ADMINISTRACION

DE
SERVIDORES
Proyecto Debian Server

ndice

Introduccin...Pagina 1
Objetivos del Proyecto.Pagina 2
Alternativas de Solucin.....Pagina 3
Marcos tcnicos....Pagina 5
Carta Gantt....Pagina 35
Equipamiento...Pagina 36
Conclusin....Pagina 37

37

Introduccin
Se presenta en este informe una solucin de servicios de red, la cual la garanta que
tiene, es estar configurado en la distribucin DEBIAN, perteneciente al sistema
operativo GNU/LINUX, con lo cual los costos de configuracin son bajos, al ser un
sistema operativo gratuito, tambin cuenta con una comunidad de desarrolladores y
usuarios, adems de con actualizaciones peridicas, en este proyecto se presenta una
solucin a nivel de empresa pequea/mediana con posibilidad de expandir la capacidad
y potencia del mismo.
Todo los servicios sern emulados, (incluido el sistema) en una mquina virtual.

37

Objetivos del Proyecto

El objetivo principal es entregar una solucin de servicios para una empresa, con la
posibilidad de tambin expandir los servicios, dando as al servidor, ms funcionalidad,
que sea ampliamente ms verstil, bajo costo de implementacin, que sea ms fcil de
encontrar los errores, aplicar ms seguridad a la red, implementar redundancia con
otros tipos de formato de redes,

los servicios que entrega este servidor son los

siguientes:
-

Servicio de intercambio de archivos (FTP)

Servicio de carpetas compartidas (Samba)
Servicio de resolucin de nombres de domino (DNS)
Servicio de proxy (SQUID)
Servicio de pgina web (APACHE2)
Servicio de telefona IP (Asterisk)
Servicio de otorgamiento de direcciones de red dinmicas (DHCP)
Servicios adicionales

Todos los servicios mencionados anteriormente tienen diferentes funciones, entre

los cuales disponer de un centro de archivos, como un sistema

de seguridad,

siempre velando que estos servicios estn disponibles para la red todo el tiempo.

37

Alternativas de solucin
En el mercado hay distintas soluciones al proyecto que se va a presentar, habiendo
versiones ya instaladas en servidores, sistemas operativos de pago y gratuitos, en
uno de ellos esta Debian, en el cual se desarroll le proyecto, se listaran alternativas
en sistemas operativos. (Siempre en referencia al sistema operativo que se eligi
para el proyecto):
Requisitos mnimos para Debian (Los cuales son estimados, ya que dependiendo
para que se configurara el servidor, depender sus especificaciones, como tambin
el tipo de arquitectura de procesador):
Procesador: Pentium 4 de 1GHz
RAM y disco duro varan en el tipo de instalacin de Debian, ya sea con escritorio o
sin escritorio:
-

RAM (sin escritorio): 64 MB mnimos, 256 Recomendados

RAM (sin escritorio): 128 MB mnimos, 512 Recomendados
Disco duro (sin escritorio): 1 GB
Disco duro (con escritorio): 5 GB

Windows Server 2012: Sistema pagado, el cual tiene garanta, adems de contar
con servicio de Active Directory ya instalado, adems de contar con muchos
servicios los cuales son claramente ms intuitivos, tambin se requiere de
especificaciones ms potentes, por lo tanto es algo ms caro de instalar y
configuracin, sus requerimientos mnimos son los siguientes:
-

Procesador: 1,4 GHz de procesador x64

Memoria RAM: 512 MB
Espacio en disco: 33GB

Oracle Solaris 11: Sistema operativo de tipo UNIX, para servidores y estaciones de
trabajo, orientado a usuarios finales, no multi-usuarios como deban o Centos,
Solaris incluye funciones de seguridad ms avanzadas que Debian, y sea como
procesos de derechos de usuario de administracin, consolidacin de la seguridad y

37

proteger datos de misin crtica, como tambin caractersticas importantes no estn

en versiones gratuitas, todas las actualizaciones y arreglos de problemas o Fixes
del sistema operativo solo son obtenidos por suscripciones adicionales, adems de
una pobre deteccin de hardware.
-

Procesador: Amd, Intel o SPARC (64 bits)

Memoria RAM: 512 MB
Espacio en Disco: 10GB

Marcos Tcnicos

37

En esta seccin, se analizara los aspectos tcnicos del proyecto, a continuacin se

da una lista para los servicios que se instalaron en el sistema operativo, con una
breve descripcin:
1.
2.
3.
4.
5.
6.
7.
8.
9.

DHCP.
DNS
FTP.
WEB.
IPTABLES.
SQUID.
SAMBA
TELEFONIA IP.
SERVICIOS ADCIONALES.

Esta ms que decir que este servidor tendr dos interfaces de red, una para la salida a
Internet, y otra dedicada para una red interna, adems de usuarios creados para el
sistema mismo.

1.- DHCP: por sus siglas en Ingles (Dynamic Host Configuration Protocol), se trata de
un protocolo de red (Cliente/Servidor) el cual permite a usuarios finales obtener
configuraciones de direcciones IP de forma automtica, manejando una lista de quien
se entrega las direcciones, las exclusiones, los tiempos que han tenido una direccin y
a quien se les ha asignado nuevamente
El servicio que est disponible en Linux para instalar es el paquete isc-dhcp-server, el
cual va a permitir configurar el servicio para la red, adems de que el servidor necesita
una direccin IP esttica para todos sus servicios,

Instalacin del paquete de servidor DCHP

Se procede a configurar una direccin IP esttica para la red Interna, la cual ser
necesaria

para

el

resto

de

los

servicios.

37

Cuando se edita este fichero, se podr realizar la configuracin de la interfaz de

red, en este caso se presentara la ETH1, ya que la ETH0 est dedicada a la
salida a internet.

Ya
paso

configurado
y

este

haber reiniciado el

servicio con el comando service networking restart se procede a una copia de

seguridad del fichero dhcpd.conf

En la misma ruta se continua editando el fichero dhcpd.conf

En este fichero hay un rea el cual importa configurar que es el siguiente:

Se eliminan los smbolos de comentarios y se agrega lo que uno desea para la

red:

37

Como ltimo paso se reinicia el servicio y se comprueba si la configuracin esta

correcta

2.-

DNS:

por

sus

siglas en ingls (Domain Name System): es un servicio para cualquier equipo

conectado a internet, ya sea un computador, servidor, telfonos mviles, etc.
La funcin de este servicio es traducir nombres de dominios a direcciones IP, como
tambin puede ser de forma inversa, el servidor DNS ocupa una base de datos
distribuida y jerrquica que almacena informacin asociada a nombre de dominio.

37

En este caso se configurara un servidor de Cache DNS, el cual las consultas sern a
este mismo servidor, si no puede resolver la direccin, esta consulta ser re-enviada a
una direccin de DNS otorgada por un ISP o prestador de servicios de internet.

Instalacin del servicio de DNS, en este caso se ocup el paquete llamado bind9.

Se edita el fichero donde las consultas sern reenviadas si el servidor no puede

resolverlas
Se

agregan

los reenviadores, los cuales se ocuparon en este proyecto son:

192.168.0.1, 8.8.8.8 y 4.4.2.2, adems de opciones de que siempre escuche
peticiones en el puerto 53 y ocupa las direcciones de LocalHost y la de la red
interna,

las

redes

que

permitir

consultas

Se edita el fichero resolv.conf, el cual se escribir que el propio servidor sea el

DNS con la direccin 127.0.0.1 (LocalHost)

las

Se verifica la configuracin el fichero /etc/nsswitch.conf

37

Reinicio de Bind9 para aplicar cambios y verificar que estn bien configurados

3.-FTP:

por

sus siglas en Ingles

(File Transfer Protocol): es un protocolo de red (cliente/servidor) para transferencias de

archivos, entre sistemas conectados a una red TCP, desde un cliente se puede
descargar archivos o para enviar al servidor archivos, siendo independiente el sistema
operativo de los clientes.
Para poder implementar este servicio en el servidor es necesario instalar el servicio
proftpd para realizar la configuracin del servidor de ftp, a continuacin se presentan
ilustraciones de configuraciones del servicio, explicando lo que se procede con cada
ilustracin.

Instalacin de servicio Proftpd.

e selecciona el tipo de servidor FTP, como el servidor tiene que estar disponible
para varios usuarios, se selecciona la opcin Independiente, la opcin inetd
solo sirve para ahorrar recursos y si la red solo recibir pocas conexiones al
servidor diarias.

37

Se realiza una copia de seguridad del archivo proftpd.conf, el cual se encuentra

ubicado en el directorio /etc/proftpd/.

Se deshabilita el soporte para direcciones Ipv6.

37

Se modifican los tiempos de conexin del servidor, tanto como a la no

transferencia de archivos, tiempo de espera en transferencia de datos
estancados y el tiempo de espera de conexin inactiva, adems de cambiar el

nombre del server.

37

Se modifica el mximo de intentos para ataques DoS (totalmente ajeno a lo que

es Fail2Ban).

Se establece el directorio jaula para los usuarios Bryan y pedro, donde se

mostraran los archivos y carpetas de cada usuario.

37

Creacin de los directorios que se mostraran en el servidor, para los dos

usuarios que tendrn sus propias jaulas.

Cambio de dueo para cada directorio de los usuarios.

Se reinicia el servicio de Proftpd.

Se muestra los resultados de la configuracin del server FTP.

4.-WEB:

Servicio

que

proporciona

una pgina web, la

37

cual se puede presentar informacin de la empresa o cualquier tipo de informacin,

siendo servicios para intranet o internet.
El paquete que permitir configurar una pgina web es Apache2, la cual tambin
permite realizar pginas web con distintos dominios, pero en este caso se trabajara
solamente con un dominio y usando el host por defecto.

Se Instala el servicio Apache2.

Procederemos a crear un VirtualHost para la pgina web, con lo cual en vez de

ingresar con una direccin ip se pueda ingresar con un nombre de dominio.

Se crea el archivo index.php, este archvio ser lo que despus se mostrara en

el cliente al momento de ingresar a la pgina web

Se edita el archivo con la informacin que se quiere mostrar

Editamos y creamos el fichero que nos dar el nombre de dominio a nuestra

pagina web.

37

Se activa el dominio netengine.cl

En este caso se utilizara iptables para que el re-direccionamiento del nombre sea
ms seguro, recordad que esta regla se aplicara al fichero iptables.sh el cual
contiene todas las reglas de iptables del servidor.

Se reinicia el servicio de apache2.

Funcionamiento de la pgina web.

37

5.-IPTABLES: Es un firewall integrado en el kernel de Linux, se puede usar en ipv4 e

ipv6, que permite no solamente filtrar paquetes, sino tambin realizar traduccin de
direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no
slo ofrece componentes disponibles como mdulos del ncleo sino que tambin ofrece
herramientas de espacio de usuario y libreras.
Se creara un script para aplicar las configuraciones de iptables, la cual se aplicarn al
momento de encender el servidor, en este script, se puede agregar tantas reglas que
uno quiera, cabe aclarar que este script tendr extensin sh, para que pueda
ejecutarlo.

Se aplica el comando vi iptables.sh, se crea en el directorio de root.

Al momento de editar el fichero anteriormente creado, se escriben reglas para

limpiar iptables y las tablas de NAT, adicionalmente se configura la apertura de
puertos para servicios anteriormente ya configurados y funcionales, se ilustran

37

las reglas para el bloqueo de Facebook y YouTube, como tambin las reglas
para que la red Interna pueda tener acceso a Internet, y redireccionar la red
interna hacia la pgina web de la empresa.

37

Se edita el archivo rc.local, para que nuestro archivo iptables.sh se ejecute al

iniciar, se tiene que escribir la ruta del fichero.

37

Se hablita la lnea de

ip_forward, para que el servidor actu como ruteador, permitiendo que iptables
pueda funcionar.
6.-SQUID: Es un servicio de proxy para pginas web con cache, sus utilidades est la
de

mejorar el rendimiento de las conexiones de empresas y particulares a Internet

guardando en cach peticiones recurrentes a servidores web y DNS, acelerar el acceso
a un servidor web determinado o aadir seguridad realizando filtrados de trfico, en
este informe se mostrara el bloqueo de las paginas Facebook, YouTube,
pginas de tipo pornogrficas y descargas de archivos

Se procede a instalar el paquete Squid

Se instala Dansguardian

Nos trasladamos a la ubicacin del fichero Squid.conf

Se crea la copia de seguridad del archvio Squid.conf

Se procede con escribir las rdenes para Squid

37

Datos que contiene el archivo listasdenegadas.

Se edita el fichero iptables.sh para que se redireccionen las consultas del

puerto 80 hacia el 8080, puerto de dansguardian, adems de bloquear las
paginas YouTube y Facebook

Reinicio del servicio y activacin de la regla de iptables

37

Configuracin de dansguardian, para poder bloquear frases, sitios y descargas

de archivos.

Se habilita la configuracin de DansGuardian, se cambia el idioma y se agrega

las direcciones ip del servidor de proxy adems de revisar si los puertos 3128
(Squid) y 8080 (DansGuadian) estn ingresado.

Se edita el fichero que permite bloquear sitios de internet.

37

Se bloquean frases que puedan afectar la red de la empresa, tambin se puede

agregar ms frases a futuro.

37

Se configura el script iptables.sh para denegar el acceso de la intranet hacia

facebook, con el puerto 443.

Se reinicia el servicio de dansguardian y aplicar las reglas de iptables.

37

7.- Samba: Servicio de implementacin libre de archivos compartidos, el cual permite

tener una red de archivos compartidos en mquinas con Windows, GNU/LINUX o Mac
OS X. Samba tambin permite validar usuarios como miembros de dominio e incluso en
Active Directory para redes basadas en Windows, aparte de servir como colas de
impresin.

Se

Nos trasladamos a la ubicacin donde se encuentra el archivo de configuracin

procede

instalar

los

paquetes

de

servicio

de

samba.

de Samba

Se renombra el fichero samba.conf y se crea nuevamente el mismo archivo de

configuracin

37

En este fichero se configura las siguientes lneas, cabe destacar que esta
configuracin puede cambiar para cada tipo de red.

Se agrega los usuarios a Samba

Se da permisos a la carpeta compartida.

8.- Telefona IP: es un grupo de recursos que hacen posible que la seal de voz viaje a
travs de internet empleando un protocolo IP (protocolo de internet).
En el proyecto se presenta una solucin llamada Asterisk, el cual nos permite instalar
servicios de Telefona IP.

Se procede con la instalacin de los paquetes de Asterisk.

Tambin
actualiza el

sistema

se

37

Se

instalan

Libreras

necesarias para Asterisk.

Nos trasladamos al directorio que contiene Asterisk

Se descarga la

actualizacin

de

Asterisk, por defecto, aptitude instala la versin 1.8, en este caso se instalara la
ltima disponible.

Se descomprime la actualizacin de Asterisk

Nos trasladamos a la carpeta de Asterisk

Se ejecuta el Script ./configure para poder comprobar las caractersticas del

sistema que afectan a la compilacin, configurando la compilacin segn estos
valores, y crear el archivo makefile.
Se podr visualizar un error en la siguiente ilustracin.

La solucin al problema es el siguiente.

Se procede a configurar Asterisk.

Se configura el fichero Extensions.conf y se agrega al final las siguientes lneas.

37

Se procede a editar el archivo sip.conf para poder configurar los anexos

Servicios adicionales
9.- SSH: es un protocolo que permite acceder a mquinas remotas a travs de una red,
el cual se puede manejar por completo un computador, este protocolo adems asegura
que la conexin este encriptado.
Para SSH, lo nico que debemos hacer es instalar sshd, la conexin a este se puede
hacer mediante Putty

37

37

9.2.- Proteccin de ataques de denegacin de servicios, para esta solucin se tiene que
instalar el paquete fail2ban, el cual protege nuestros servicios de ataques, apuntando
siempre a los LOGS de los mismos.

Los primeros pasos ser editar algunos archivos de Asterisk, ya que este tiene
un procedimiento algo ms largo.
Se descomenta la lnea dateformat.

Se agrega una lnea llamada security debajo de logs

Se recarga el logger de Asterisk.

Se procede a instalar fail2ban.

Se edita el archivo Asterisk.conf

Se edita el fichero y se agrega las siguientes configuraciones.

37

Se edita el fichero jail.conf, el cual corresponde a la seguridad

De fail2ban

Y se agrega las siguientes rdenes para Asterisk

Configuracin de SSH en el jail.conf de Fail2ban

Configuracin para Apache

37

Configuracin de Fail2ban para Servidor FTP, Proftpd para ser ms exacto.

37

9.3- IFTOP: este servicio nos permitir realizar un escner del trfico de red,
monitoreando el trfico, entregando un anlisis en tiempo real del uso de ancho de
banda de nuestra red.

Instalando el servicio iftop

Se genera trfico para realizar el monitoreo de la red.

37

Para poder iniciar el monitoreo del uso de ancho de banda se utiliza el siguiente
comando:

Resultado del comando aplicado, en el cual se muestra el trfico del equipo

192.168.1.1, si se contaran con ms equipos, se mostrara primero el que se
encuentra consumiendo ms ancho de banda

37

Carta Gantt

37

Equipamiento a utilizar
Para llevar a cabo el proyecto se requiere ocupar el siguiente servidor:
HP ProLiant DL320e Gen8 v2, el cual tiene las siguientes caractersticas de hardware:

El servidor es de tipo rackeable.

Procesador Intel Xeon E3-1240v3 de 3,1 Ghz, este procesador consta de 4

ncleos.
Chipset Intel c222
Tiene 4 slots para memoria, la memoria que viene incluida es de 4 GB de tipo

DIMM DDR3, soporta memoria ECC. Mximo de 32 GB

Soporta RAID, su controladora es la siguiente: HP Dynamic Smart Array B120i

y soporta RAID de 0/1/10

Almacenamiento de mximo de 8TB
Contiene 4 bahas de 3,5 y 6 slots de expansin.
Consta de 2 controladores de red de 1Gb cada uno.
Fuente de poder incluida de 350 watts, y soporta fuente redundante
Donde se muestra el proyecto en s es una mquina virtual de 1 Gb de RAM,
procesador de 64 bits, y disco duro de 8GB.

Conclusin
Para concluir, en este proyecto se obtiene un abanico de servicios, que cumplen
la misma funcin de otros sistemas que son pagados, el nico costo que tienen

37

es que tienen que ser configurados, y hay veces en que esta configuracin
puede ser algo tediosa, debido a la falta de informacin del administrador, o
simplemente que no halla informacin en foros de ayuda o paginas oficiales.
Adems el servidor en si ya es de bajo coste, ya que el sistema operativo no
necesita mayores recursos que los anteriormente dados, solo requiere mayor
potencia por los servicios instalados, ya que todos los servicios siempre tienen
que estar disponibles para todos los usuarios que los requieran, tambin aplica
esto en la seguridad que tambin siempre tiene que estar en funcionamiento, las
capacidades del servidor en si depender totalmente del tamao de la empresa,
y de cuantos usuarios se quiera llegar con el sistema operativo.