavo en l.
Si en algn momento se desea cambiar el modo de operacin del mdulo usuarios y grupos, se
puede hacer ejecutando el script:
94
# sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall
Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los
usuarios y grupos actuales y reinstalando desde cero un directorio vaco que puede ser configurado
en un modo diferente.
Creacin de usuarios y grupos

Se puede crear un grupo desde el men Usuarios y Grupos
Grupos. Un grupo se identifica
por su nombre, y puede contener una descripcin.
A travs de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder
editarlos o borrarlos.
Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, adems
de la informacin que tiene que ver con aquellos mdulos de eBox instalados que poseen alguna
configuracin especfica para los grupos de usuarios.
95
Entre otras cosas con grupos de usuarios es posible:

Disponer de un directorio compartido entre los usuarios de un grupo.
Dar permisos sobre una impresora a todos los usuarios de un grupo.
Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo.
Asignar permisos de acceso a las distintas aplicaciones de eGroupware a todos los usuarios
de un grupo.
Los usuarios se crean desde el men Usuarios y Grupos Usuarios, donde tendremos que
rellenar la siguiente informacin:
Nombre de usuario: Nombre que tendr el usuario en el sistema, ser el nombre que use para
identificarse en los procesos de autenticacin.
Nombre: Nombre del usuario.
Apellidos: Apellidos del usuario.
Comentario: Informacin adicional sobre el usuario.
Contrasea: Contrasea que emplear el usuario en los procesos de autenticacin. Esta informacin
se tendr que dar dos veces para evitar introducirla incorrectamente.
Grupo: Es posible aadir el usuario a un grupo en el momento de su creacin.
Desde Usuarios y Grupos
eliminarlos.
96
Usuarios se puede obtener un listado de los usuarios, editarlos o
Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre
del usuario, adems de la informacin que tiene que ver con aquellos mdulos de eBox instalados
que poseen alguna configuracin especfica para los usuarios. Tambin se puede modificar la lista de
grupos a los que pertenece.
Editando un usuario es posible:

Crear una cuenta para el servidor Jabber.
Crear una cuenta para la comparticin de ficheros o de PDC con una cuota personalizada.
Dar permisos al usuario para usar una impresora.
Crear una cuenta de correo electrnico para el usuario y aliases para la misma.
Asignar permisos de acceso a las distintas aplicaciones de eGroupware.
Asignar una extensin telefnica a dicho usuario.
97
En una configuracin maestro-esclavo, los campos bsicos de usuarios y grupos se editan desde
el maestro, mientras que el resto de atributos relacionados con otros mdulos instalados en un esclavo
dado se editan desde el mismo.
Rincn del Usuario

Los datos del usuario slo pueden ser modificados por el administrador de eBox lo cual comienza a
ser no escalable cuando el nmero de usuarios que se gestiona comienza a ser grande. Tareas de
administracin como cambiar la contrasea de un usuario puede hacer perder la mayora del tiempo
del encargado de dicha labor. De ah surge la necesidad del nacimiento del rincn del usuario. Dicho
rincn es un servicio de eBox para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe
ser habilitada como el resto de mdulos. El rincn del usuario se encuentra escuchando en otro
puerto por otro proceso para aumentar la seguridad del sistema.
El usuario puede entrar en el rincn del usuario a travs de:

https://<ip_de_eBox>:<puerto_rincon_usuario>/
Una vez el usuario introduce su nombre y su contrasea puede realizar cambios en su configuracin personal. Por ahora, la funcionalidad que se presenta es la siguiente:
Cambiar la contrasea actual.
Configuracin del buzn de voz del usuario.
Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido
en su cuenta del servidor de correo en eBox.
98
Ejemplo prctico A
Crear un grupo en eBox llamado contabilidad.
Para ello:
1. Accin: Activar el mdulo usuarios y grupos. Entrar en Estado de los mdulos y activar el
mdulo en caso de que no est habilitado.
Efecto: El mdulo est activado y listo para ser usado.
2. Accin: Acceder a Usuarios y Grupos
Grupos. Aadir contabilidad como grupo. El
parmetro comentario es opcional.

Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios
ya que las acciones sobre LDAP tienen efecto inmediato.
Ejemplo prctico B
Crear el usuario pedro y aadirlo al grupo contabilidad.
Para ello:
1. Accin: Acceder a Usuarios
Aadir usuario. Rellenar los distintos campos para nuestro
nuevo usuario. Se puede aadir al usuario pedro al grupo contabilidad desde esta pantalla.
Efecto: El usuario ha sido aadido al sistema y al grupo contabilidad.
Comprobar desde consola que hemos aadido a nuestro usuario correctamente:
99
1. Accin: Ejecutar en la consola el comando:
# id pedro
Efecto: El resultado debera de ser algo como esto:
uid=2003(pedro) gid=1901(__USERS__)
groups=1901(__USERS__) ,2004(contabilidad)
4.2
Servicio de comparticin de ficheros y de autenticacin

4.2.1 Comparticin de ficheros
La comparticin de ficheros se realiza a travs de un sistema de ficheros en red. Los principales sistemas existentes para ello son Network File System (NFS), de Sun Microsystems, que fue el primero
en crearse, Andrew File System (AFS) y Common Internet File System (CIFS) tambin conocido como
Server Message Block (SMB).
A los clientes se les da la abstraccin de estar haciendo operaciones (creacin, lectura, escritura)
sobre ficheros en un medio de almacenamiento de la misma mquina. Sin embargo, esta informacin
puede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localizacin.
Idealmente, el cliente no debera saber si el fichero se almacena en la propia mquina o se dispersa
por la red. En realidad, eso no es posible debido a los retardos de la red y las cuestiones relacionadas
con la actualizacin concurrente de ficheros comunes y que no deberan interferir entre ellas.
4.2.2 SMB/CIFS y su implementacin Linux Samba

El SMB (Server Message Block ) o CIFS (Common Internet File System) se usa para compartir el
acceso a ficheros, impresoras, puertos serie y otra serie de comunicaciones entre nodos en una red
local. Tambin ofrece mecanismos de autenticacin entre procesos. Se usa principalmente entre
ordenadores Windows, sin embargo, existen implementaciones en otros sistemas operativos como
GNU/Linux a travs de Samba que implementa los protocolos de los sistemas Windows utilizando
ingeniera inversa 3 .
3
100
La ingeniera inversa trata de averiguar los protocolos de comunicacin usando para ello nicamente sus mensajes.
Ante el auge de otros sistemas de comparticin de ficheros, Microsoft decidi renombrar SMB a
CIFS aadiendo nuevas caractersticas como enlaces simblicos y fuertes, mayores tamaos para los
ficheros y evitar el uso de NetBIOS 4 sobre el que SMB se basa.
4.2.3 Primary Domain Controller (PDC)

Un PDC es un servidor de dominios de versiones Windows NT previas a Windows 2000. Un dominio,
segn este entorno, es un sistema que permite el acceso restringido a una serie de recursos con el
uso de un nica combinacin nombre de usuario y contrasea. Por tanto, es posible utilizarlo para
permitir la entrada en el sistema con control de acceso remoto. PDC tambin ha sido recreado por
Samba dentro del sistema de autenticacin de SMB. En las versiones ms modernas de Windows ha
pasado a denominarse simplemente Domain Controller.
4.2.4 eBox como servidor de ficheros

Nosotros nos vamos a aprovechar de la implementacin de SMB/CIFS para Linux usando Samba
como servidor de ficheros y de autenticacin de sistemas operativos Windows en eBox.
Los servicios de comparticin de ficheros estn activos cuando el mdulo de Comparticin de
ficheros est activo, sin importar si la funcin de PDC est activa.
Con eBox la comparticin de ficheros est integrada con los usuarios y grupos. De tal manera
que cada usuario tendr su directorio personal y cada grupo puede tener un directorio compartido
para todos sus usuarios.
El directorio personal de cada usuario es compartido automticamente y solo puede ser accedido
por el correspondiente usuario.
Tambin se puede crear un directorio compartido para un grupo desde Grupos
Editar grupo.
Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los ficheros y
directorios dentro de dicho directorio compartido.
4
NetBIOS (Network Basic Input/Output System): API que permite la comunicacin en una red de rea local entre
ordenadores diferentes dando a cada mquina un nombre NetBIOS y una direccin IP correspondiente a un (posiblemente
diferente) nombre de mquina.
101
Ir a Compartir Ficheros
Configuracin general para configurar los parmetros generales del
servicio de comparticin de ficheros. Establecemos como dominio dnde se trabajar dentro de la

red local dentro de Windows, y como nombre NetBIOS el nombre que identificar a eBox dentro de
la red Windows. Se le puede dar una descripcin larga para describir el dominio. Adems se puede
establecer de manera opcional un lmite de cuota. Con el Grupo Samba se puede opcionalmente
configurar un grupo exclusivo en el que sus usuarios tenga cuenta de comparticin de ficheros en vez
de todos los usuarios, la sincronizacin se hace cada hora.
Para crear un directorio compartido, se accede a Compartir Ficheros Directorios compartidos
y se pulsa Aadir nuevo.
Habilitado: Lo dejaremos marcado si queremos que este directorio est compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuracin.
Nombre del directorio compartido: El nombre por el que ser conocido el directorio compartido.
Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio
dentro del directorio de eBox /home/samba/shares, o usar directamente una ruta existente del
sistema si se elige Ruta del sistema de ficheros.
102
Comentario: Una descripcin ms extensa del directorio compartido para facilitar la gestin de los
elementos compartidos.
Desde la lista de directorios compartidos podemos editar el control de acceso. All, pulsando en
Aadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administracin a un usuario
o a un grupo. Si un usuario es administrador de un directorio compartido podr leer, escribir y borrar
ficheros de cualquier otro usuario dentro de dicho directorio.
Tambin se puede crear un directorio compartido para un grupo desde Usuarios y Grupos
Grupos. Todos los miembros del grupo tendrn acceso a ese directorio y podrn leer o escribir los
ficheros y directorios dentro de dicho directorio compartido.
Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros
Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se
pueden aadir excepciones en la seccin Recursos excluidos de la Papelera de Reciclaje. Tambin se pueden modificar algunos otros valores por defecto para esta caracterstica, como por ejemplo
el nombre del directorio, editando el fichero /etc/ebox/80samba.conf.
103
En Compartir ficheros
Antivirus existe tambin una casilla para habilitar o deshabilitar la
bsqueda de virus en los recursos compartidos y la posibilidad de aadir excepciones para aquellos en los que no se desee buscar. Ntese que para acceder la configuracin del antivirus para el
mdulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El
mdulo antivirus de eBox debe estar as mismo instalado y habilitado.
4.2.5 Configuracin de clientes SMB/CIFS

Una vez tenemos el servicio ejecutndose podemos compartir ficheros a travs de Windows o
GNU/Linux.
Cliente Windows
A travs de Mis sitios de red Toda la red. Encontramos el dominio que hemos elegido
y despus aparecer la mquina servidora con el nombre seleccionado y podremos ver
sus recursos compartidos:
104
Cliente Linux
1. Konqueror (KDE)
En Konqueror basta con poner en la barra de bsqueda smb:// para ver la red de Windows
en la que podemos encontrar el dominio especificado:
2. Nautilus (Gnome)
105
En Nautilus vamos a Lugares
Servidores de Red Red de Windows, ah encontramos
nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos.
Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la
navegacin y para entrar en ellos se debe hacer directamente escribiendo la direccin en la
barra de bsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debera
introducir la siguiente direccin:
smb://<ip_de_ebox>/pedro
3. Smbclient
Adems de las interfaces grficas, disponemos un cliente de lnea de comandos que funciona
de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de
ficheros, recoger informacin sobre ficheros y directorios, etc. Un ejemplo de sesin puede ser
el siguiente:
$
>
>
>
106
smbclient -U joe //192.168.45.90/joe

get ejemplo
put eaea
ls
> exit
$ smbclient -U joe -L //192.168.45.90/
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Sharename
Type
Comment
-----------------_foo
Disk
_mafia
Disk
hp
Printer
br
Printer
IPC$
IPC
IPC Service (eBox Samba Server)
ADMIN$
IPC
IPC Service (eBox Samba Server)
joe
Disk
Home Directories
Domain=[eBox] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Server
Comment
--------------DME01
PC Verificaci
eBox-SMB3
eBox Samba Server
WARP-T42
Workgroup
Master
--------------eBox
eBox-SMB3
GRUPO_TRABAJO
POINT
INICIOMS
WARHOL
MSHOME
SHINNER
WARP
WARP-JIMBO
4.2.6 eBox como un servidor de autenticacin

Para aprovechar las posibilidades del PDC como servidor de autenticacin y su implementacin
Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a travs de Compartir ficheros
Configuracin General.
107
Si la opcin Perfiles Mviles est activada, el servidor PDC no slo realizar la autenticacin,
sino que tambin almacenar los perfiles de cada usuario. Estos perfiles contienen toda la informacin
del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos.
Cuando un usuario inicie sesin, recibir del servidor PDC su perfil. De esta manera, el usuario
dispondr de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar
esta opcin que la informacin de los usuarios puede ocupar varios GiB de informacin, el servidor
PDC necesitar espacio de disco suficiente. Tambin se puede configurar la letra del disco al que se
conectar el directorio personal del usuario tras autenticar contra el PDC en Windows.
Es posible definir polticas para las contraseas de los usuarios a travs de Compartir ficheros
PDC. Estas polticas suelen ser forzadas por la ley.
Longitud mnima de contrasea.
Edad mxima de contrasea. Dicha contrasea deber renovarse tras superar los das configurados.
Forzar historial de contraseas. Esta opcin forzar a almacenar un mximo de contraseas,
impidiendo que puedan ser repetidas en sucesivas modificaciones.
Estas polticas son nicamente aplicables cuando se cambia la contrasea desde Windows con
una mquina que est conectada a nuestro dominio. De hecho, Windows forzar el cumplimiento de
dicha poltica al entrar en una mquina registrada en el dominio.
108
4.2.7 Configuracin de clientes PDC

Para poder configurar la autenticacin PDC en una mquina, se necesita utilizar una cuenta que tenga
privilegios de administrador en el servidor PDC. Esto se configura en Usuarios y Grupos Usuarios
Cuenta de comparticin de ficheros o de PDC. Adicionalmente, se puede establecer una Cuota

de disco.
Ahora vamos a otra mquina dentro de la misma red de rea local (hay que tener en cuenta que
el protocolo SMB/CIFS funciona en modo difusin total) con un Windows capaz de trabajar con CIFS
(Ej. Windows XP Professional). All, en Mi PC
Propiedades, lanzamos el asistente para asignar
una Id de red a la mquina. En cada pregunta se le da como nombre de usuario y contrasea la de

aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio
escrito en la configuracin de Compartir Ficheros. El nombre de la mquina puede ser el mismo que
estaba, siempre y cuando no colisione con el resto de equipos a aadir al dominio. Tras finalizar el
asistente, se debe reiniciar la mquina.
109
Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecer una
particin de red con una cuota determinada en la configuracin de eBox.
4.3
Servicio de comparticin de impresoras

Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos
para su uso, debemos tener accesibilidad a dicha impresora desde la mquina que contenga eBox
ya por conexin directa, puerto paralelo o USB 5 , o a travs de la red local. Adems debemos conocer informacin relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un
funcionamiento correcto.
Una vez tenemos todos los datos previos, se puede aadir una impresora a travs de Impresoras
Aadir Impresora. Ah se sigue un asistente en el que se irn introduciendo los datos necesarios
para su incursin en funcin de los datos entrantes.
En primer lugar, se establece un nombre significativo para la impresora y se configura el mtodo
de conexin. Este mtodo depende del modelo de impresora y de cmo est conectada a nuestra
red. Los siguiente mtodos de conexin estn soportados por eBox:
5
110
Universal Serial Bus (USB) es un bus serie estndar para comunicacin de dispositivos con la computadora.
Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo.
USB: Una impresora conectada al servidor eBox mediante el puerto USB.
AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este
protocolo tambin se le conoce con el nombre de JetDirect.
IPP: Una impresora remota que usa el protocolo IPP 6 para comunicarse.
LPD: Una impresora remota que usa el protocolo LPD 7 para comunicarse.
Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo
Samba o Windows.
En funcin del mtodo seleccionado, se deben configurar los parmetros de la conexin. Por
ejemplo, para una impresora en red, se debe establecer la direccin IP y el puerto de escucha de la
misma como muestra la imagen.
Posteriormente, en los siguientes cuatro pasos se debe delimitar qu controlador de impresora

debe usar eBox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controlador
de impresora a utilizar y sus parmetros de configuracin.
6
Internet Printing Protocol (IPP) es un protocolo de red para la impresin remota y para la gestin de cola de impresin.
Ms informacin en RFC 2910.
7
Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresin remota y el envo de
trabajos usando spooling a las impresoras para los sistemas Unix. Ms informacin en RFC 1179.
111
Una vez finalizado el asistente, ya tenemos la impresora configurada. Por tanto, podremos observar qu trabajos de impresin estn pendientes o en proceso. Tambin tendremos la posibilidad de
modificar alguno de los parmetros introducidos en el asistente a travs de Impresoras Gestionar
impresoras.
Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba. Adicionalmente podremos habilitar el demonio de impresin CUPS 8 que har accesibles las impresoras mediante IPP.
8
Common Unix Printing System (CUPS) es un sistema modular de impresin para sistemas Unix que permiten a una
mquina actuar de servidor de impresin, lo cual permite aceptar trabajos de impresin, su procesamiento y envo a la
impresora adecuada.
112
Figure 4.1: Gestin de impresoras
Si una impresora no est soportada por eBox, es decir, que eBox no dispone de los controladores
necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para aadir una
impresora por CUPS hay que habilitar su demonio de impresin como se muestra en la figura Gestin
de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede configurar a travs de:
http://direccion_ebox:631
Una vez aadida la impresora a travs de CUPS, eBox es capaz de exportarla usando el protocolo
de Samba para ello.
Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a
dichos recursos a travs de la edicin del grupo o del usuario (Grupos Editar Grupo Impresoras
o Usuarios Editar Usuario Impresoras).
113
4.4
Servicio de groupware
El groupware, tambin conocido como software colaborativo, es el conjunto de aplicaciones que
integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al
sistema desde distintas estaciones de trabajo de la red local o tambin desde cualquier punto del
mundo a travs de Internet.
Algunas de las funciones ms destacadas de las herramientas de groupware son:
Comunicacin entre los usuarios: correo, salas de chat, etc.
Comparticin de informacin: calendarios compartidos, listas de tareas, libretas de direcciones
comunes, base de conocimiento, comparticin de ficheros, noticias, etc.
Gestin de proyectos, recursos, tiempo, bugtracking, etc.
114
Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que
nos ofrece el Software Libre, una de las ms populares es eGroupware
y es la seleccionada para
eBox Platform para implementar esta funcionalidad tan importante en el mbito empresarial.
Con eBox Platform la puesta a punto de eGroupware es muy sencilla. El objetivo es que el
usuario no tenga que acceder a la configuracin tradicional que ofrece eGroupware y pueda realizarlo
prcticamente todo desde el interfaz de eBox, salvo que necesite alguna personalizacin avanzada.
De hecho la contrasea para la configuracin de eGroupware es auto-generada
10
por eBox y el
administrador debera usarla bajo su responsabilidad dado que si realiza una accin inapropiada el
mdulo podra quedar mal configurado y en un estado inestable.
4.4.1 Configuracin de servicio de groupware con eBox

La mayor parte de la configuracin de eGroupware se realiza automticamente al habilitar el mdulo
y guardar los cambios. Sin requerir ninguna intervencin adicional del usuario, eGroupware estar en
funcionamiento integrado con el servicio de directorio (LDAP) de eBox. Es decir, todos los usuarios
que sean aadidos en eBox a partir de ese momento podrn iniciar sesin en eGroupware sin requerir
ninguna otra accin especial.
Adicionalmente, podemos integrar el servicio de correo web (webmail) que eGroupware nos proporciona con el mdulo de correo de eBox. Para ello lo nico que hay que hacer es seleccionar un
dominio virtual previamente existente y tener habilitado el servicio de recepcin de correo IMAP. Las
instrucciones relativas a la creacin de un dominio de correo y configuracin del servicio IMAP se
explican con detenimiento en el captulo Servicio de correo electrnico (SMTP/POP3-IMAP4).
Para la seleccin del dominio que usar eGroupware accederemos a travs de la pestaa Groupware
Dominio Virtual de Correo. El interfaz se muestra en la siguiente imagen, slo tenemos
que seleccionar el dominio deseado y pulsar el botn Cambiar. Aunque como de costumbre esto no
tendr efecto hasta que no pulsemos el botn Guardar Cambios.
9
10
eGroupware: An enterprise ready groupware software for your network http://www.egroupware.org

Nota para usuarios avanzados de eGroupware: La contrasea se encuentra en el fichero /var/lib/ebox/conf/ebox-
egroupware.passwd y los nombres de usuario son admin y ebox para la configuracin del encabezado y del dominio
respectivamente.
115
Para que nuestros usuarios puedan utilizar el servicio de correo tendrn que tener creadas sus
respectivas cuentas en el mismo. En la imagen que se muestra a continuacin (Usuarios y Grupos
Usuarios) podemos ver que en la configuracin de eGroupware se muestra un aviso indicando cul
debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware.
eGroupware se compone de varias aplicaciones, en eBox podemos editar los permisos de acceso
de cada usuario asignndole una plantilla de permisos, como se puede ver en la imagen anterior.
Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personalizadas.
La plantilla de permisos por defecto es til si queremos que la mayora de los usuarios del sistema
tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que
preocuparnos de asignarle permisos, ya que stos sern asignados automticamente.
Para editar la plantilla por defecto accederemos a la pestaa Groupware
terminadas, como se muestra en la imagen.
116
Aplicaciones prede-
Para grupos reducidos de usuarios como es el caso de los administradores, podemos definir una
plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios.
Para definir una nueva plantilla debemos acceder a la pestaa Groupware Plantillas definidas
por el usuario y pulsar en Aadir nueva. Una vez introducido el nombre deseado aparecer en la
tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma anloga a
como se hace con la plantilla por defecto.
Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto, los cambios
slo sern aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarn de
manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas
117
por el usuario, si existiesen usuarios con esa plantilla aplicada habra que editar las propiedades del
usuario y aplicarle nuevamente la misma plantilla despus de modificarla.
Finalmente, cuando hayamos configurado todo, podemos acceder a eGroupware a travs de la
direccin http://<ip_de_ebox>/egroupware utilizando el usuario y contrasea definidos en la interfaz
de eBox.
El manejo de eGroupware est fuera del alcance de este manual, para cualquier duda se debe
consultar el manual de usuario oficial de eGroupware. Este se encuentra disponible en Internet en su
pgina oficial y tambin est enlazado desde la propia aplicacin una vez que estamos dentro.
Ejemplo prctico
Habilitar el mdulo Groupware y comprobar su integracin con el correo.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Groupware, para
ello marca su casilla en la columna Estado. Nos informa de que se modificar la configuracin
de eGroupware. Permitir la operacin pulsando el botn Aceptar. Asegurarse de que se han
habilitado previamiente los mdulos de los que depende (Correo, Webserver, Usuarios...).
2. Accin: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo prctico. En dicho ejemplo tambin se aade un usuario con su cuenta de correo correspondiente.
No son necesarios los pasos de ese ejemplo relativos a objetos o polticas de reenvo. Realizar
slo hasta el paso en que se aade el usuario.
Efecto: El usuario creado tiene una cuenta de correo vlida.
3. Accin: Acceder al men Correo
General y en la pestaa Opciones del servidor de
correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar.
118
Efecto: El cambio se ha guardado temporalmente pero no ser efectivo hasta que se guarden
los cambios.
4. Accin: Acceder al men Groupware y en la pestaa Dominio Virtual de Correo seleccionar
el dominio creado anteriormente y pulsar Cambiar.
los cambios.
muestra.
A partir de ahora eGroupware se encuentra configurado correctamente para integrarse
con nuestro servidor IMAP.
6. Accin: Acceder a la interfaz de eGroupware (http://<ip_de_ebox>/egroupware) con el usuario
que hemos creado anteriormente. Acceder a la aplicacin de correo electrnico de eGroupware
y enviar un correo a nuestra propia direccin.
Efecto: Recibiremos el correo recin enviado en nuestro buzn de entrada.
119
120
Chapter 5
eBox Unified Communications
En este apartado se van a ver los diferentes mtodos de comunicacin para compartir informacin
centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contrasea.
En primer lugar, se explica el servicio de correo electrnico, que permite su integracin rpida
y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las ltimas tcnicas
disponibles para la prevencin del correo basura.
En segundo lugar, el servicio de mensajera instntanea a travs del estndar Jabber/XMPP. Este
nos evita depender de empresas externas o de la conexin a Internet. Ofrece salas de conferencia
comunes y permite, mediante la utilizacin de cualquiera de los mltiples clientes disponibles, una
comunicacin ms rpida para los casos en que el correo no es suficiente.
Finalmente, veremos una introduccin a la voz sobre IP, con la que cada persona puede tener una
extensin a la que llamar o hacer conferencias fcilmente. Adicionalmente, con un proveedor externo,
eBox es capaz de configurarse para conectarse a la red telefnica tradicional.
5.1
Servicio de correo electrnico (SMTP/POP3-IMAP4)

El servicio de correo electrnico es un mtodo de almacenamiento y envo
para la composicin,
emisin, reserva y recepcin de mensajes sobre sistemas de comunicacin electrnicos.

1
Almacenamiento y envo: Tcnica de telecomunicacin en la cual la informacin se enva a una estacin intermedia
que almacena y despus enva la informacin a su destinatario o a otra estacin intermedia.
121
5.1.1 Cmo funciona el correo electrnico en Internet
Figure 5.1: Diagrama correo electrnico Alice manda un correo a Bob

El diagrama muestra una secuencia tpica de eventos que tienen lugar cuando Alice escribe un
mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la direccin de correo de
su destinatario.
1. Su MUA da formato al mensaje en un formato de Internet para el correo electrnico y usa el
protocolo Simple Mail Transfer Protocol (SMTP) que enva el mensaje a su agente de envo de
correos o Mail Transfer Agent (MTA).
2. El MTA mira en la direccin destino dada por el protocolo SMTP (no de la cabecera del mensaje), en este caso bob@b.org, y hace una solicitud al servicio de nombres para saber la IP
del servidor de correo del dominio del destino (registro MX que vimos en el captulo donde se
explicaba DNS).
3. El smtp.a.org enva el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el
buzn del usuario bob.
4. Bob obtiene el correo a travs de su MUA, que recoge el correo usando el protocolo Post Office
Protocolo 3 (POP3).
Esta situacin puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo
de obtencin de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios
gratuitos de correo va Web.
122
CHAPTER 5. EBOX UNIFIED COMMUNICATIONS
Por tanto, podemos ver como el envo y recepcin de correos entre servidores de correo se realiza
a travs de SMTP pero la obtencin de correos por parte del usuario se realiza a travs de POP3,
IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes
servidores y clientes de correo. Lamentablemente, tambin existen protocolos propietarios como los
que usan Microsoft Exchange o Lotus Notes de IBM.
POP3 vs. IMAP

El diseo de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo
a los usuarios recoger todo el correo de una vez para despus verlo y manipularlo sin necesidad
de estar conectado. Estos mensajes, normalmente, se borran del buzn del usuario en el servidor,
aunque actualmente la mayora de MUAs permiten mantenerlos.
El ms moderno IMAP, permite trabajar en lnea o desconectado adems de slo borrar los mensajes depositados en el servidor de manera explcita. Adicionalmente, permite que mltiples clientes
accedan al mismo buzn o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo,
es un protocolo bastante complicado con ms carga de trabajo en el lado del servidor que POP3, que
relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son:
Modo de operacin conectado y desconectado.
Varios clientes a la vez conectados al mismo buzn.
Descarga parcial de correos.
Informacin del estado del mensaje usando banderas (ledo, borrado, respondido, ...).
Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno
de ellos pblicos.
Bsquedas en el lado del servidor.
Mecanismos de extensin incluidos en el propio protocolo.
Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS.
La diferencia con la versin simple es que usan cifrado TLS por lo que el contenido de los mensajes
no puede ser escuchado sin permiso.
123
5.1.2 Configuracin de un servidor SMTP/POP3-IMAP4 con eBox

En el servicio de correo debemos configurar el MTA para enviar y recibir correos as como la recepcin
de correos por parte de MUAs va IMAP o POP3.
Para el envo/recepcin de correos se usa Postfix
como servidor SMTP. Para el servicio de
recepcin de correos (POP3, IMAP) se usa Dovecot . Ambos con soporte para comunicacin segura
con SSL.
5.1.3 Recibiendo y retransmitiendo correo

Para comprender la configuracin de un sistema de correo se debe distinguir entre recibir y retransmitir
correo.
La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los
destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El
correo puede ser recibido de cualquier cliente que pueda conectarse al servidor.
Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo
en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est restringida,
de otra manera los spammers podran usar el servidor para enviar spam en Internet.
eBox permite la retransmisin de correo en dos casos:
1. usuarios autenticados
2. una direccin de origen que pertenezca a un objeto que tenga una poltica de retransmisin
permitida.
Configuracin general
A travs de Correo
General Opciones del servidor de correo Autenticacion podemos ges-
tionar las opciones de autenticacion. Estn disponibles las siguientes opciones:

TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del
contenido por personas maliciosas.
2
3
124
Postfix The Postfix Home Page http://www.postfix.org .

Dovecot Secure IMAP and POP3 Server http://www.dovecot.org .
Exigir la autenticacin: Este parmetro activa el uso de autenticacin. Un usuario debe usar su
direccin de correo y su contrasea para identificarse, una vez autenticado podr retransmitir
correo a travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.
En la seccin Correo
General Opciones del servidor de correo Opciones se pueden
configurar los parmetros generales del servicio de correo:

Direccin del smarthost: Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto aadiendo el texto :[numero de puerto] despus de la direccin. El puerto
por defecto, es el puerto estndar SMTP, 25.
Si se establece esta opcin eBox no enviar directamente sus mensajes sino que cada mensaje
de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso,
125
eBox actuara como un intermediario entre el usuario que enva el correo y el servidor que
enviar finalmente el mensaje.
Autenticacin del smarthost: Determinar si el smarthost requiere autenticacin y si es as proveer
un usuario y contrasea.
Nombre de correo del servidor: Determina el nombre de correo del sistema, ser usado por el servicio de correo como la direccin local del sistema.
Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario
(root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de
correo gestionados o no.
Esta cuenta est pensada para tener una manera estndar de contactar con el administrador
de correo. Correos de notificacin automticos suelen usar postmaster como direccin de
respuesta.
Tamao mximo de buzn: En esta opcin se puede indica un tamao mximo en MiB para los
buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir
una notificacin. Esta opcin puede sustituirse para cada usuario en la pagina Usuarios y
Grupos -> Usuarios.
Tamao mximo aceptado para los mensajes: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o
no de cualquier lmite al tamao del buzn de los usuarios.
Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta
de papelera de los usuarios ser borrado cuando su fecha sobrepase el limite de das establecido.
Periodo de expiracin para correo de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios.
Para configurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de
correo. eBox puede configurarse como servidor de POP3 o IMAP adems de sus versiones seguras
POP3S y IMAPS. En esta seccin tambin pueden activarse los servicios para obtener correo de
direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin
de correo desde cuentas externas.
Tambin se puede configurar eBox para que permita reenviar correo sin necesidad de autenticarse
desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos
de red de eBox a travs de Correo
126
General Poltica de retransmisin para objetos de red
basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde
dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de eBox.
Warning: Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar
correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir
en una fuente de spam.
Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos
para los mensajes 4 . Para ello el servidor de filtrado debe recibir el correo en un puerto determinado
y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A
travs de Correo
General Opciones de Filtrado de Correo se puede seleccionar un filtro de
correo personalizado o usar eBox como servidor de filtrado.

4
En la seccin Filtrado de correo electrnico se amplia este tema.
127
Creacin de cuentas de correo a travs de dominios virtuales

Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.
Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que
proveen de nombre de dominio a las cuentas de correo de los usuarios de eBox. Adicionalmente, es
posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su
alias sea indiferente.
Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros, acudimos a Usuarios y Grupos
Usuarios Crear cuenta de correo. Es ah donde seleccionamos el
dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de correo
lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado un alias o no, el correo
sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias
para autenticarse, se debe usar siempre la cuenta real.
128
Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automticamente una
cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos
-> Plantilla de Usuario por defecto > Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias
son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a
travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de
grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser
retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio
virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en
Correo Dominios Virtuales Alias a cuentas externas.
Gestin de cola
Desde Correo
Gestin de cola podemos ver los correos que todava no han sido enviados con
la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son:
eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos botones
que permiten borrar o reencolar todos los mensajes en la cola.
129
Obtencin de correo desde cuentas externas

Se puede configurar eBox para recoger correo de cuentas externas y enviarlo a los buzones de los
General Opciones del servidor de

Servicios de obtencin de correo. Una vez activado, los usuarios tendrn sus mensajes
usuarios. Para ello, debers activar en la seccin Correo

corre
de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede
configurar sus cuentas externas a travs del rincn del usuario 5 . El usuario debe tener una cuenta
de correo para poder hacerlo. Los servidores externos son consultados peridicamente, as que la
obtencin del correo no es instantnea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer
clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la lista
de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada cuenta tiene
los siguientes parmetros:
Cuenta externa: El nombre de usuario o direccin de correo requerida para identificarse en el servicio externo de recuperacin de correo.
Contrasea: Contrasea para autenticar la cuenta externa.
Servidor de correo: Direccin del servidor de correo que hospeda a la cuenta externa.
Protocolo: Protocolo de recuperacin de correo usado por la cuenta externa, puede ser uno de los
siguientes: POP3, POP3S, IMAP o IMAPS.
Puerto: Puerto usado para conectar al servidor de correo externo.
Para obtener el correo externo, eBox usa el programa Fetchmail 6 .

5
La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario.
Fetchmail The Fetchmail Home Page http://fetchmail.berlios.de/ .
130
Lenguaje Sieve y protocolo ManageSieve

El lenguaje Sieve
permite el control al usuario de cmo su correo es recibido, permitiendo, entre
otras cosas, clasificarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada
(o vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para
usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8 .
Para usar ManageSieve en eBox, debes activar el servicio en Correo General Opciones de
servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios con
cuenta de correo. Si ManageSieve est activado y el mdulo de correo web
en uso, el interfaz de
gestin para scripts Sieve estar disponible en el correo web.

La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est
activado o no.
Configuracin del cliente de correo

A no ser que los usuarios slo usen el correo a travs del mdulo de de correo web o a travs de la
aplicacin de correo de groupware, debern configurar su cliente de correo para usar el servidor de
correo de eBox. El valor de los parmetros necesarios dependern de la configuracin del servicio de
correo.
Hay que tener en cuenta que diferentes clientes de correo podrn usar distintos nombres para
estos parmetros, por lo que debido a la multitud de clientes existente esta seccin es meramente
orientativa.
5.1.4 Parmetros SMTP

Servidor SMTP: Introducir la direccin del servidor eBox. La direccin puede ser descrita como una
direccin IP o como nombre de dominio.
Puerto SMTP: 25, si usas TLS puedes usar en su lugar el puerto 465.
7
8
9
Para mas informacin sobre Sieve http://sieve.info/ .

Para tener una lista de clientes Sieve http://sieve.info/clients .
El mdulo de correo web (webmail) se explica en el captulo Servicio de correo web.
131
Conexin segura: Seleccionar TLS si tienes activada la opcin TLS para el servidor SMTP, en
otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece ms adelante sobre
TLS/SSL.
Usuario SMTP: Como nombre de usuario se debe usar la direccin de correo completa del usuario,
no uses su nombre de usuario o alguno de sus alias de correo. Esta opcin slo es obligatoria
si est habilitado el parmetro Exigir autenticacin.
Contrasea SMTP: La contrasea del usuario.
5.1.5 Parmetros POP3

Slo puedes usar configuracin POP3 cuando el servicio POP3 o POP3S est activado en eBox.
Servidor POP3: Introducir la direccin de eBox de la misma manera que la seccin de parmetros
SMTP.
Puerto POP3: 110 o 995 en el caso de usar POP3S.
Conexin segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se
utiliza POP3S, ten en cuenta la advertencia que aparece ms adelante sobre TLS/SSL.
Usuario POP3: Direccin de correo completa del usuario, no se debe usar ni el nombre de usuario
ni ninguno de sus alias de correo.
Contrasea POP3: La contrasea del usuario.
5.1.6 Parmetros IMAP

Slo se puede usar la configuracin IMAP si el servicio IMAP o IMAPS est activo.
Servidor IMAP: Introducir la direccin de eBox de la misma manera que la seccin de parmetros
SMTP.
Puerto IMAP: 443 o 993 en el caso de usar IMAPS.
Conexin segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se
usa IMAPS, leer la advertencia que aparece ms adelante sobre TLS/SSL.
Usuario IMAP: Direccin de correo completa del usuario, no se debe usar ni el nombre de usuario ni
ninguno de sus alias de correo.
Contrasea IMAP: La contrasea del usuario.
132
Warning:
En las implementaciones de los clientes de correo a veces hay confusin sobre el
uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con
TLS, otros usan TLS para indicar que van a tratar de conectar al servicio a travs de un puerto
tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes
har falta probar tanto los modos SSL como TLS para averiguar cual de los mtodos funciona
correctamente.
Tienes mas informacin sobre este asunto en el wiki de Dovecot, http://wiki.dovecot.org/SSL .
5.1.7 Parmetros para ManageSieve

Para conectar a ManageSieve, se necesitan los siguientes parmetros:
Servidor Sieve: El mismo que tu servidor IMAP o POP3.
Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto nmero
2000 como puerto por defecto para ManageSieve.
Conexin segura: Activar esta opcin.
Nombre de usuario: Direccin de correo completa, como anteriormente evitar el nombre de usuario
o cualquiera de sus alias de correo.
Contrasea: Contrasea del usuario. Algunos clientes permiten indicar que se va a usar la misma
autenticacin que para IMAP o POP, si esto es posible, hay que seleccionar dicha opcin.
Cuenta para recoger todo el correo

Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo
enviado y recibido por un dominio de correo. En eBox se permite definir una de estas cuentas por
cada dominio; para establecerla se debe ir a la pagina Correo Dominios Virtuales y despus hacer
clic en la celda Opciones.
Todos los mensajes enviados y recibidos por el dominio sern enviados como copia oculta (CCO
BCC) a la direccin definida. Si la direccin rebota el correo, ser devuelto al remitente.
133
Ejemplo prctico
Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en
el dominio creado para dicho usuario. Configurar la retransmisin para el envo de correo. Enviar un
correo de prueba con la cuenta creada a una cuenta externa.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo Correo, para ello
marca su casilla en la columna Estado. Habilitar primero los mdulos Red y Usuarios y
grupos si no se encuentran habilitados con anterioridad.
3. Accin: Acceder al men Correo Dominio Virtual, pulsar Aadir nuevo, introducir un nombre para el dominio y pulsar el botn Aadir.
Efecto: eBox nos notifica de que debemos salvar los cambios para usar el dominio.
muestra.
Ahora ya podemos usar el dominio de correo que hemos aadido.
5. Accin: Acceder a Usuarios y Grupos
Usuarios Aadir usuario, rellenar sus datos y
pulsar el botn Crear.

Efecto: El usuario se aade inmediatamente sin necesidad de salvar cambios. Aparece la
pantalla de edicin del usuario recin creado.
6. Accin: (Este paso slo es necesario si has deshabilitado la opcin de crear cuentas de correo
automticamente en Usuarios y Grupos > Plantilla de Usuario por defecto > Cuenta
de correo). Escribir un nombre para la cuenta de correo del usuario en la seccin Crear
cuenta de correo y pulsar el botn Crear.
Efecto: La cuenta se ha aadido inmediatamente y nos aparecen opciones para eliminarla o
crear alias para ella.
134
7. Accin: Acceder al men Objetos Aadir nuevo. Escribir un nombre para el objeto y pulsar
Aadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el
miembro, introducir la direccin IP de la mquina desde donde se enviar el correo y pulsar
Aadir.
Efecto: El objeto se ha aadido temporalmente y podemos usarlo en otras partes de la interfaz
de eBox, pero no ser persistente hasta que se guarden cambios.
8. Accin: Acceder a Correo
General Poltica de reenvo sobre objetos. Seleccionar
el objeto creado en el paso anterior asegurndose de que est marcada la casilla Permitir
reenvo y pulsar el botn Aadir.
Efecto: El botn Guardar Cambios estar activado.
Efecto: Se ha aadido una poltica de reenvo para el objeto que hemos creado, que permitir
el envo de correos al exterior para ese origen.
10. Accin: Configurar el cliente de correo seleccionado para que use eBox como servidor SMTP
y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa.
Efecto: Transcurrido un breve periodo de tiempo deberamos recibir el correo enviado en el
buzn de la cuenta externa.
11. Accin: Comprobar en el servidor de correo a travs del fichero de registro /var/log/mail.log
como el correo se ha enviado correctamente.
5.2
Servicio de correo web

El servicio de correo web permite a los usuarios leer y enviar correo a travs de un interfaz web
ofrecida por el servidor de correo.
Sus principales ventajas son que el usuario no tiene que configurar nada. Y que puede acceder
a su correo desde cualquier navegador web que pueda alcanzar al servidor. Sus desventajas son
que la experiencia de usuario suele ser ms pobre que con un programa de correo de escritorio y
que se debe permitir el acceso web al servidor de correo. Adems, incrementa la carga del servidor
para mostrar los mensajes de correo, este trabajo se realiza en el cliente con el software tradicional
de gestin de correo electrnico.
eBox usa Roundcube para implementar este servicio 10 .
10
Roundcube webmail http://roundcube.net/ .
135
5.2.1 Configurando el correo web en eBox

El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de
eBox. Sin embargo, requiere que el mdulo de correo est configurado para usar IMAP, IMAPS o
ambos adems de tener el mdulo webserver habilitado. Si no lo est, el servicio rehusar activarse.
Opciones del correo web

Podemos acceder a las opciones pulsando en la seccin Webmail de men izquierdo. Se puede
establecer el titulo que usar el correo web para identificarse, este titulo se mostrar en la pantalla de
entrada y en los ttulos HTML de pagina.
Entrar en el correo web

Para entrar en el correo web, primero necesitaremos que el trfico HTTP desde la direccin usada
para conectar est permitido por el cortafuegos. La pantalla de entrada del correo web est disponible
en http://[direccion del servidor]/webmail desde el navegador. A continuacin, se debe introducir su
direccin de correo y su contrasea. Los alias no funcionarn, por tanto se debe usar la direccin
real.
136
Filtros SIEVE
El correo web tambin incluye una interfaz para administrar filtros SIEVE. Esta interfaz slo est
disponible si el protocolo ManageSIEVE est activo en el servicio de correo.
5.3
Servicio de mensajera instantnea (Jabber/XMPP)

Las aplicaciones de mensajera instantnea permiten gestionar una lista de personas con las que
uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicacin asncrona
proporcionada por el correo electrnico en una comunicacin sncrona en la que los participantes
pueden comunicarse en tiempo real.
Adems de la conversacin bsica permite otras prestaciones como:
Salas de conversacin.
Transferencia de ficheros.
Actualizaciones de estado (por ejemplo: ocupado, al telfono, ausente).
Pizarra compartida que permite ver y mostrar dibujos a los contactos.
Conexin simultnea desde distintos dispositivos con prioridades (por ejemplo: desde el mvil
y el ordenador dando preferencia a uno de ellos para la recepcin de mensajes).
En la actualidad existen multitud de protocolos de mensajera instantnea como ICQ, AIM, MSN
o Yahoo! Messenger cuyo funcionamiento es bsicamente centralizado y propietario.
Sin embargo, tambin existe Jabber/XMPP que es un conjunto de protocolos y tecnologas que
permiten el desarrollo de sistemas de mensajera distribuidos. Estos protocolos son pblicos, abiertos,
flexibles, extensibles, distribuidos y seguros. Aunque todava sigue en proceso de estandarizacin, ha
sido adoptado por Cisco o Google (para su servicio de mensajera Google Talk) entre otros.
eBox usa Jabber/XMPP como protocolo de mensajera instantnea, integrando los usuarios con
las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPP
en eBox.
11
jabberd2 - servidor XMPP <http://jabberd2.xiaoka.com/>.
137
5.3.1 Configuracin de un servidor Jabber/XMPP con eBox

Para configurar el servidor Jabber/XMPP en eBox, primero debemos comprobar en Estado del Mdulo si el mdulo Usuarios y Grupos est habilitado, ya que Jabber depende de l. Entonces marcaremos la casilla Jabber para habilitar el mdulo de eBox de Jabber/XMPP.
Figure 5.2: Configuracin general del servicio Jabber
Para configurar el servicio, accederemos a Jabber en el men izquierdo, definiendo los siguientes
parmetros:
Nombre de dominio: Especifica el nombre de dominio del servidor. Esto har que las cuentas de
los usuarios sean de la forma usuario@dominio.
Tip: dominio debera estar registrado en el servidor DNS para que pueda resolverse desde
los clientes.
Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros
servidores externos. Si por el contrario queremos un servidor privado, slo para nuestra red
interna, deber dejarse desmarcada.
Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para ms de
dos usuarios).
Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nombre de dominio debera estar registrado en el servidor DNS para que pueda resolverse desde
los clientes tambin.
138
Soporte SSL: Especifica si las comunicaciones (autentificacin y mensajes) con el servidor sern
cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como
opcional. Si lo dejamos como opcional ser en la configuracin del cliente Jabber donde se
especifique si se quiere usar SSL.
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si queremos
crear una nueva cuenta o a Usuarios Editar usuario si solamente queremos habilitar la cuenta de
Jabber para un usuario ya existente.
Figure 5.3: Configuracin de cuenta Jabber de un usuario
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos seleccionar
si la cuenta est activada o desactivada. Adems, podemos especificar si el usuario en cuestin tendr privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados
al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of
The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast).
5.3.2 Configuracin de un cliente Jabber

Para ilustrar la configuracin de un cliente Jabber, vamos a usar Pidgin y Psi, aunque en caso de
utilizar otro cliente distinto, los pasos a seguir seran muy similares.
Pidgin
Pidgin
12
es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Adems de
Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!.
12
Pidgin, the universal chat client <http://www.pidgin.im/>.
139
Pidgin era el cliente por omisin del escritorio Ubuntu hasta la versin Karmic, pero todava sigue
siendo el cliente de mensajera ms popular. Lo podemos encontrar en Internet
Cliente de men-
sajera Internet Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecer
la ventana de gestin de cuentas tal como aparece en la imagen.
Desde esta ventana podemos tanto aadir cuentas, como modificar y borrar las cuentas existentes.
Pulsando el botn Aadir, aparecern dos pestaas de configuracin bsica y avanzada.
Para la configuracin Bsica de la cuenta Jabber, deberemos seleccionar en primer lugar el
protocolo XMPP. El Nombre de usuario y Contrasea debern ser los mismos que la cuenta Jabber
tiene en eBox. El dominio deber ser el mismo que hayamos definido en la configuracin del mdulo
de Jabber/XMPP de eBox. Opcionalmente, en el campo Apodo local introduciremos el nombre que
queramos mostrar a nuestros contactos.
140
En la pestaa Avanzada est la configuracin de SSL/TLS. Por defecto Requerir SSL/TLS est
marcado, as que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir
autentificacin en texto plano sobre hilos no cifrados.
141
Si no cambiamos el certificado SSL por defecto, aparecer un aviso preguntando si queremos

aceptarlo o no.
142
Psi
Psi 13 es un cliente de Jabber/XMPP que permite manejar mltiples cuentas a la vez. Rpido y ligero,
Psi es cdigo abierto y compatible con Windows, Linux y Mac OS X.
Al arrancar Psi, si no tenemos ninguna cuenta configurada todava, aparecer una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen.
Seleccionaremos Usar una cuenta existente.
En la pestaa Cuenta definiremos la configuracin bsica como el Jabber ID o JID que es

usuario@dominio y la Contrasea. Este usuario y contrasea debern ser los mismos que la cuenta
Jabber tiene en eBox. El dominio deber ser el mismo que hayamos definido en la configuracin del
mdulo de Jabber/XMPP de eBox.
13
Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.
143
En la pestaa Conexin podemos encontrar la configuracin de SSL/TLS entre otras. Por

omisin, Cifrar conexin: Cuando est disponible est marcado. Si deshabilitamos en eBox el
Soporte SSL debemos cambiar Permitir autentificacin en claro a Siempre.
Si no hemos cambiado el certificado SSL aparecer un aviso preguntando si queremos aceptarlo

o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaa Conexin que vimos en
el anterior paso.
La primera vez que conectemos, el cliente mostrar un error inofensivo porque todava no hemos
publicado nuestra informacin personal en el servidor.
144
Opcionalmente, podremos publicar informacin sobre nosotros aqu.
Una vez publicada, este error no aparecer de nuevo.
5.3.3 Configurando salas de conferencia Jabber

El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar mensajes en el
contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir
la entrada a usuarios, requerir contrasea y muchas ms estn disponibles en las salas de Jabber.
Para una especificacin completa, comprueba el borrador XEP-0045 14 .
Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la seccin Jabber del
men de eBox, el resto de la configuracin se realiza desde los clientes Jabber.
14
La especificacin de las salas de conversacin Jabber/XMPP est disponible en <http://xmpp.org/extensions/xep0045.html>.
145
Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea
se convierte en el administrador para esa sala. Este administrador puede definir todos los parmetros
de configuracin, aadir otros usuarios como moderadores o administradores y destruir la sala.
Uno de los parmetros que deberamos destacar es Hacer Sala Persistente. Por omisin, todas
las salas se destruyen al poco despus de que su ltimo participante salga. Estas son llamadas salas
dinmicas y es el mtodo preferido para conversaciones de varios usuarios. Por otra parte, las salas
persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para
grupos de trabajo o asuntos.
En Pidgin para entrar en una sala hay que ir a Contactos > Entrar en una Sala.... Aparecer
una ventana de Entrar en una Sala preguntando alguna informacin como el Nombre de la sala, el
Servidor que debera ser conference.dominio, el Usuario y la Contrasea en caso de ser necesaria.
El primer usuario en entrar a una nueva sala la bloquear y se le preguntar si quiere Configurar
la Sala o Aceptar la Configuracin por Omisin.
En Configuracin de la Sala podremos configurar todos los parmetros de la sala. Esta ventana
de configuracin puede ser abierta posteriormente ejecutando /config en la ventana de conversacin.
146
Una vez configurada, otros usuarios podrn entrar en la sala bajo la configuracin aplicada estando la sala lista para su uso.
En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ventana
de Entrar en una Sala aparecer preguntando alguna informacin como el Servidor que deber ser
conference.dominio, el Nombre de la Sala, el Nombre de Usuario y la Contrasea en caso de ser
necesaria.
147
El primer usuario en entrar a una nueva sala la bloquear y se le pedir que la configure. En la
esquina superior derecha hay un botn que despliega un men contextual dnde aparece la opcin
Configurar Sala.
En Configuracin de la Sala podremos configurar todos los parmetros de la sala.
148
Una vez configurada, otros usuarios podrn entrar en la sala bajo la configuracin aplicada estando la sala lista para su uso.
5.3.4 Ejemplo prctico

Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que eBox y los clientes sean
capaces de resolver.
1. Accin: Acceder a eBox, entrar en Estado del Mdulo y activar el mdulo Jabber. Cuando
nos informe de los cambios que va a realizar en el sistema, permitir la operacin pulsando el
botn Aceptar.
2. Accin: Aadir un dominio con el nombre que hayamos elegido y cuya direccin IP sea la de
la mquina eBox, de la misma forma que se hizo en Ejemplo prctico B.
Efecto: Podremos usar el dominio aadido como dominio para nuestro servicio Jabber/XMPP.
3. Accin: Acceder al men Jabber. En el campo Nombre de dominio, escribir el nombre del
dominio que acabamos de aadir. Pulsar el botn Aplicar Cambios.
muestra.
El servicio Jabber/XMPP ha quedado listo para ser usado.
149
5.4
Servicio de Voz sobre IP

La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de
protocolos para enviar la seal digital en paquetes en lugar de enviarla a travs de circuitos analgicos
conectados.
Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes pblicas como
Internet. Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y
datos, sin escatimar en calidad o fiabilidad. Los principales problemas que se encuentra la Voz IP en
su despliegue sobre las redes de datos son el NAT 15 y las dificultades que tienen los protocolos para
gestionarlo, y el QoS
16
, la necesidad de ofrecer un servicio de calidad en tiempo real, considerando
la latencia (tiempo que se tarda en llegar al destino), el jitter (la variacin de la latencia) y el ancho de
banda.
5.4.1 Protocolos
Son varios los protocolos involucrados en la transmisin de voz, desde los protocolos de red como
IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su
transporte como para su sealizacin.
Los protocolos de sealizacin en Voz IP desempean las tareas de establecimiento y control
de la llamada. SIP, IAX2 y H.323 son protocolos de sealizacin.
El protocolo de transporte de voz ms utilizado es RTP (Realtime Transport Protocol) y su tarea
es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha
una vez establecida la llamada por los protocolos de sealizacin.
SIP
SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF
17
para la iniciacin,
modificacin y finalizacin de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP.
SIP solamente se encarga de la sealizacin funcionando sobre el puerto UDP/5060. La transmisin
multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.
15
16
17
150
Concepto que se explica en la seccin Cortafuegos.

Concepto que se explica en la seccin Moldeado de trfico.
Internet Engineering Task Force desarrolla y promociona estndares de comunicaciones usados en Internet.
IAX2
IAX2 es la versin 2 del protocolo Inter Asterisk eXchange creado para la interconexin de centralitas
Asterisk
18
. Las caractersticas ms importantes de este protocolo es que la voz y la sealizacin va
por el mismo flujo de datos y adems ste puede ser cifrado. Esto tiene la ventaja directa de poder
atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de
comunicacin simultneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.
5.4.2 Cdecs
Un cdec es un algoritmo que adapta (codificando en origen y descodificando en destino) una informacin digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y
recuperndose de los errores en la transmisin. G.711, G.729, GSM y speex son cdecs habituales
dentro de la Voz IP.
G.711: Es uno de los cdecs ms utilizados, con dos versiones, una americana (ulaw) y otra europea
(alaw). Este cdec ofrece buena calidad pero su consumo de ancho de banda es bastante
significativo con 64kbps. Es el ms habitual para la comunicacin por voz en redes locales.
G.729: Tiene una compresin mucho mayor usando solamente 8kbps siendo ideal para las comunicaciones a travs de Internet. El inconveniente es que tiene algunas restricciones en su uso.
GSM: Es el mismo cdec que el usado en las redes de telefona celular. La calidad de voz no es muy
buena y usa 13kbps aproximadamente.
speex: Es un cdec libre de patentes diseado para voz. Es muy flexible a pesar de consumir ms
tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz,
16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband
respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.
5.4.3 Despliegue
Veamos los elementos implicados en el despliegue de Voz IP:
18
Asterisk es un software para centralitas telefnicas que eBox usa para implementar el mdulo de Voz IP
<http://www.asterisk.org/>.
151
Telfonos IP
Son telfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo
a una red Ethernet en lugar del habitual RJ11 de las redes telefnicas. Introducen caractersticas
nuevas como acceso a la agenda de direcciones, automatizacin de llamadas, etc. no presentes en
los telfonos analgicos convencionales.
152
Adaptadores Analgicos
Tambin conocidos como adaptadores ATA (Analog Telephony Adapter ), permiten conectar un telfono analgico convencional a una red de datos IP y hacer que este funcione como un telfono IP.
Para ello dispone de un puerto de red de datos RJ45 y uno o ms puertos telefnicos RJ11.
Softphones
Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin ms hardware adicional que los propios altavoces y micrfono del ordenador. Existen multitud de aplicaciones
para este propsito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (WengoPhone) estn disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting)
o Twinkle son nativas de este ltimo.
Centralitas IP
A diferencia de la telefona tradicional, dnde las llamadas pasaban siempre por la centralita, en la Voz
IP los clientes (telfonos IP o softphones) se registran en el servidor, el emisor pregunta por los datos
del receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento
de la llamada negocian un cdec comn para la transmisin de la voz.
Asterisk es una aplicacin exclusivamente software que funciona sobre cualquier servidor habitual
proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar
entre s distintos telfonos, a un proveedor de Voz IP, o bien a la red telefnica. Tambin ofrece
servicios como buzn de voz, conferencias, respuesta interactiva de voz, etc.
153
Figure 5.4: Qutecom
Figure 5.5: Twinkle
154
Para conectar el servidor de la centralita Asterisk a la red telefnica analgica se usan unas
tarjetas llamadas FXO (Foreign eXchange Office) que permiten a Asterisk funcionar como si fuera un
telfono convencional y redirigir las llamadas a travs de la red telefnica. Para conectar un telfono
analgico al servidor se debe usar una tarjeta FXS (Foreign eXchange Station) as se pueden adaptar
los terminales existentes a una nueva red de telefona IP.
Figure 5.6: Digium TDM422E FXO and FXS card
5.4.4 Configuracin de un servidor Asterisk con eBox

El mdulo de Voz IP de eBox permite gestionar un servidor Asterisk con los usuarios ya existentes
en el servidor LDAP del sistema y con las funcionalidades ms habituales configuradas de una forma
sencilla.
Como ya es habitual, en primer lugar deberemos habilitar el mdulo. Iremos a la seccin Estado
del Mdulo del men de eBox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el mdulo
Usuarios y Grupos deber ser habilitado previamente ya que depende de l.
A la configuracin general del servidor se accede a travs del men Voz IP General, una vez
all slo necesitamos configurar los siguientes parmetros generales:
155
Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensin
400 podremos escuchar la msica de espera, llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensin 600 se dispone de una prueba
de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones
nos permiten comprobar que nuestro cliente esta correctamente configurado.
Habilitar llamadas salientes: Habilita las llamadas salientes a travs del proveedor SIP que tengamos configurado para llamar a telfonos convencionales. Para realizar llamadas a travs
del proveedor SIP tendremos que aadir un cero adicional antes del nmero a llamar, por
ejemplo si queremos llamar a las oficinas de eBox Technologies (+34 976733506, o mejor
0034976733506), pulsaramos 00034976733506.
Extensin de buzn de voz: Es la extensin donde podemos consultar nuestro buzn de voz. El
usuario y la contrasea es la extensin adjudicada por eBox al crear el usuario o al asignrsela
por primera vez. Recomendamos cambiar la contrasea inmediatamente desde el Rincn
del Usuario 19 . La aplicacin que reside en esta extensin nos permite cambiar el mensaje de
bienvenida a nuestro buzn, escuchar los mensajes en l y borrarlos. Esta extensin solamente
es accesible por los usuarios de nuestro servidor, no aceptar llamadas entrantes de otros
servidores por seguridad.
Dominio Voz IP: Es el dominio que se asignar a las direcciones de nuestros usuarios. As pues un
usuario usuario, que tenga una extensin 1122 podr ser llamado a usuario@dominio.tld o
1122@dominio.tld.
19
156
El Rincn del Usuario se explica en la seccin Rincn del Usuario.
En la seccin de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor
SIP para que eBox pueda redirigir las llamadas a travs de l:
Proveedor: Si estamos usando eBox VoIP Credit
20
, seleccionaremos esta opcin que preconfigu-
rar el nombre del proveedor y el servidor. En otro caso usaremos Personalizado.

Nombre: Es el identificador que se da al proveedor dentro de eBox.
Nombre de usuario: Es el nombre de usuario del proveedor.
Contrasea: Es la contrasea de usuario del proveedor.
Servidor: Es el nombre de dominio del servidor del proveedor.
Destino de las llamadas entrantes: Es la extensin interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor.
En la seccin de Configuracin NAT definiremos la posicin en la red de nuestra mquina eBox.
Si tiene una IP pblica la opcin por defecto eBox est tras NAT: No es correcta. Si tiene una IP
privada deberemos indicar a Asterisk cul es la IP pblica que obtenemos al salir a Internet. En caso
de tener una IP pblica fija simplemente la introduciremos en Direccin IP fija; si nuestra IP pblica
es dinmica tendremos que configurar el servicio de DNS dinmico (DynDNS) de eBox disponible en
Red
DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre
de mquina dinmico.
En la seccin de Redes locales podremos aadir las redes locales a las que accedemos desde
eBox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados
desde eBox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del
protocolo SIP en entornos con NAT.
A la configuracin de las conferencias se accede a travs Voz IP Conferencias. Aqu podemos
configurar salas de reunin multiconferencia. La extensin de estas salas deber residir en el rango
8001-8999 y podrn tener opcionalmente una contrasea de entrada, una contrasea administrativa y una descripcin. A estas extensiones se podr acceder desde cualquier servidor simplemente
marcando extension@dominio.tld.
Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuario
y cambiar su extensin. Hay que tener en cuenta que una extensin slamente puede asignarse a
un usuario y no a ms, si necesitas llamar a ms de un usuario desde una extensin ser necesario
utilizar colas.
20
Puedes comprar eBox VoIP credit en nuestra tienda.
157
158
Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola
es una extensin dnde al recibir una llamada, se llama a todos los usuarios que pertenecen a este
grupo.
Si queremos configurar la msica de espera, colocaremos las canciones en formato MP3 en

/var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg123.
5.4.5 Configurando un softphone para conectar a eBox

Ekiga (Gnome)
Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome. Al lanzarlo por primera vez presenta un asistente para configurar datos personales del usuario, dispositivos
de sonido y vdeo, la conexin a Internet y los servicios de Ekiga.net. Podemos omitir la configuracin
tanto de la cuenta en Ekiga.net como de Ekiga Call Out.
21
Ekiga: Free your speech <http://ekiga.org/>
159
Desde Editar > Cuentas, seleccionando Cuentas > Aadir una cuenta SIP podremos configurar la cuenta de Voz IP de eBox Platform.
Nombre: Es el identificador de la cuenta dentro de Ekiga.
Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox.
Usuario y Usuario para autenticacin: Son el nombre de usuario de eBox.
Contrasea: Es la contrasea de usuario de eBox.
Tras configurar la cuenta se intentar registrar en el servidor.
Para realizar una llamada tan slo hay que escribir el nmero o direccin SIP en la barra superior
y llamar usando el icono del telfono verde a la derecha. Para colgar se usa el icono del telfono rojo
a la derecha tambin.
160
Qutecom (Multiplataforma)
Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que est disponible en las tres plataformas ms extendidas: Linux, OSX y Windows. Tambin al lanzarlo por primera vez nos presentar un
asistente para configurar la cuenta de Voz IP.
Tenemos un teclado numrico o una lista de contactos para realizar llamadas. Se usan los
botones verde / rojo en la parte inferior para llamar y colgar.
22
QuteCom: Free VOIP Softphone http://www.qutecom.org
161
5.4.6 Usando las funcionalidades de eBox Voz IP

Transferencia de llamadas
La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversacin, pulsando
# y despus introduciendo la extensin a dnde queremos reenviar la llamada podremos realizar una
transferencia. En ese momento, podremos colgar ya que esta llamada estar marcando la extensin
a donde ha sido transferida.
Aparcamiento de llamadas
El aparcamiento de llamadas se realiza sobre la extensin 700. Durante el transcurso de una conversacin, pulsaremos
# y despus marcaremos 700. La extensin donde la llamada ha sido aparcada
ser anunciada a la parte llamada y quien estaba llamando comenzar a escuchar la msica de espera, si est configurada. Podremos colgar en ese momento. Desde un telfono distinto u otro usuario
distinto marcando la extensin anunciada podremos recoger la llamada aparcada y restablecer la conversacin.
En eBox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo mximo que una
llamada puede esperar son 300 segundos.
162
Ejemplo prctico
Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensin a 1500.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Voz IP marcando
la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no est activado
deberemos activarlo previamente pues depende de l. Entonces se informa sobre los cambios
que se van a realizar en el sistema. Permitiremos la operacin pulsando el botn Aceptar.
2. Accin: Acceder al men Voz IP. En el campo Dominio Voz IP escribir el nombre de dominio
que corresponda a esta mquina. Este dominio deber poder resolverse desde las mquinas
de los clientes del servicio. Pulsar el botn Cambiar.
muestra.
El servicio de Voz IP est preparado para usarse.
4. Accin:
Acceder al men Usuarios y Grupos
Usuarios Aadir Usuario. Completar
la informacin del formulario para crear un nuevo usuario. Pulsar el botn Crear
Usuario.
Efecto: eBox crea un nuevo usuario y nos muestra el perfil con las opciones de este.
5. Accin: En la seccin Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o
desactivada y la extensin que tiene asignada. Cerciorarse de que la cuenta est activada, ya
que todos los usuarios creados mientras el mdulo de Voz IP est habilitado tienen la cuenta
activada. Por ltimo, cambiar la extensin asignada por defecto, que es la primera libre del
rango de extensiones de usuarios, a la extensin 1500 que desebamos. Pulsar el botn
Aplicar cambios de la seccin Cuenta de Voz IP.
Efecto: eBox aplica los cambios realizados inmediatamente, el usuario ya puede recibir llamadas sobre esa extensin.
163
164
Chapter 6
eBox Unified Threat Manager
En este apartado se vern diferentes tcnicas para proteger la red ms all de un simple cortafuegos,
evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen.
El correo electrnico sin un buen filtrado de correo no funciona correctamente, en este tema se
vern diferentes tcnicas para evitar el correo basura (spam) y los virus en el correo electrnico con
eBox.
El trfico Web tambin puede traer problemas dependiendo de los lugares que se visiten. Por ello,
en este tema se explicar la integracin del filtrado de contenidos del proxy HTTP con un antivirus y
diversas configuraciones ms avanzadas para dar mayor seguridad a la navegacin por Internet de
los usuarios de la red.
En este apartado, se explicar como conectar de manera segura a los empleados fuera de la
oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales, para ello
se definirn las bases que sigue la seguridad en la red.
Finalmente, la deteccin de intrusos a travs de reglas de ataque se vern tambin en este
apartado. De una forma sencilla, podemos recibir notificaciones de ataques y analizar los daos que
hayan podido causar.
6.1
Filtrado de correo electrnico

Los principales problemas en el sistema de correo electrnico son el spam y los virus.
165
El spam, o correo electrnico no deseado, distrae la atencin del usuario que tiene que bucear
en su bandeja de entrada para encontrar los correos legtimos. Tambin genera una gran cantidad de
trfico que puede afectar al funcionamiento normal de la red y del servicio de correo.
Aunque los virus informticos no afectan al sistema en el que est instalado eBox, un correo
electrnico que contenga un virus puede infectar otras mquinas clientes de la red.
6.1.1 Esquema del filtrado de correo de eBox

Para defendernos de estas amenazas, eBox dispone de un filtrado de correo bastante potente y
flexible.
Figure 6.1: Esquema del filtrado de correo en eBox
En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es vlido
o no. En primer lugar, el servidor de correo enva el correo al gestor de polticas de listas grises. Si el
correo supera este filtro, pasar al filtro de correo donde se examinarn una serie de caractersticas del
correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadstico.
Si supera todos esos filtros, entonces se determina que el correo es vlido y se emite a su receptor o
se almacena en un buzn del servidor.
En esta seccin vamos a explicar paso a paso en qu consiste cada uno de estos filtros y cmo
se configuran en eBox.
166
CHAPTER 6. EBOX UNIFIED THREAT MANAGER
Lista gris
Una greylist (lista gris)
es un mtodo de defensa contra el spam que no descarta correos, slo le
pone ms difcil el trabajo a un servidor de correo que acta como spammer (emisor de correo spam
o basura).
En el caso de eBox, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor
nuevo quiere enviarle un correo, eBox le dice Estoy fuera de servicio en este momento, intntalo en
300 segundos.
, si el servidor remitente cumple la especificacin reenviar el correo pasado ese
tiempo y eBox lo apuntar como un servidor correcto.

En eBox, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con
poltica de permitir retransmisin y al que tiene como remitente una direccin que se encuentra en la
lista blanca del antispam.
Sin embargo, los servidores que envan Spam no suelen seguir el estndar y no reenviarn el
correo. As habramos evitado los mensajes de Spam.
Figure 6.2: Esquema del funcionamiento de una lista gris
El Greylist se configura desde Correo Lista gris con las siguientes opciones:
1
eBox usa postgrey http://postgrey.schweikert.ch/ como gestor de esta poltica en postfix.

Realmente el servidor de correo enva como respuesta Greylisted, es decir, puesto en la lista gris en espera de
permitir el envo de correo o no pasado el tiempo configurado.
2
167
Habilitado: Marcar para activar el greylisting.

Duracin de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de
reenviar el correo.
Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar
correos. Si el servidor ha enviado algn correo durante ese tiempo, dicho servidor pasar
a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera
sin restricciones temporales.
Tiempo de vida de las entradas (das): Das que se almacenarn los datos de los servidores evaluados en la lista gris. Si pasan ms de los das configurados, cuando el servidor quiera volver a
enviar correos tendr que pasar de nuevo por el proceso de greylisting descrito anteriormente.
Verificadores de contenidos
El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para
realizar esta tarea eBox usa un interfaz entre el MTA (postfix) y dichos programas. Para ello, se usa
el programa amavisd-new
que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer
Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta
interfaz realiza las siguientes comprobaciones:
Listas blancas y negras de ficheros y extensiones.
Filtrado de correos con cabeceras mal-formadas.
3
168
Amavisd-new: http://www.ijs.si/software/amavisd/
Antivirus
El antivirus que usa eBox es ClamAV 4 , el cual es un conjunto de herramientas antivirus para UNIX
especialmente diseadas para escanear adjuntos en los correos electrnicos en un MTA. ClamAV
posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a travs del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos
virus que se van encontrando. Adems, el antivirus es capaz de escanear de forma nativa diversos
formatos de fichero como por ejemplo Zip, BinHex, PDF, etc.
En Antivirus se puede comprobar si est instalado y actualizado el antivirus en el sistema.
Se puede actualizar desde Gestin de Software, como veremos en Actualizacin de software.

Si el antivirus est instalado y actualizado, eBox lo tendr en cuenta dependiendo de la configuracin del filtro SMTP, el proxy POP, el proxy HTTP o incluso podra funcionar para la comparticin de
ficheros.
Antispam
El filtro antispam asigna a cada correo un puntuacin de spam, si el correo alcanza la puntuacin
umbral de spam es considerado correo basura, si no es considerado correo legtimo. A este ltimo
tipo de correo se le suele denominar ham.
El detector de spam usa las siguientes tcnicas para asignar la puntuacin:
Listas negras publicadas va DNS (DNSBL).
Listas negras de URI que siguen los sitios Web de Spam.
Filtros basados en el checksum de los mensajes.
Entorno de poltica de emisor (Sender Policy Framework o SPF) RFC 4408.
DomainKeys Identified Mail (DKIM)
4
Clam Antivirus: http://www.clamav.net/
169
Filtro bayesiano
Reglas estticas
Otros.
Entre estas tcnicas el filtro bayesiano debe ser explicado con ms detenimiento. Este tipo de
filtro hace un anlisis estadstico del texto del mensaje obteniendo una puntuacin que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el anlisis no se hace contra un conjunto esttico
de reglas sino contra un conjunto dinmico, que es creado suministrando mensajes ham y spam al
filtro de manera que pueda aprender cuales son las caractersticas estadsticas de cada tipo.
La ventaja de esta tcnica es que el filtro se puede adaptar al siempre cambiante flujo de spam,
las desventajas es que el filtro necesita ser entrenado y que su precisin reflejar la calidad del
entrenamiento recibido.
eBox usa Spamassassin 6 como detector de spam.
La configuracin general del filtro se realiza desde Filtro de correo Antispam:
5
Existe una lista muy larga de tcnicas antispam que se puede consultar en http://en.wikipedia.org/wiki/Antispam_techniques_(e-mail)
6
The Powerful #1 Open-Source Spam Filter http://spamassassin.apache.org .
170
Umbral de Spam: Puntuacin a partir de la cual un correo se considera como Spam.

Etiqueta de asunto Spam: Etiqueta para aadir al asunto del correo en caso de que sea Spam.
Usar clasificador bayesiano: Si est marcado se emplear el filtro bayesiano, si no ser ignorado.
Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. Esto
es, si el remitente ha enviado mucho correo como ham es altamente probable que el prximo
correo que enve sea ham y no spam.
Auto-aprendizaje: Si est marcado, el filtro aprender de los mensajes recibidos, cuya puntuacin
traspase los umbrales de auto-aprendizaje.
Umbral de auto-aprendizaje de spam: Puntuacin a partir de la cual el filtro aprender automticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar
posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam.
171
Umbral de auto-aprendizaje de ham: Puntuacin a partir de la cual el filtro aprender automticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar
falsos negativos. Su valor debera ser menor que 0.
Desde Poltica de emisor podemos marcar los remitentes para que siempre se acepten sus
correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el
filtro antispam (procesar ).
Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano envindole un
buzn de correo en formato Mbox
que nicamente contenga spam o ham. Existen en Internet
muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser ms exacto entrenarlo
con correo recibido en los sitios a filtrar. Conforme ms entrenado est el filtro, mejor ser el resultado
de la decisin de tomar un correo como basura o no.
Listas de control basadas en ficheros

Es posible filtrar los ficheros adjuntos que se envan en los correos a travs de Filtro de correo
ACL por fichero (File Access Control Lists).

All podemos permitir o bloquear correos segn las extensiones de los ficheros adjuntos o de sus
tipos MIME.
7
Mbox y maildir son formatos de almacenamiento de correos electrnicos y es dependiente del cliente de correo
electrnico. En el primero todos los correos se almacenan en un nico fichero y con el segundo formato, se almacenan
en ficheros separados diferentes dentro de un directorio.
172
Filtrado de Correo SMTP

Desde Filtro de correo
Filtro de correo SMTP se puede configurar el comportamiento de los fil-
tros anteriores cuando eBox reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante:
173
Habilitado: Marcar para activar el filtro SMTP.

Antivirus habilitado: Marcar para que el filtro busque virus.
Antispam habilitado: Marcar para que el filtro busque spam.
Puerto de servicio: Puerto que ocupar el filtro SMTP.
Notificar los mensajes problemticos que no son spam: Podemos enviar notificaciones a una
cuenta de correo cuando se reciben correos problemticos que no son spam, por ejemplo
con virus.
Desde Polticas de filtrado se puede configurar qu debe hacer el filtro con cada tipo de correo.
Por cada tipo de correo problemtico, se pueden realizar las siguientes acciones:
Aprobar: No hacer nada, dejar pasar el correo a su destinatario.
Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el
mensaje ha sido descartado.
Rebotar: Igual que Rechazar, pero adjuntando una copia del mensaje en la notificacin.
Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente.
Filtro de correo SMTP Dominios virtuales se puede configurar el
comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben
las configuraciones generales definidas previamente.
Para personalizar la configuracin de un dominio virtual de correo, pulsamos sobre Aadir nuevo.
174
Los parmetros que se pueden sobreescribir son los siguientes:

Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan
configurado en Correo Dominio Virtual.
Usar filtrado de virus / spam: Si estn activados se filtrarn los correos recibidos en ese dominio
en busca de virus o spam respectivamente.
Umbral de spam: Se puede usar la puntuacin por defecto de corte para los correos Spam, o un
valor personalizado.
Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado, cuando mensajes de
correo se coloquen en la carpeta de Spam sern aprendidos por el filtro como spam. De
manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera
aprendido como ham.
Cuenta de aprendizaje de ham / spam: Si estn activados se crearn las cuentas ham@dominio
y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para
entrenar al filtro. Todo el correo enviado a ham@dominio ser aprendido como correo no spam,
mientras que el correo enviado a spam@dominio ser aprendido como spam.
Una vez aadido el dominio, se pueden aadir direcciones a su lista blanca, lista negra o que sea
obligatorio procesar desde Poltica antispam para el emisor.
6.1.2 Listas de control de conexiones externas

Filtro de correo SMTP Conexiones externas se pueden configurar las
conexiones desde MTAs externos mediante su direccin IP o nombre de dominio hacia el filtro de
correo que se ha configurado usando eBox. De la misma manera, se puede permitir a esos MTAs
externos filtrar correo de aquellos dominios virtuales externos a eBox que se permitan a travs de su
175
configuracin en esta seccin. De esta manera, eBox puede distribuir su carga en dos mquinas, una
actuando como servidor de correo y otra como servidor para filtrar correo.
6.1.3 Proxy transparente para buzones de correo POP3

Si eBox est configurado como un proxy transparente, puede filtrar el correo POP. La mquina eBox
se colocar entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los
servidores de correo (MTA). Para ello, eBox usa p3scan 8 .
Proxy transparente POP se puede configurar el comportamiento del
filtrado:
Habilitado: Si est marcada, se filtrar el correo POP.

8
176
Transparent POP proxy http://p3scan.sourceforge.net/
Filtrar virus: Si est marcada, se filtrar el correo POP en busca de virus.

Filtrar spam: Si est marcada, se filtrar el correo POP en busca de spam.
Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, ponindola aqu
avisaremos al filtro para que tome los correos con esa cabecera como spam.
Ejemplo prctico
Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo filtro de correo, para
ello marcar su casilla en la columna Estado. Habilitar primero los mdulos red y cortafuegos
si no se encuentran habilitados con anterioridad.
3. Accin: Acceder al men Filtro de Correo
Filtro de correo SMTP, marcar las casillas Ha-
bilitado y Antivirus habilitado y pulsar el botn Cambiar.

Efecto: eBox nos avisa de que hemos modificado satisfactoriamente las opciones mediante el
mensaje Hecho.
4. Accin: Acceder a Correo General Opciones de Filtrado de Correo y seleccionar Filtro
de correo interno de eBox.
Efecto: eBox usar su propio sistema de filtrado.
muestra.
El filtro de correo ha sido activado con la opcin de antivirus.
6. Accin: Descargar el fichero http://www.eicar.org/download/eicar_com.zip, que contiene un
virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de
eBox.
Efecto: El correo nunca llegar a su destino porque el antivirus lo habr descartado.
177
7. Accin: Acceder a la consola de la mquina eBox y examinar las ltimas lneas del fichero
/var/log/mail.log, por ejemplo mediante el uso del comando tail.
Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especificndonos el nombre del virus:
Blocked INFECTED (Eicar-Test-Signature)
6.2
Configuracin Avanzada para el proxy HTTP

6.2.1 Configuracin de perfiles de filtrado
La configuracin de perfiles de filtrado se realiza en la seccin Proxy HTTP Perfiles de Filtrado.
Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u
objetos de red.
Las opciones de configuracin son idnticas a las explicadas en la configuracin del perfil por
defecto, con una importante salvedad: es posible usar la misma configuracin del perfil por defecto
en las distintas reas de configuracin. Para ello basta con marcar la opcin Usar configuracin por
defecto.
6.2.2 Perfil de filtrado por objeto

Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este
objeto usaran el perfil seleccionado en vez del perfil por defecto.
178
Para ello, hay que acceder a la seccin Proxy HTTP
Poltica de objetos y cambiar el perfil
de filtrado en la linea correspondiente al objeto. Esta opcin requiere que la poltica del objeto este
establecida a Filtrar.
6.2.3 Filtrado basado en grupos de usuarios

Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello primero
debemos usar como poltica global o del objeto de red desde el cul accedemos al proxy, una de las
siguientes: Autorizar y permitir todo, Autorizar y denegar todo o Autorizar y filtrar.
Estas polticas hacen que el proxy pida identificacin de usuario y de no ser satisfactoria se
bloquear el acceso.
Warning: Hay que tener en cuenta que, por una limitacin tcnica de la autenticacin HTTP, las
polticas con autenticacin son incompatibles con el modo transparente.
Si tenemos establecida una poltica global con autorizacin podremos tambin establecer polticas
globales de grupo, la poltica nos permitir controlar el acceso a los miembros del grupo y asignarle
un perfil de filtrado distinto del perfil por defecto.
Las polticas de grupo se gestionan en la seccin Proxy HTTP
Poltica de Grupo. El acceso
del grupo puede ser permitir o denegar. Esto slo afecta al acceso a la web, la activacin del filtrado
de contenidos no depende de esto sino de que tengamos una poltica global o de objeto de filtrar. A
la poltica de grupo se le puede asignar un horario, fuera del horario el acceso ser denegado.
Cada poltica de grupo tiene una prioridad reflejada en su posicin en la lista (primero en la lista,
mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios
grupos, en cuyo caso le afectarn nicamente las polticas adoptadas al grupo de mayor prioridad.
Tambin aqu se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de
contenidos a miembros del grupo de usuarios. En la prxima seccin se explica el uso de los perfiles
de filtrado.
179
6.2.4 Filtrado basado en grupos de usuarios para objetos

Recordamos que es posible configurar polticas por objeto de red. Dichas polticas tienen prioridad
sobre la poltica general del proxy y sobre las polticas globales de grupo.
Adems en caso de que hayamos elegido una poltica con autorizacin, es posible tambin definir
polticas por grupo. Las polticas de grupo en este caso slo influyen en el acceso y no en el filtrado
que vendr determinado por la poltica de objeto. Al igual que en la poltica general, las polticas con
autorizacin son incompatibles con el filtrado transparente.
Por ltimo, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las polticas
de objeto. Por tanto, un grupo usar el perfil de filtrado establecido en su poltica global de grupo, sea
cual sea el objeto de red desde el que se acceda al proxy.
Ejemplo prctico
Tenemos que crear una poltica de acceso para dos grupos: IT y Contabilidad. Los miembros del
grupo de contabilidad slo podrn acceder en horario de trabajo y tendrn el contenido filtrado con
mayor umbral que el resto de la empresa. Los miembros de IT podrn entrar a cualquier hora, no
tendrn filtrado pero tendrn denegada la misma listas de dominios que el resto de la empresa. Asumimos que los grupos y sus usuarios ya estn creados.
Para ello, podemos seguir estos pasos:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo Proxy, para ello
Efecto: Una vez los cambios guardados, se pedir autenticacin a todo el que trate de acceder
al contenido web y de acceder el filtrado de contenidos estar activado.
180
2. Accin: Entrar a la gestin de perfiles de filtrado, situada en Proxy HTTP
Perfiles de Fil-
trado. Primero, agregar al perfil por defecto la lista de dominios prohibidos por la empresa.
Entrar por medio del icono en la columna de Configuracin a los parmetros del perfil por defecto. Seleccionar la pestaa Filtrado de dominios y en la lista de dominios aadir marca.es
y youtube.com.
A continuacin, volver a Proxy HTTP
Perfiles de Filtrado, y crear dos nuevos perfiles de
filtrado para nuestros grupos, con los nombres Perfil IT y Perfil contabilidad. Seguidamente
configuraremos ambos.
El Perfil contabilidad tan slo debe distinguirse por la poca tolerancia de su umbral, as que en
umbral de filtrado lo estableceremos al valor muy estricto, el resto de configuracin debe seguir
la poltica por defecto de la empresa as que tanto en Filtro de dominios, como en Filtro de
extensiones de fichero y en Filtro de tipos MIME marcaremos la opcin Usar configuracin
por defecto asegurndonos as que el comportamiento para estos elementos no diferir de la
poltica por defecto.
En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los
que debemos seguir la poltica habitual. En consecuencia iremos a Filtro de dominios y
marcaremos la opcin Usar configuracin por defecto, el nivel de umbral lo dejaremos en
Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME, vacas.
Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuarios.
3. Accin: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos. Para ello entraremos en Proxy HTTP Poltica de grupo.
Pulsaremos sobre Aadir nueva, seleccionaremos Contabilidad como grupo, estableceremos
el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de
contabilidad.
De igual manera crearemos una poltica para el grupo IT. Para este grupo seleccionaremos el
Perfil IT y no pondremos ninguna restriccin en cuanto horario.
Efecto: Una vez guardados los cambios, habremos finalizado la configuracin para este caso.
Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las
dos polticas. Algunas cosas que podemos comprobar:
Entrar como miembro de contabilidad en www.playboy.com y comprobar que es
denegada por el anlisis de contenidos. A continuacin entrar como miembro de IT
y comprobar que el anlisis esta desactivado entrando en dicha pgina.
181
Tratar de entrar en alguno de los dominios prohibidos, comprobando que la lista

est en vigor para ambos grupos.
Cambiar la fecha a un da no laborable, comprobar que los miembros de IT pueden
acceder pero los de Contabilidad, no.
6.3
Interconexin segura entre redes locales

6.3.1 Redes privadas virtuales (VPN)
Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios
remotos a travs de Internet como para unir redes dispersas geogrficamente.
Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que
dichos usuarios, al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a
ella. La solucin obvia es permitir la conexin a travs de Internet. Esto nos puede crear problemas
de seguridad y configuracin, los cuales se tratan de resolver mediante el uso de las redes privadas
virtuales.
La solucin que ofrece una VPN (Virtual Private Network ) a este problema es el uso de cifrado
para permitir slo el acceso a los usuarios autorizados (de ah el adjetivo privada). Para facilitar el uso
y la configuracin, las conexiones aparecen como si existiese una red entre los usuarios (de ah lo de
virtual).
La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizacin puede
desear conectar entre s redes que se encuentran en sitios distintos. Por ejemplo, oficinas en distintas ciudades. Antes, la solucin a este problema estaba en la contratacin de lneas dedicadas para
conectar dichas redes, este servicio es costoso y lento de desplegar. Sin embargo, el avance de Internet proporcion un medio barato y ubicuo, pero inseguro. De nuevo las caractersticas de autorizacin
y virtualizacin de las VPN resultaron la respuesta adecuada a dicho problema.
A este respecto, eBox ofrece dos modos de funcionamiento. Permite funcionar como servidor
para usuarios individuales y tambin como conexin entre dos o ms redes gestionadas con eBox.
182
6.3.2 Infraestructura de clave pblica (PKI) con una autoridad de certificacin

(CA)
La VPN que usa eBox para garantizar la privacidad e integridad de los datos transmitidos utiliza
cifrado proporcionado por tecnologa SSL. La tecnologa SSL est extendida y lleva largo tiempo en
uso, as que podemos estar razonablemente seguros de su eficacia. Sin embargo, todo mecanismo de
cifrado tiene el problema de cmo distribuir las claves necesarias a los usuarios, sin que estas puedan
ser interceptadas por terceros. En el caso de las VPN, este paso es necesario cuando un nuevo
participante ingresa en la red privada virtual. La solucin adoptada es el uso de una infraestructura
de clave pblica (Public Key Infraestructure - PKI). Esta tecnologa nos permite la utilizacin de claves
en un medio inseguro, como es el caso de Internet, sin que sea posible la interceptacin de la clave
por observadores de la comunicacin.
La PKI se basa en que cada participante genera un par de claves: una pblica y una privada.
La pblica es distribuida y la privada guardada en secreto. Cualquier participante que quiera cifrar
un mensaje puede hacerlo con la clave pblica del destinatario, pero el mensaje slo puede ser descifrado con la clave privada del mismo. Como esta ltima no debe ser comunicada a nadie nos
aseguramos que el mensaje slo pueda ser descifrado por el destinatario. No obstante, esta solucin
engendra un nuevo problema. Si cualquiera puede presentar una clave pblica, cmo garantizamos
que un participante es realmente quien dice ser y no est suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certificados.
Figure 6.3: Cifrado con clave pblica

Los certificados aprovechan otra capacidad de la PKI: la posibilidad de firmar ficheros. Para
firmar ficheros se usa la propia clave privada del firmante y para verificar la firma cualquiera puede
9
Existe mucha documentacin sobre el cifrado basado en clave pblica. Este enlace puede ser un comienzo:
http://en.wikipedia.org/wiki/Public-key_encryption
183
Figure 6.4: Firmado con clave pblica
usar la clave pblica. Un certificado es un fichero que contiene una clave pblica, firmada por un
participante en el que confiamos. A este participante en el que depositamos la confianza de verificar
las identidades se le denomina autoridad de certificacin (Certification Authority - CA).
Figure 6.5: Expedicin de un certificado
6.3.3 Configuracin de una Autoridad de Certificacin con eBox

eBox tiene integrada la gestin de la Autoridad de Certificacin y del ciclo de vida de los certificados
expedidos por esta para tu organizacin. Utiliza las herramienta de consola OpenSSL
10
184
OpenSSL - The open source toolkit for SSL/TLS <http://www.openssl.org/>.
10
para este
servicio.
Primero, es necesario generar las claves y expedir el certificado de la CA. Este paso es necesario
para firmar nuevos certificados, as que el resto de funcionalidades del mdulo no estarn disponibles
hasta que las claves de la CA se generen y su certificado, que es auto firmado, sea expedido. Tngase
en cuenta que este mdulo es independiente y no necesita ser activado en Estado del Mdulo.
Accederemos a Autoridad de Certificacin
General y nos encontraremos ante el formulario
para expedir el certificado de la CA tras generar automticamente el par de claves. Se requerir el

Nombre de la Organizacin y el Nmero de Das para Expirar. A la hora de establecer la duracin
hay que tener en cuenta que su expiracin revocar todos los certificados expedidos por esta CA,
provocando la parada de todos los servicios que dependan de estos certificados. Tambin es posible
dar los siguientes datos de manera opcional:
Cdigo del Pas Un acrnimo de dos letras que sigue el estndar ISO-3166.
Ciudad
Estado o Regin
185
Una vez que la CA ha sido creada, seremos capaces de expedir certificados firmados por esta
CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certificacin
General. Los datos necesarios son el Nombre Comn del certificado y los Das para Expirar. Este
ltimo dato est limitado por el hecho de que ningn certificado puede ser vlido durante ms tiempo
que la CA. En el caso de que estemos usando estos certificados para un servicio como podra ser un
servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio
del servidor. De todas maneras, se puede poner cualquier nmero de Nombres alternativos para
el sujeto
HTTP
12
11
para el certificado para, por ejemplo, establecer otro nombre comn a un dominio virtual
o una direccin IP o incluso una direccin de correo para firmar los mensajes de correo
electrnico.
Una vez el certificado haya sido creado, aparecer en la lista de certificados y estar disponible
para los mdulos de eBox que usen certificados y para las dems aplicaciones externas. Adems, a
travs de la lista de certificados podemos realizar distintas acciones con ellos:
Descargar las claves pblica, privada y el certificado.
Renovar un certificado.
11
Para
tener
ms
informacin
sobre
los
nombres
alternativos
para
un
sujeto,
visita
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
12
Para ms informacin sobre los dominios virtuales en HTTP, investiga en la seccin Dominios virtuales para obtener
ms detalles.
186
Revocar un certificado.
Si renovamos un certificado, el certificado actual ser revocado y uno nuevo con la nueva fecha
de expiracin ser expedido junto al par de claves.
Si revocamos un certificado no podremos utilizarlo ms ya que esta accin es permanente y no

se puede deshacer. Opcionalmente podemos seleccionar la razn para revocarlo:
unspecified Motivo no especificado
keyCompromise La clave privada ha sido comprometida
CACompromise La clave privada de la autoridad de certificacin ha sido comprometida
affilliationChanged Se ha producido un cambio en la afiliacin de la clave pblica firmada hacia otra
organizacin.
superseded El certificado ha sido renovado y por tanto reemplaza al emitido.
cessationOfOperation Cese de operaciones de la entidad certificada.
certificateHold Certificado suspendido.
removeFromCRL Actualmente sin implementar da soporte a los CRLs delta o diferenciales.
Si se renueva la CA, todos los certificados se renovarn con la nueva CA tratando de mantener la
antigua fecha de expiracin, si esto no es posible debido a que es posterior a la fecha de expiracin
de la CA, entonces se establecer la fecha de expiracin de la CA.
187
Cuando un certificado expire, el resto de mdulos sern notificados. La fecha de expiracin de

cada certificado se comprueba una vez al da y cada vez que se accede al listado de certificados.
Certificados de Servicios
En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos

de eBox usando certificados para sus servicios. Por omisin estos son generados por cada mdulo,
pero si estamos usando la CA podemos remplazar estos certificados auto firmados por uno expedido
por la CA de nuestra organizacin. Para cada servicio podemos definir el Nombre Comn del certificado y si no hay un certificado con ese Nombre Comn, la CA expedir uno. Para ofrecer este par
de claves y el certificado firmado al servicio deberemos Activar el certificado para ese servicio.
Cada vez que un certificado se renueva se ofrece de nuevo al mdulo de eBox pero es necesario
reiniciar ese servicio para forzarlo a usar el nuevo certificado.
Ejemplo prctico A
Crear una autoridad de certificacin (CA) vlida durante un ao, despus crear un certificado llamado
servidor y crear dos certificados para clientes llamados cliente1 y cliente2.
1. Accin: En Autoridad de Certificacin General, en el formulario Expedir el Certificado de
la Autoridad de Certificacin rellenamos los campos Nombre de la Organizacin y Das
para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificacin.
Efecto: El par de claves de la Autoridad de Certificacin es generados y su certificado expedido. La nueva CA se mostrar en el listado de certificados. El formulario para crear la
Autoridad de Certificacin ser sustituido por uno para expedir certificados normales.
188
2. Accin: Usando el formulario Expedir un Nuevo Certificado para expedir certificados, escribiremos servidor en Nombre Comn y en Das para Expirar un nmero de das
menor o igual que el puesto en el certificado de la CA. Repetiremos estos pasos con los
nombres cliente1 y cliente2.
Efecto: Los nuevos certificados aparecern en el listado de certificados, listos para ser usados.
6.3.4 Configuracin de una VPN con eBox

El producto seleccionado por eBox para crear las VPN es OpenVPN
13
. OpenVPN posee las sigu-
ientes ventajas:
Autenticacin mediante infraestructura de clave pblica.
Cifrado basado en tecnologa SSL.
Clientes disponibles para Windows, MacOS y Linux.
Cdigo que se ejecuta en espacio de usuario, no hace falta modificacin de la pila de red (al
contrario que con IPSec).
Posibilidad de usar programas de red de forma transparente.
Cliente remoto con VPN

Se puede configurar eBox para dar soporte a clientes remotos (conocidos familiarmente como Road
Warriors). Esto es, una mquina eBox trabajando como puerta de enlace y como servidor OpenVPN,
que tiene una red de rea local (LAN) detrs, permitiendo a clientes en Internet (los road warriors)
conectarse a dicha red local va servicio VPN.
La siguiente figura puede dar una visin ms ajustada:
Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos ltimos
entre s.
Para ello, necesitamos crear una Autoridad de Certificacin y certificados para los dos clientes
remotos. Tenga en cuenta que tambin se necesita un certificado para el servidor OpenVPN. Sin
embargo, eBox crear este certificado automticamente cuando cree un nuevo servidor OpenVPN.
En este escenario, eBox acta como una Autoridad de Certificacin.
13
OpenVPN: An open source SSL VPN Solution by James Yonan http://openvpn.net.
189
Figure 6.6: eBox y clientes remotos de VPN
Una vez tenemos los certificados, deberamos poner a punto el servidor OpenVPN en eBox mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un servidor
es el nombre. eBox hace que la tarea de configurar un servidor OpenVPN sea sencilla, ya que establece valores de forma automtica.
Los siguientes parmetros de configuracin son aadidos automticamente por eBox, y pueden
ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (eBox crear uno
automticamente usando el nombre del servidor OpenVPN) y una direccin de red. Las direcciones
de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la direccin de
red nos deberemos asegurar que no entra en conflicto con una red local. Adems, las redes locales,
es decir, las redes conectadas directamente a los interfaces de red de la mquina, se anunciarn
automticamente a travs de la red privada.
Como vemos, el servidor OpenVPN estar escuchando en todas las interfaces externas. Por
tanto, debemos poner al menos una de nuestras interfaces como externa va Red
Interfaces. En
nuestro escenario slo se necesitan dos interfaces, una interna para la LAN y otra externa para el
lado colocado hacia Internet. Es posible configurar nuestro servidor para escuchar en las interfaces
internas, activando la opcin de Network Address Translation (NAT), pero de momento la vamos a
ignorar.
Si queremos que los clientes puedan conectarse entre s usando su direccin de VPN, debemos
activar la opcin Permitir conexiones entre clientes.
El resto de opciones de configuracin las podemos dejar con sus valores por defecto.
190
Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor OpenVPN est funcionando.
Tras ello, debemos anunciar redes, dichas redes sern accesibles por los clientes OpenVPN
autorizados. Hay que tener en cuenta que eBox anunciar todas las redes internas automticamente.
Por supuesto, podemos aadir o eliminar las rutas que necesitemos. En nuestro escenario, se habr
aadido automticamente la red local para hacer visible el cliente 3 a los otros dos clientes.
Una vez hecho esto, es momento de configurar los clientes. La forma ms sencilla de configurar
un cliente OpenVPN es utilizando nuestros bundles. Estos estn disponibles en la tabla que aparece
en VPN
Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se han
creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS o
GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certificados
que se van dar al cliente y se establece la direccin IP externa a la cual los clientes VPN se deben
conectar. Si el sistema seleccionado es Windows, se incluye tambin un instalador de OpenVPN
para Win32. Los bundles de configuracin los descargar el administrador de eBox para distribuirlos
a los clientes de la manera que crea ms oportuna.
191
Un bundle incluye el fichero de configuracin y los ficheros necesarios para comenzar una conexin VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del
recientemente creado directorio, el siguiente comando:
openvpn --config filename

Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Hay que tener en cuenta que
el servicio local de DNS de eBox no funciona a travs de la red privada a no ser que se configuren
los clientes remotos para que usen eBox como servidor de nombres. Es por ello que no podremos
acceder a los servicios de las mquinas de la LAN por nombre, nicamente podremos hacerlo por
direccin IP. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos por
Windows, para navegar en los recursos compartidos desde la VPN se deben explcitamente permitir
el trfico de difusin del servidor SMB/CIFS.
Para conectar entre s los clientes remotos, necesitamos activar la opcin Permitir conexiones
cliente-a-cliente dentro de la configuracin del servidor OpenVPN. Para comprobar que la configuracin es correcta, observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se
han aadido al interfaz virtual tapX.
Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de eBox.
Ejemplo prctico B
En este ejercicio vamos a configurar un servidor de VPN. Configuraremos un cliente en un ordenador
residente en una red externa, conectaremos a la VPN y a travs de ella accederemos a una mquina
residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna.
14
Para ms informacin sobre comparticin de ficheros ir a la seccin Servicio de comparticin de ficheros y de autenticacin
192
Para ello:
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo OpenVPN, para ello
Efecto: eBox solicita permiso para realizar algunas acciones.
2. Accin: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo.
Efecto: Se ha activado el botn Guardar cambios.
3. Accin: Acceder a la interfaz de eBox, entrar en la seccin VPN
Servidores, pulsar sobre
Aadir nuevo, aparecer un formulario con los campos Habilitado y Nombre. Introduciremos
un nombre para el servidor.
Efecto: El nuevo servidor aparecer en la lista de servidores.
4. Accin: Pulsar en Guardar cambios y aceptar todos los cambios.
Efecto: El servidor est activo, podemos comprobar su estado en la seccin Dashboard.
5. Accin: Para facilitar la configuracin del cliente, descargar el bundle de configuracin para
el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y
rellenar el formulario de configuracin. Introducir las siguientes opciones:
Tipo de cliente: seleccionar Linux, ya que es el SO del cliente.
Certificado del cliente: elegir cliente1. Si no est creado este certificado, crearlo
siguiendo las instrucciones del ejercicio anterior.
Direccin del servidor: aqu introducir la direccin por la que el cliente puede alcanzar al servidor VPN. En nuestro escenario coincide con la direccin de la interfaz
externa conectada a la misma red que el ordenador cliente.
Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el
cliente. Ser un archivo en formato comprimido .tar.gz.
6. Accin: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio.
Observar que el bundle contena los ficheros con los certificados necesarios y un fichero
de configuracin con la extensin .conf. Si no han existido equivocaciones en los pasos
anteriores ya tenemos toda la configuracin necesaria y no nos queda ms que lanzar el
programa.
Para lanzar el cliente ejecutar el siguiente comando dentro del directorio:
193
openvpn --config
[ nombre_del_fichero.conf ]
Efecto: Al lanzar el comando en la ventana de terminal se irn imprimiendo las acciones

realizadas por el programa. Si todo es correcto, cuando la conexin est lista se
leer en la pantalla Initialization Sequence Completed; en caso contrario se leern
mensajes de error que ayudarn a diagnosticar el problema.
7. Accin: Antes de comprobar que existe conexin entre el cliente y el ordenador de la red
privada, debemos estar seguros que este ltimo tiene ruta de retorno al cliente VPN. Si
estamos usando eBox como puerta de enlace por defecto, no habr problema, en caso
contrario necesitaremos aadir una ruta al cliente.
Primero comprobaremos que existe la conexin con el comando ping, para ello ejecutaremos el siguiente comando:
ping -c 3
[ direccin_ip_del_otro_ordenador ]
Para comprobar que no slo hay comunicacin sino que podemos acceder a los recursos
del otro ordenador, iniciar una sesin de consola remota, para ello usamos el siguiente
comando desde el ordenador del cliente:
ssh
[ direccin_ip_del_otro_ordenador ]
Despus de aceptar la identidad del ordenador e introducir usuario y contrasea, accederemos a la consola del otro ordenador.
Cliente remoto NAT con VPN

Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la
mquina no posee interfaces externos, entonces necesitaremos activar la opcin de Network Address Translation. Como es una opcin del cortafuegos, tendremos que asegurarnos que el mdulo
de cortafuegos est activo, de lo contrario no podremos activar esta opcin. Con dicha opcin, el
servidor VPN se encargar de actuar como representante de los clientes VPN dentro de la red local. En realidad, lo ser de todas las redes anunciadas, para asegurarse que recibe los paquetes de
respuesta que posteriormente reenviar a travs de la red privada a sus clientes. Esta situacin se
explica mejor con el siguiente grfico:
194
Figure 6.7: Conexin desde un cliente VPN a la LAN con VPN usando NAT
Interconexin segura entre redes locales

En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a
travs de una red privada. Para hacerlo, usaremos eBox en ambas como puertas de enlace. Una actuar como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situacin:
Figure 6.8: eBox como servidor OpenVPN vs. eBox como cliente OpenVPN
Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en
el Ejemplo prctico B.
Sin embargo, se necesita hacer dos pequeos cambios habilitando la opcin Permitir tneles
eBox a eBox para intercambiar rutas entre mquinas eBox y contrasea tnel eBox a eBox para
establecer la conexin en un entorno ms seguro entre las dos oficinas. Hay que tener en cuenta que
deberemos anunciar la red LAN 1 en Redes anunciadas.
195
Para configurar eBox como un cliente OpenVPN, podemos hacerlo a travs de VPN Clientes.
Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuracin del cliente
manualmente o automticamente usando el bundle dado por el servidor VPN, como hemos hecho en
el Ejemplo prctico B. Si no se usa el bundle, se tendr que dar la direccin IP y el par protocolopuerto donde estar aceptando peticiones el servidor. Tambin ser necesaria la contrasea del
tnel y los certificados usados por el cliente. Estos certificados debern haber sido creados por la
misma autoridad de certificacin que use el servidor.
Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en
la red 2 ejecutndose como cliente con la conexin objetivo dirigida a la otra eBox dentro de la LAN 1.
Cuando la conexin est completa, la mquina que tiene el papel de servidor tendr acceso a
todas las rutas de las maquinas clientes a travs de la VPN. Sin embargo, aquellas cuyo papel sea de
196
cliente slo tendrn acceso a aquellas rutas que el servidor haya anunciado explcitamente.
Ejemplo prctico C
El objetivo de este ejercicio es montar un tnel entre dos redes que usan servidores eBox como puerta
de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar
entre s.
1. Accin: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el tnel.
Asegurarse de que el mdulo de VPN est activado y activarlo si es necesario. Una vez en
la seccin VPN
Servidores, crear un nuevo servidor. Usar los siguientes parmetros de
configuracin:
Puerto: elegir un puerto que no est en uso, como el 7766.
Direccin de VPN: introducir una direccin privada de red que no est en uso en ninguna
parte de nuestra infraestructura, por ejemplo 192.168.77.0/24.
Habilitar Permitir tneles eBox-a-eBox. Esta es la opcin que indica que va a ser un
servidor de tneles.
Introducir una contrasea para tneles eBox-a-eBox.
Finalmente, desde la seleccin de Interfaces donde escuchar el servidor, elegir la
interfaz externa con la que podr conectar la eBox cliente.
Para concluir la configuracin del servidor se deben anunciar redes siguiendo los mismos pasos
que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso
el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente
suministrar todas sus rutas automticamente al servidor. Nos resta habilitar el servidor y
guardar cambios.
Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, podemos comprobar su estado en el Dashboard.
2. Accin: Para facilitar el proceso de configuracin del cliente, obtener un bundle de configuracin del cliente, descargndolo del servidor. Para descargarlo, acceder de nuevo a la interfaz
Web de eBox y en la seccin VPN
Servidores, pulsar en Descargar bundle de configu-
racin del cliente en nuestro servidor. Antes de poder descargar el bundle se deben establecer algunos parmetros en el formulario de descarga:
Tipo de cliente: elegir Tnel eBox a eBox.
197
Certificado del cliente: elegir un certificado que no sea el del servidor ni est en uso por
ningn cliente ms. Sino se tienen suficientes certificados, seguir los pasos de ejercicios
anteriores para crear un certificado que pueda usar el cliente.
Direccin del servidor: aqu se debe introducir la direccin por la que el cliente pueda
conectar con el servidor, en nuestro escenario la direccin de la interfaz externa conectada a la red visible tanto por el servidor como el cliente ser la direccin adecuada.
Una vez introducidos todos los datos pulsamos el botn de Descargar.
Efecto: Descargamos un archivo tar.gz con los datos de configuracin necesarios para el
cliente.
3. Accin: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Comprobar que el mdulo VPN est activo, ir a la seccin VPN
Clientes. En esta seccin se
ve una lista vaca de clientes, para crear uno pulsar sobre Aadir cliente e introducir un nombre para l. Como no est configurado no se podr habilitar, as que se debe volver a la lista
de clientes y pulsar en el apartado de configuracin correspondiente a nuestro cliente. Dado
que se tiene un bundle de configuracin de cliente, no se necesita rellenar las secciones a
mano. Usaremos la opcin Subir bundle de configuracin del cliente, seleccionar el archivo
obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuracin, se
puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el
icono de Editar, que se encuentra en la columna de Acciones. Aparecer un formulario donde
podremos marcar la opcin de Habilitado. Ahora tenemos el cliente totalmente configurado y
slo nos resta guardar los cambios.
Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos comprobar en el Dashboard. Si tanto la configuracin del servidor como del cliente son correctas,
el cliente iniciar la conexin y en un instante tendremos el tnel listo.
4. Accin: Ahora se comprobar que los ordenadores en las redes internas del servidor y del
cliente pueden verse entre s. Adems de la existencia del tnel sern necesarios los siguientes
requisitos:
Los ordenadores debern conocer la ruta de retorno a la otra red privada. Si, como en
nuestro escenario, eBox est siendo utilizado como puerta de enlace no habr necesidad
de introducir rutas adicionales.
El cortafuegos deber permitir conexiones entre las rutas para los servicios que utilicemos.
198
Una vez comprobados estos requisitos podremos pasar a comprobar la conexin, para ello
entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las
siguientes comprobaciones:
Ping a un ordenador en la red del cliente VPN.
Tratar de iniciar una sesin SSH en un ordenador de la red del cliente VPN.
Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente
VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN.
6.4

Un Sistema de Deteccin de Intrusos (IDS) es una aplicacin diseada para evitar accesos no
deseados a nuestras mquinas, principalmente ataques provenientes de Internet.
Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones, lo cual se
realiza mediante un conjunto de reglas que se aplican sobre los paquetes del trfico entrante. Adems
de registrar todos los eventos sospechosos, aadiendo informacin til (como puede ser la direccin
IP de origen del ataque), a una base de datos o fichero de registro; algunos IDS combinados con el
cortafuegos tambin son capaces de bloquear los intentos de intrusin.
Existen distintos tipos de IDS, el ms comn de ellos es el Sistema de Deteccin de Intrusos de
Red (NIDS), se encarga de examinar todo el trfico de una red local. Uno de los NIDS ms populares
es Snort 15 , que es la herramienta que integra eBox para realizar dicha tarea.
6.4.1 Configuracin de un IDS con eBox

La configuracin del Sistema de Deteccin de Intrusos en eBox es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en
qu interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos
conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en
caso de resultados positivos.
A ambas opciones de configuracin se accede a travs del men IDS. En la pestaa Interfaces
aparecer una tabla con la lista de todas las interfaces de red que tengamos configuradas. Por defecto,
todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU
15
Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www.snort.org
199
que genera la inspeccin de trfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en
la casilla de seleccin.
En la pestaa Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules). Por
defecto, se encuentra habilitado un conjunto tpico de reglas. Podemos ahorrar tiempo de CPU desactivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra
red. Si tenemos recursos hardware de sobra podemos tambin activar otras reglas adicionales que
nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las
interfaces.
200
6.4.2 Alertas del IDS

Con lo que hemos visto hasta ahora podemos tener funcionando el mdulo IDS, pero su nica utilidad sera que podramos observar manualmente las distintas alertas en el fichero /var/log/snort/alert.
Como vamos a ver, gracias al sistema de registros y eventos de eBox podemos hacer que esta tarea
sea ms sencilla y eficiente.
El mdulo IDS se encuentra integrado con el mdulo de registros de eBox, as que si este ltimo
se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento
habitual. As mismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles.
Para ms informacin al respecto, consultar el captulo Registros.
Ejemplo prctico
Habilitar mdulo IDS y lanzar un ataque basado en el escaneo de puertos contra la mquina eBox.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo IDS, para ello marcar
su casilla en la columna Estado. Nos informa de que se modificar la configuracin de Snort.
Permitir la operacin pulsando el botn Aceptar.
2. Accin: Del mismo modo, activar el mdulo registros, en caso de que no se encontrase
activado previamente.
Efecto: Cuando el IDS entre en funcionamiento podr registrar sus alertas.
3. Accin: Acceder al men IDS y en la pestaa Interfaces activar una interfaz que sea alcanzable desde la mquina en la que lanzaremos el ataque.
los cambios.
muestra.
A partir de ahora el IDS se encuentra analizando el trfico de la interfaz seleccionada.
5. Accin: Instalar el paquete nmap en otra mquina mediante el comando aptitude install nmap.
201
Efecto: La herramienta nmap se encuentra instalada en el sistema.

6. Accin: Desde la misma mquina ejecutar el comando nmap pasndole como nico argumento de lnea de comandos la direccin IP de la interfaz de eBox seleccionada anteriormente.
Efecto: Se efectuarn intentos de conexin a distintos puertos de la mquina eBox. Se puede
interrumpir el proceso pulsando Ctrl-c.
7. Accin: Acceder a Registros
Consulta Registros y seleccionar Informe completo para el
dominio IDS.
Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar.
202
Chapter 7
eBox Core
En eBox no slo se configuran los servicios de red de manera integrada. Sino que adems ofrece una
serie de caractersticas que facilitan y hacen ms eficiente la administracin de eBox. Este conjunto
de caractersticas es lo que denominamos el ncleo del sistema eBox.
Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber
qu ha pasado y cundo, notificaciones ante incidencias o determinados eventos, monitorizacin de
la mquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en
este apartado.
7.1
Registros
eBox proporciona una infraestructura para que sus mdulos puedan registrar todo tipo de eventos que
puedan ser tiles para el administrador. Estos registros se pueden consultar a travs de la interfaz de
eBox de manera comn. Estos registros se almacenan en una base de datos para hacer la consulta,
los informes y las actualizaciones de manera ms sencilla y eficiente. El gestor de base de datos que
se usa es PostgreSQL 1 .
Adems podemos configurar distintos manejadores para los eventos, de forma que el administrador pueda ser notificado por distintos medios (Correo, Jabber o RSS 2 ).
Disponemos de registros para los siguientes servicios:
1
PostgreSQL The worlds most advanced open source database http://www.postgresql.org/.
RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas http://www.rssboard.org/rss-specification/.
203
OpenVPN (Redes privadas virtuales (VPN))

SMTP Filter (Filtrado de Correo SMTP)
POP3 proxy (Proxy transparente para buzones de correo POP3)
Impresoras (Servicio de comparticin de impresoras)
Cortafuegos (Cortafuegos)
DHCP (Servicio de configuracin de red (DHCP))
Correo (Servicio de correo electrnico (SMTP/POP3-IMAP4))
Proxy HTTP (Servicio Proxy HTTP)
Ficheros compartidos (Servicio de comparticin de ficheros y de autenticacin)
IDS (Sistema de Deteccin de Intrusos (IDS))
As mismo, podemos recibir notificaciones de los siguientes eventos:
Valores especficos de los registros.
Estado de salud de eBox.
Estado de los servicios.
Eventos del subsistema RAID por software
Espacio libre en disco.
Problemas con los routers de salida a Internet.
Finalizacin de una copia completa de datos.
En primer lugar, para que funcionen los registros, al igual que con el resto de mdulos de eBox,
debemos asegurarnos de que este se encuentre habilitado.
Para habilitarlo debemos ir a Estado del mdulo y seleccionar la casilla registros. Para obtener
informes de los registros existentes, podemos acceder a la seccin Registros
Consultar registros
del men de eBox.

Podemos obtener un Informe completo de todos los dominios de registro. Adems, algunos
de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visin global del
funcionamiento del servicio durante un periodo de tiempo.
En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. La informacin proporcionada es dependiente de cada dominio. Por ejemplo,
204
CHAPTER 7. EBOX CORE
Figure 7.1: Pantalla de consulta de registros
para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con
un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qu pginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta
personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha bsqueda podemos almacenarla en forma de evento para que
nos avise cuando ocurra alguna coincidencia. Adems, si la consulta se realiza hasta el momento
actual, el resultado se ir refrescando con nuevos datos.
El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un da,
una hora, una semana o un mes. La informacin que obtenemos es una o varias grficas, acompaadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver,
como ejemplo, las estadsticas de peticiones y trfico del proxy HTTP al da.
7.1.1 Configuracin de registros

Una vez que hemos visto como podemos consultar los registros, es importante tambin saber que
podemos configurarlos en la seccin Registros Configurar los registros del men de eBox.
Los valores configurables para cada dominio instalado son:
Habilitado: Si esta opcin no est activada no se escribirn los registros de ese dominio.
Purgar registros anteriores a: Establece el tiempo mximo que se guardarn los registros. Todos
aquellos valores cuya antigedad supere el periodo especificado, sern desechados.
205
Figure 7.2: Pantalla de informe completo
Adems podemos forzar la eliminacin instantnea de todos los registros anteriores a un determinado periodo. Esto lo hacemos mediante el botn Purgar de la seccin Forzar la purga de registros,
que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 das.
Ejemplo prctico
Habilitar el mdulo de registros. Usar el Ejemplo prctico como referencia para generar trfico de
correo electrnico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los
resultados en Registros Consulta Registros Informe completo.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activa el mdulo registros, para ello
marcar su casilla en la columna Estado. Nos informa de que se crear una base de datos para
guardar los registros. Permitir la operacin pulsando el botn Aceptar.
2. Accin: Acceder al men Registros Configurar registros y comprobar que los registros para
el dominio Correo se encuentran habilitados.
Efecto: Hemos habilitado el mdulo registros y nos hemos asegurado de tener activados los
registros para el correo.
206
Figure 7.3: Pantalla de informe resumido
207
Figure 7.4: Pantalla de configurar registros

muestra.
A partir de ahora quedarn registrados todos los correos que enviemos.
4. Accin: Volver a enviar unos cuantos correos problemticos (con spam o virus) como se hizo
en el tema correspondiente.
Efecto: Como ahora el mdulo registros est habilitado, los correos han quedado registrados,
a diferencia de lo que ocurri cuando los enviamos por primera vez.
5. Accin: Acceder a Registros
Consulta Registros y seleccionar Informe completo para el
dominio Correo.
Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando
distintas informaciones de cada uno.
208
7.2
Monitorizacin
El mdulo de monitorizacin permite al administrador conocer el estado del uso de los recursos del
servidor eBox. Esta informacin es esencial tanto para diagnosticar problemas como para planificar
los recursos necesarios con el objetivo de evitar problemas.
Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos
valores son normales o estn fuera del rango comn de valores, tanto en su valor inferior como
superior. El principal problema de la monitorizacin es la seleccin de aquellos valores significativos
del sistema. Para cada una de las mquinas esos valores pueden ser diferentes. Por ejemplo, en un
servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador
la memoria disponible y la carga son valores mucho ms significativos para conocer el estado del
servicio ofrecido. Es conveniente evitar la obtencin de muchos valores sin ningn objetivo concreto.
Es por ello que las mtricas que monitoriza eBox son relativamente limitadas. Estas son: carga
del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros.
La monitorizacin se hace mediante grficas que permiten hacerse fcilmente una idea de la
evolucin del uso de recursos. Para acceder a las grficas se hace a travs de la entrada Monitorizacin. Ah se muestran las grficas de las medidas monitorizadas. Colocando el cursor encima de
algn punto de la lnea de la grfica en el que estemos interesados podremos saber el valor exacto
para ese momento.
Podemos elegir la escala temporal de las grficas entre una hora, un da, un mes o un ao. Para
ello simplemente pulsaremos sobre la pestaa correspondiente.
209
7.2.1 Mtricas
Carga del sistema
La carga del sistema trata de medir la relacin entre la demanda de trabajo y el realizado por el
computador. Esta mtrica se calcula usando el nmero de tareas ejecutables en la cola de ejecucin
y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos.
La interpretacin de esta mtrica es la capacidad de la CPU usada en el periodo elegido. As, una
carga de 1 significara que esta operando a plena capacidad. Un valor de 0.5 significara que podra
llegar a soportar el doble de trabajo. Y siguiendo la misma proporcin, un valor de 2 se interpretara
como que le estamos exigiendo el doble del trabajo que puede realizar.
Hay que tener en cuenta que los procesos que estn interrumpidos por motivos de lectura/escritura en almacenamiento tambin contribuyen a la mtrica de carga. En estos casos no
se correspondera bien con el uso de la CPU, pero seguira siendo til para estimar la relacin entre
la demanda y la capacidad de trabajo.
210
Uso de la CPU
Con esta grfica tendremos una informacin detallada del uso de la CPU. En caso de que dispongamos de una maquina con mltiples CPUs tendremos una grfica para cada una de ellas.
En la grfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados,
ejecutando cdigo de usuario, cdigo del sistema, estamos inactivo, en espera de una operacin de
entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling
conocidos como jiffies. En la mayora de sistemas Linux ese valor es 100 por segundo pero no hay
ninguna limitacin o posibilidad que dicho valor sea diferente.
211
Uso de la memoria
La grfica nos muestra el uso de la memoria. Se monitorizan cuatro variables:
Memoria libre: Cantidad de memoria no usada
Cach de pagina: Cantidad destinada a la cach del sistema de ficheros
Buffer cache: Cantidad destinada a la cach de los procesos
Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachs.
Uso del sistema de ficheros

Esta grfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.
212
Temperatura
Con esta grfica es posible leer la informacin disponible sobre la temperatura del sistema en grados
centgrados usando el sistema ACPI 3 . Para tener activada esta mtrica, es necesario que existan
datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone.
3
La especificacin Advanced Configuration and Power Interface (ACPI) es un estndar abierto para la configuracin
de dispositivos centrada en sistemas operativos y en la gestin de energa del computador. http://www.acpi.info/
213
7.2.2 Alertas
Las grficas no tendran ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos
valores de la monitorizacin. De esta manera, podemos saber cuando la mquina est sufriendo una
carga inusual o est llegando a su mxima capacidad.
Las alertas de monitorizacin deben configurarse en el mdulo de eventos. Entrando en Eventos Configurar eventos, podemos ver la lista de eventos disponibles, los eventos de monitorizacin
estn agrupados en el vento Monitor.
Pulsando en la celda de configuracin, accederemos a la configuracin de este evento. Podremos

elegir cualquiera de las mtricas monitorizadas y establecer umbrales que disparen el evento.
En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo as discriminar entre la gravedad del evento. Tenemos la opcin de invertir: que har que los valores
considerados correctos sean considerados fallos y a la inversa. Otra opcin importante es la de persistente:. Dependiendo de la mtrica tambin podremos elegir otros parmetros relacionados con
214
esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga
puede ser til la carga a corto plazo, etc.
Cada medida tiene una mtrica que se describe como sigue:
Carga del sistema: Los valores deben ser en nmero de tareas ejecutables media en la cola de
ejecucin.
Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling.
Uso de la memoria fsica: Los valores deben establecerse en bytes.
Sistema de ficheros: Los valores deben establecerse en bytes.
Temperatura: Los valores a establecer debe establecer en grados.
Una vez configurado y activado el evento deberemos configurar al menos un observador para
recibir las alertas. La configuracin de los observadores es igual que la de cualquier evento, as que
deberemos seguir las indicaciones contenida en el captulo de Incidencias (eventos y alertas).
7.3
Incidencias (eventos y alertas)

Aunque la posibilidad de hacer consultas personalizadas a los registros, o la visualizacin de los
resmenes son opciones muy tiles. Se complementan mejor todava con las posibilidades de monitorizacin de eventos a travs de la notificacin.
Disponemos de los siguientes mecanismos emisores para la notificacin de incidencias:
Correo 4
Jabber
Registro
RSS
Antes de activar los eventos debemos asegurarnos de que el mdulo se encuentra habilitado.
Para habilitarlo, como de costumbre, debemos ir a Estado del mdulo y seleccionar la casilla eventos.
A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por
defecto, para los eventos tendremos que activar explcitamente aquellos que nos interesen.
4
Teniendo instalado y configuracin el mdulo de correo (Servicio de correo electrnico (SMTP/POP3-IMAP4)).
215
Para activar cualquiera de ellos accederemos al men Eventos Configurar eventos. Podemos
editar el estado de cada uno mediante el icono del lpiz. Para ello marcaremos la casilla Habilitado y
pulsaremos el botn Cambiar.
Figure 7.5: Pantalla de configurar eventos
Adems, algunos eventos como el observador de registros o el observador de espacio restante

en disco tienen sus propios parmetros de configuracin.
La configuracin para el observador de espacio en disco libre es sencilla. Slo debemos especificar el porcentaje mnimo de espacio libre con el que queremos ser notificados (cuando sea menor
de ese valor).
En el caso del observador de registros, podemos elegir en primer lugar qu dominios de registro
queremos observar. Despus, por cada uno de ellos, podemos aadir reglas de filtrado especficas
dependientes del dominio. Por ejemplo: peticiones denegadas en el proxy HTTP, concesiones DHCP
a una determinada IP, trabajos de cola de impresin cancelados, etc. La creacin de alertas para
monitorizar tambin se puede hacer mediante el botn Guardar como evento a travs de Registros
Consultar registros Informe completo.

Respecto a la seleccin de medios para la notificacin de los eventos, podemos seleccionar los
emisores que deseemos en la pestaa Configurar emisores.
216
Figure 7.6: Pantalla de configurar observadores de registros
Figure 7.7: Pantalla de configurar emisores
217
De idntica forma a la activacin de eventos, debemos editarlos y seleccionar la casilla Habilitado. Excepto en el caso del fichero de registro (que escribir implcitamente los eventos recibidos al
fichero /var/log/ebox/ebox.log), el resto de emisores requieren una configuracin adicional que detallamos a continuacin:
Correo: Debemos especificar la direccin de correo destino (tpicamente la del administrador de
eBox), adems podemos personalizar el asunto de los mensajes.
Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contrasea del usuario que nos notificar los eventos, y la cuenta Jabber del administrador que
recibir dichas notificaciones.
RSS: Nos permite seleccionar una poltica de lectores permitidos, as como el enlace del canal. Podemos hacer que el canal sea pblico, que no sea accesible para nadie, o autorizar slo a una
direccin IP u objeto determinado.
7.3.1 Ejemplo prctico

Usar el mdulo eventos para hacer aparecer el mensaje eBox is up and running en el fichero
/var/log/ebox/ebox.log. Dicho mensaje se generar cada vez que se reinicie el mdulo

de eventos.
1. Accin: Acceder a eBox, entrar en Estado del mdulo y activar el mdulo eventos, para ello
2. Accin: Acceder al men Eventos y a la pestaa Configurar eventos. Pulsar el icono del lpiz
sobre la fila Estado. Marcar la casilla Habilitado y pulsar el botn Cambiar.
Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado.
3. Accin: Acceder a la pestaa Configurar emisores. Pulsar el icono del lpiz sobre la fila
Registro. Marcar la casilla Habilitado y pulsar el botn Cambiar.
Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro.
muestra.
En el fichero de registro /var/log/ebox/ebox.log aparecer un evento con el mensaje eBox
is up and running.
218
5. Accin: Desde la consola de la mquina eBox, ejecutar el comando sudo /etc/init.d/ebox

events restart.
Efecto: En el fichero de registro /var/log/ebox/ebox.log volver a aparecer un nuevo evento
con el mensaje eBox is up and running.
7.4
Copias de seguridad
7.4.1 Diseo de un sistema de copias de seguridad
La prdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos.
Fallos de hardware, fallos de software o un error humano pueden provocar un dao irreparable en el
sistema o la prdida de datos importantes.
Es por tanto imprescindible disear un correcto procedimiento para realizar, comprobar y
restaurar copias de seguridad o respaldo del sistema, tanto de configuracin como de datos.
Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es
decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera
copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lgica adicional para la restauracin de
la copia de seguridad. La decisin ms habitual es realizar copias incrementales y de vez en cuando
hacer una copia completa a otro medio, pero esto depender de nuestras necesidades y recursos de
almacenamiento disponibles.
Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma
mquina o a otra remota. El uso de una mquina remota ofrece un nivel de seguridad mayor debido
a la separacin fsica. Un fallo de hardware, un fallo de software, un error humano o una intrusin en
el servidor principal no deberan de afectar la integridad de las copias de seguridad. Para minimizar
este riesgo el servidor de copias debera ser exclusivamente dedicado para tal fin y no ofrecer otros
servicios adicionales ms all de los requeridos para realizar las copias. Tener dos servidores no
dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso en
uno lleva a un compromiso del otro.
219
7.4.2 Configuracin de las copias de seguridad con eBox

En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente.
En caso de ste ltimo, necesitaremos especificar que protocolo se usa para conectarse al servidor
remoto.
Figure 7.8: Configuracin
Mtodo: Los distintos mtodos que son soportados actualmente son eBox Backup Storage (EU),
eBox Backup Storage (US Denver), eBox Backup Storage (US West Coast), FTP, SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del mtodo que seleccione
deberemos proporcionar ms o menos informacin: direccin del servidor remoto, usuario o
contrasea. Todos los mtodos salvo Sistema de ficheros acceden servicios remotos. sto significa que proporcionaremos los credenciales adecuados para conectar con el servidor. Puedes
crear una cuenta en nuestra tienda 5 para los mtodos eBox Backup Storage, emplea este servicio para disfrutar de una ubicacin segura remota donde almacenar tus datos. Adems no
necesitars incluir la direccin del servidor remoto ya que eBox lo tendr configurado automticamente. Por otro lado, si se selecciona FTP o SCP tendremos que introducir la direccin del
servidor remoto.
5
220
Tienda de eBox Technologies en https://store.ebox-technologies.com
Warning:
Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la
huella del servidor remoto para aadirlo a la lista de servidores SSH conocidos. Si no se realiza
esta operacin, la copia de respaldo no podr ser realizada ya que fallar la conexin con el
servidor.
Servidor o destino:
Para FTP, y SCP tenemos que proporcionar el nombre del servidor
remoto o su direccin IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un
directorio local. Si se usa cualquiera de los mtodos de eBox Backup Storage, entonces slo
se requiere introducir una ruta relativa.
Usuario: Nombre de usuario para autenticarse en la mquina remota.
Contrasea: Contrasea para autenticarse en la mquina remota.
Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simtrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado
asimtrico a tus datos.
Frecuencia de copia de seguridad completa: Este parmetro se usa para determinar la frecuencia
con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario,
Semanal y Mensual.
Nmero de copias totales almacenadas: Este valor se usa para limitar el nmero de copias totales
que estn almacenadas. Es importante y debemos familiarizarnos con lo que significa. Tiene
relacin directa con Frecuencia de copia de seguridad completa. Si seleccionamos una frecuencia Semanal y el nmero de copias almacenadas a 2, la copia de respaldando ms antigua
ser de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo ms
antigua ser de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos
almacenar de las copias de respaldo y el espacio en disco que tengamos.
Frecuencia de copia incremental: Este valor tambin est relacionado con Frecuencia de copia de
seguridad completa. Una configuracin tpica de copias de respaldo consiste en realizar copias
incrementales entre las copias completas. Estas copias deben hacerse con ms frecuencia
que las completas. Esto significa que si tenemos copias completas semanales, las copias
incrementales se harn diarias. Por el contrario, no tiene sentido hacer copias incrementales
con las misma frecuencia que las completas. Para entender sto mejor veamos un ejemplo:
El valor de Frecuencia de copia completa es semanal. El Numero de copias totales a
almacenar es 4. Con esta configuracin tendremos cuatro copias de seguridad completas de
221
cuatro semanas, y entre cada copia completa tendremos copias incrementales. Es decir, un
mes entero de copias. Lo que significa que podemos restaurar cualquier da arbitrario del mes.
Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso
de la toma de la copia de respaldo. Es una buena idea establecerlo a horas cuando no haya
nadie en la oficina ya que puede consumir bastante ancho de banda de subida.
Configuracin de los directorios y ficheros que son respaldados

La configuracin por defecto efectuar una copia de todo el sistema de ficheros. Esto significa que
ante un eventual desastre seremos capaces de restaurar la mquina completamente. Es un buena
idea no cambiar esta configuracin al menos que tengas problemas de espacio. Una copia completa
de una mquina eBox con todos sus mdulos ocupa alrededor de 300 MB.
Figure 7.9: Lista de inclusin y exclusin
La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, y /proc. Es una mala
idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podra
fallar.
La lista por defecto de directorios incluidos es: /.
Podemos excluir extensiones de fichero utilizando caracteres de shell. Por ejemplo, si quieres
saltarte ficheros de vdeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresin regular
y aadir *.avi.
222
Comprobando el estado de las copias

Podemos comprobar el estado de las copias de respaldo en la seccin Estado de las copias remotas.
En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada.
Figure 7.10: Estado de las copias
Cmo comenzar un proceso de copia de respaldo manualmente

El proceso de copia de respaldo se inicia automticamente a la hora configurada. Sin embargo, si
necesitamos comenzarlo manualmente podemos ejecutar:
# /usr/share/ebox-ebackup/ebox-remote-ebackup --full
O para iniciar una copia incremental:
# /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental
Restaurar ficheros
Hay dos formas de restaurar un fichero. Dependiendo del tamao del fichero o del directorio que
deseemos restaurar.
Es posible restaurar ficheros directamente desde el panel de control de eBox. En la seccin Copia
de seguridad
Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que
contiene la copia remota, as como las distintas fechas o versiones de los mismos. Podemos usar este
mtodo con ficheros pequeos. Con ficheros grandes, el proceso es costoso en tiempo y no se podr
223
usar el interfaz Web de eBox mientras la operacin est en curso. Debemos ser especialmente cautos
con el tipo de fichero que restauramos. Normalmente, ser seguro restaurar ficheros de datos que no
estn siendo abiertos por aplicaciones en ese momento. Estos archivos de datos estn localizados
bajo el directorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib,
/var o /usr mientras el sistema est en funcionamiento puede ser muy peligroso. No hagas sto a no
ser que sepas muy bien lo que ests haciendo.
Figure 7.11: Restaurar un fichero
Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente.
Dependiendo del fichero, podemos hacerlo mientras el sistema est en funcionamiento. Sin embargo,
para directorios de sistema usaremos un CD de rescate como explicamos ms tarde.
En cualquier caso, debemos familiarizarnos con la herramienta que usa este mdulo: duplicity.
El proceso de restauracin de un fichero o directorio es muy simple. Se ejecuta el siguiente comando:
duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL r

La opcin -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa
hace tres das. Usando now podemos restaurar la copia ms actual.
224
Figure 7.12: URL remota y argumentos
Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la
seccin Restaurar ficheros en eBox.
Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaramos
el siguiente comando:
# duplicity restore --file-to-restore home/samba/users/john/balance.odc \

scp://backupuser@192.168.122.1 --ssh-askpass --no-encryption /tmp/balance.odc
El comando mostrado arriba restaurara el fichero en /tmp/balance.odc. Si necesitamos sobreescribir un fichero o un directorio durante una operacin de restauracin necesitamos aadir la opcin
force, de lo contrario duplicity rechazar sobreescribir los archivos.
7.4.3 Como recuperarse de un desastre

Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y
experiencia para llevar a cabo una recuperacin en un momento crtico. Debemos ser capaces de
restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo.
Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate
que incluye el software de copia de respaldos duplicity. El nombre de este CD-ROM es grml.
Descargaremos la imagen de grml y arrancaremos la mquina con ella. Usaremos el parmetro
nofb en caso de problemas con el tamao de la pantalla.
Una vez que el proceso de arranque ha finalizado podemos obtener un intrprete de comandos
pulsando la tecla enter.
Si nuestra red no est configurada correctamente, podemos ejecutar netcardconfig para configurarla.
225
Figure 7.13: Arranque grml
Figure 7.14: Comenzar un intrprete de comandos
226
El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer
que nuestra particin raz es /dev/sda1. As que ejecutamos:
# mount /dev/sda1 /mnt

El comando de arriba montar la particin en el directorio /mnt. En este ejemplo haremos una
restauracin completa. Primero eliminaremos todos los directorios existentes en la particin. Por
supuesto, si no haces una restauracin completa este paso no es necesario.
Para eliminar los ficheros existentes y pasar a la restauracin ejecutamos:
# rm -rf /mnt/*
Instalaremos duplicity en caso de no tenerlo disponible:
# apt-get update
# apt-get install duplicity
Antes de hacer una restauracin completa necesitamos restaurar /etc/passwd y /etc/group. En
caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numricos.
As pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario
o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group
en el sistema de rescate. Ejecutamos:
# duplicity restore --file-to-restore etc/passwd \

# scp://backupuser@192.168.122.1 /etc/passwd --ssh-askpass --no-encryption --fo
# duplicity restore --file-to-restore etc/group \

# scp://backupuser@192.168.122.1 /etc/group --ssh-askpass --no-encryption --for
Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para aadir el
servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operacin, la copia
de respaldo no podr ser realizada ya que fallar la conexin con el servidor.
Ahora podemos proceder con la restauracin completa ejecutando duplicity manualmente:
# duplicity restore
scp://backupuser@192.168.122.1 /mnt/ --ssh-askpass --no-en
227
Por ltimo debemos crear los directorios excluidos de la copia de respaldo as como limpiar los
directorios temporales:
#
#
#
#
#
mkdir -p /mnt/dev
mkdir -p /mnt/sys
mkdir -p /mnt/proc
rm -fr /mnt/var/run/*
rm -fr /mnt/var/lock/*
El proceso de restauracin ha finalizado y podemos reiniciar el sistema original.
7.4.4 Copias de seguridad de la configuracin

eBox Platform dispone adicionalmente de otro mtodo para realizar copias de seguridad de la configuracin y restaurarlas desde la propia interfaz. Este mtodo guarda la configuracin de todos los
mdulos que hayan sido habilitados por primera vez en algn momento, los usuarios del LDAP y
cualquier otro fichero adicional para el funcionamiento de cada mdulo.
Tambin permite realizar copia de seguridad de los datos que almacena cada mdulo (directorios
de usuarios, buzones de voz, etc.). Sin embargo, desde la versin 1.2 se desaconseja esta opcin en
favor del mtodo comentado anteriormente a lo largo de este captulo, ya que no est preparado el
sistema para manejar grandes cantidades de datos.
Para acceder a las opciones de estas copias de seguridad lo haremos, como de costumbre, a
travs del men principal Sistema
Backup. No se permite realizar copias de seguridad si existen
cambios en la configuracin sin guardar, como puede verse en el aviso que aparece en la imagen.
228
Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (configuracin o completo) y pulsando el botn Backup, aparecer una pantalla donde se mostrar el
progreso de los distintos mdulos hasta que finalice con el mensaje de Backup finalizado con xito.
Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la
pgina aparece una Lista de backups. A travs de esta lista podemos restaurar, descargar a nuestro
disco, o borrar cualquiera de las copias guardadas. As mismo aparecen como datos informativos el
tipo de copia, la fecha de realizacin de la misma y el tamao que ocupa.
En la seccin Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalacin anterior
de eBox Platform en otra mquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedir confirmacin, hay que tener cuidado porque la configuracin actual ser reemplazada por completo. El
proceso de restauracin es similar al de copia, despus de mostrar el progreso se nos notificar el
xito de la operacin si no se ha producido ningn error.
Herramientas de linea de comandos para copias de seguridad de la configuracin

Existen dos herramientas disponibles a travs de la lnea de comandos que tambin nos permiten
guardar y restaurar la configuracin . Residen en /usr/share/ebox, se denominan ebox-make-backup
y ebox-restore-backup.
ebox-make-backup nos permite realizar copias de seguridad de la configuracin, entre sus opciones estn elegir qu tipo de copia de seguridad queremos realizar. Entre estos est el bug-report
que ayuda a los desarrolladores a arreglar un fallo al enviarlo, incluyendo informacin extra. Cabe
229
destacar que en este modo, las contraseas de los usuarios son reemplazadas para mayor confidencialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web.
Podemos ver todas las opciones del programa con el parmetro help.
ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuracin.
Posee tambin una opcin para extraer la informacin del fichero. Otra opcin a sealar es la posibilidad de hacer restauraciones parciales, solamente de algunos mdulos en concreto. Es el caso tpico
cuando queremos restaurar una parte de una copia de una versin antigua. Tambin es til cuando el
proceso de restauracin ha fallado por algn motivo. Tendremos que tener especial cuidado con las
dependencias entre los mdulos. Por ejemplo, si restauramos una copia del mdulo de cortafuegos
que depende de una configuracin del mdulo objetos y servicios debemos restaurar tambin estos
primero. An as, existe una opcin para ignorar las dependencias que puede ser til usada con
precaucin.
Si queremos ver todas las opciones de este programa podemos usar tambin el parmetro help.
7.5
Actualizacin de software
Como todo sistema de software, eBox Platform requiere actualizaciones peridicas, bien sea para
aadir nuevas caractersticas o para reparar defectos o fallos del sistema.
eBox distribuye su software mediante paquetes y usa la herramienta estndar de Ubuntu, APT 6 ,
sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso.
Mediante la interfaz web podremos ver para qu componentes de eBox est disponible una nueva
versin e instalarlos de un forma sencilla. Tambin podemos actualizar el software en el que se apoya
eBox, principalmente para corregir posibles fallos de seguridad.
7.5.1 Gestin de componentes de eBox

La gestin de componentes de eBox permite instalar, actualizar y eliminar mdulos de eBox.
6
Advanced Packaging Tool (APT) es un sistema de gestin de paquetes software creado por el proyecto Debian que simplifica en gran medida la instalacin y eliminacin de programas en el sistema operativo GNU/Linux
http://wiki.debian.org/Apt
7
Para una explicacin ms extensa sobre la instalacin de paquetes software en Ubuntu, leer el captulo al respecto
de la documentacin oficial https://help.ubuntu.com/8.04/serverguide/C/package-management.html
230
El propio gestor de componentes es un mdulo ms, y como cada mdulo de eBox, debe ser
habilitado antes de ser usado. Para gestionar los componentes de eBox debemos entrar en Gestin
de Software Componentes de eBox.
Presenta una lista con todos los componentes de eBox, as como la versin instalada y la ultima
versin disponible. Aquellos componentes que no estn instalados o actualizados, pueden instalarse
o actualizarse pulsando en el icono correspondiente en la columna de Acciones. Existe un botn de
Actualizar todos los paquetes para actualizar todos aquellos que tengan actualizacin disponible.
Tambin podemos desinstalar componentes pulsando el icono apropiado para esta accin. Antes
de realizar la desinstalacin, se muestra un dilogo con la lista de aquellos paquetes de software que
se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que
al ser usados por otros conlleva tambin la eliminacin de los ltimos.
Algunos componentes son bsicos y no pueden desinstalarse, ya que hara que se desinstalase
eBox Platform.
7.5.2 Actualizaciones del sistema

Las actualizaciones del sistema actualizan programas usados por eBox. Para llevar a cabo su
funcin, eBox Platform usa diferentes programas del sistema para llevar a cabo sus funciones, en
los distintos paquetes de los componentes de eBox. Dichos programas son referenciados como dependencias asegurando que al instalar eBox, son instalados tambin ellos asegurando el correcto
funcionamiento de eBox Platform. De manera anloga, estos programas pueden tener dependencias
tambin.
231
Normalmente una actualizacin de una dependencia no es suficientemente importante como para

crear un nuevo paquete de eBox con nuevas dependencias, pero s puede ser interesante instalarla
para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad.
Para ver las actualizaciones del sistema debemos ir a Gestin de Sofware
Actualizaciones
del sistema. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema est
ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web,
los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de
bsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha bsqueda se puede
hacer ejecutando:
$ sudo ebox-software
Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono
indicativo de ms informacin. Si es una actualizacin de seguridad podemos ver el fallo de seguridad
con el registro de cambios del paquete, pulsando sobre el icono.
Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la
accin y pulsar el botn correspondiente. Como atajo tambin tenemos un botn de Actualizar todos
los paquetes. Durante la actualizacin se irn mostrando mensajes sobre el progreso de la operacin.
7.5.3 Actualizaciones automticas

Las actualizaciones automticas consisten en que eBox Platform automticamente instala cualquier
actualizacin disponible. Dicha actualizacin se realiza cada noche a la medianoche.
Podremos activar esta caracterstica accediendo a la pagina Gestin de Software
Actualiza-
ciones automticas.
No es aconsejable usar esta opcin si el administrador quiere tener una mayor seguridad en la
gestin de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles
errores en las mismas no pasen desapercibidos.
232
233
7.6
Cliente del Centro de Control

eBox Control Center es una solucin tolerante a fallos que permite la monitorizacin en tiempo real
y la administracin de mltiples instalaciones de eBox de un modo centralizado. Incluye caractersticas como administracin segura, centralizada y remota de grupos de eBox, copias de seguridad de
configuracin automticas remotas, monitorizacin de red e informes personalizados.
A continuacin se describe la configuracin del lado del cliente con el Centro de Control.
7.6.1 Subscribir eBox al Centro de Control

Para configurar eBox para suscribirse al Centro de Control, debes instalar el paquete eboxremoteservices que se instala por defecto si usas el instalador de eBox. Adems, la conexin a
Internet debe estar disponible. Una vez est todo preparado, ve a Centro de Control y rellena los
siguientes campos:
Nombre de Usuario o Direccin de Correo: Se debe establecer el nombre de usuario o la direccin
de correo que se usa para entrar en la pgina Web del Centro de Control.
Contrasea: Es la misma contrasea que se usa para entrar en la Web del Centro de Control.
Nombre de eBox: Es el nombre nico que se usar para esta eBox desde el Centro de Control. Este
nombre se muestra en el panel de control y debe ser un nombre de dominio vlido. Cada eBox
debera tener un nombre diferente, si dos eBoxes tiene el mismo nombre para conectarse al
Centro de Control, entonces slo una de ellas se podr conectar.
Figure 7.16: Subscribiendo eBox al Centro de Control

Tras introducir los datos, la subscripcin tardar alrededor de un minuto. Nos tenemos que asegurar que tras terminar el proceso de subscripcin se guardan los cambios. Durante el proceso se
8
234
http://www.ebox-technologies.com/products/controlcenter/
habilita una conexin VPN entre eBox y el Centro de Control, por tanto, se habilitar el mdulo vpn.
Figure 7.17: Tras suscribirse eBox al Centro de Control
Si la conexin funcion correctamente con el Centro de Control, entonces un widget aparecer

en el dashboard indicando que la conexin se estableci correctamente.
Figure 7.18: Widget de conexin al Centro de Control
7.6.2 Copia de seguridad de la configuracin al Centro de Control

Una de las caractersticas usando el Centro de Control es la copia de seguridad automtica de la
configuracin de eBox
10
que se almacena en el Centro de Control. Esta copia se hace diariamente
si hay algn cambio en la configuracin de eBox. Ir a Sistema > Backup
Backup remoto para
comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la
configuracin de manera manual si quieres estar seguro que tu ltima configuracin est almacenada
en el Centro de Control.
Se pueden restaurar, descargar o borrar copias de seguridad de la configuracin que se almacenan en el Centro de Control. Adems para mejorar el proceso de restauracin ante un desastre, se
puede restaurar o descargar la configuracin almacenada de uno del resto de eBox suscritos al Centro de Control usando tu par usuario/correo electrnico y contrasea. Para hacer eso, ir a la pestaa
Sistema Backup Backup remoto de otras mquinas suscritas.
9
Para ms informacin sobre VPN, ir a la seccin Redes privadas virtuales (VPN).

Las copias de seguridad de la configuracin en eBox se explican en la seccin Copias de seguridad de la configuracin.
10
235
Figure 7.19: Copia de seguridad de la configuracin remota
Figure 7.20: Copia de seguridad de la configuracin remota desde otra mquina suscrita
236

EBox For Network Administrators

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

EBox For Network Administrators

Caricato da

Copyright:

Formati disponibili

eBox 1.

4 para Administradores de Redes

eBox 1.4 para Administradores de Redes

Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo

1 eBox Platform: servidor Linux para PYMEs

El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . .

La interfaz web de administracin . . . . . . . . . . . . . . . . . . . . . . . . . .

Aplicando los cambios en la configuracin

Configuracin del estado de los mdulos . . . . . . . . . . . . . . . . . .

Cmo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de la red local . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de red con eBox Platform

Servicio de configuracin de red (DHCP) . . . . . . . . . . . . . . . . . . . . . .

Configuracin de un servidor DHCP con eBox . . . . . . . . . . . . . . . .

Servicio de resolucin de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . .

Configuracin de un servidor cach DNS con eBox . . . . . . . . . . . . .

Configuracin de un servidor DNS con eBox

Servicio de publicacin de informacin web (HTTP) . . . . . . . . . . . . . . . . .

Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . .

El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de un servidor HTTP con eBox . . . . . . . . . . . . . . . .

Servicio de sincronizacin de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .

Configuracin de un servidor NTP con eBox

Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . .

El cortafuegos en GNU/Linux: Netfilter . . . . . . . . . . . . . . . . . . .

Modelo de seguridad de eBox

Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . .

Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . .

Calidad de servicio (QoS)

Configuracin de la calidad de servicio en eBox . . . . . . . . . . . . . . .

Configuracin del servidor RADIUS con eBox . . . . . . . . . . . . . . . .

Configuracin del Punto de Acceso . . . . . . . . . . . . . . . . . . . . .

Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de poltica de acceso . . . . . . . . . . . . . . . . . . . . .

Conexin al proxy y modo transparente . . . . . . . . . . . . . . . . . . .

Control de parmetros de la cach . . . . . . . . . . . . . . . . . . . . .

Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . .

Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Servicio de comparticin de ficheros y de autenticacin . . . . . . . . . . . . . . .

SMB/CIFS y su implementacin Linux Samba . . . . . . . . . . . . . . . .

Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . .

eBox como servidor de ficheros . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . .

eBox como un servidor de autenticacin

Configuracin de clientes PDC . . . . . . . . . . . . . . . . . . . . . . .

Servicio de comparticin de impresoras . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de servicio de groupware con eBox . . . . . . . . . . . . . .

5 eBox Unified Communications

Servicio de correo electrnico (SMTP/POP3-IMAP4)

Cmo funciona el correo electrnico en Internet . . . . . . . . . . . . . . .

Configuracin de un servidor SMTP/POP3-IMAP4 con eBox . . . . . . . . .

Recibiendo y retransmitiendo correo

Parmetros para ManageSieve . . . . . . . . . . . . . . . . . . . . . . .

Servicio de correo web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configurando el correo web en eBox . . . . . . . . . . . . . . . . . . . .

Servicio de mensajera instantnea (Jabber/XMPP) . . . . . . . . . . . . . . . . .

Configuracin de un servidor Jabber/XMPP con eBox . . . . . . . . . . . .

Configuracin de un cliente Jabber . . . . . . . . . . . . . . . . . . . . .

Configurando salas de conferencia Jabber

Servicio de Voz sobre IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Configuracin de un servidor Asterisk con eBox . . . . . . . . . . . . . . .

Configurando un softphone para conectar a eBox . . . . . . . . . . . . . .

Usando las funcionalidades de eBox Voz IP . . . . . . . . . . . . . . . . .