Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Operativos
Avanzados
2
SISTEMAS OPERATIVOS AVANZADOS
ndice
Presentacin 5
Red de contenidos 7
Unidad de Aprendizaje 1
IMPLEMENTACION DE ALTA DISPONIBILIDAD 10
1.1 Tema 1 : Networking en Linux 11
1.1.1 : Configuracin bsica de los parmetros IP 11
1.1.2 : Configuracin avanzada de IPv4 17
1.1.3 : Acoplamiento de las interfaces de red - Bonding 17
1.1.4 : Utilitarios de red: ping, netstat y traceroute 20
1.1.5 : Acceso remoto por SSH 21
:
1.2 Tema 2 : Arreglo de discos y Volmenes Lgicos 25
1.2.1 : Niveles de RAID 26
1.2.2 : Configuracin de RAID por software 30
1.2.3 : Administracin de volmenes lgicos LVM 39
Unidad de Aprendizaje 2
SERVICIOS DE INFRAESTRUCTURA DE RED 48
2.1 Tema 3 : Servidor de Nombres de Dominio 49
2.1.1 : Jerarqua del rbol DNS 49
2.1.2 : Zonas de Dominios y registros DNS 51
2.1.3 : Servidor DHCP 57
Unidad de Aprendizaje 3
SERVICIO DE MENSAJERA 79
3.1 Tema 6 : Servidor de Correo Electrnico 80
3.1.1 : Servicio de correo electrnico 80
3.1.2 : Componentes de un sistema genrico de correo electrnico 81
3.1.3 : Servicio de correo electrnico colaborativo Zimbra ZCS 82
Unidad de Aprendizaje 4
SERVICIO DE SEGURIDAD PERIMETRAL 98
4.1 Tema 6 : Servidor de Seguridad Perimetral 98
4.1.1 : Servicio de Seguridad Perimetral 99
4.1.2 : UTM 99
4.1.3 : Endian Firewall UTM 160
4.1.4 : Escenarios de implementacin de Endian Firewall UTM 101
4.1.5 : Instalacin de Endian Firewall UTM 104
4.1.6 : Configuracin de Endian Firewall UTM 109
Presentacin
Sistemas Operativos Avanzados es un curso que pertenece a la lnea de sistemas
operativos y se dicta en la carrera de Redes y Comunicaciones. Brinda un conjunto de
conocimientos y herramientas que permite a los estudiantes implementar servicios de redes
que permitan cubrir las necesidades y expectativas de las empresas, considerando criterios
de alta disponibilidad, tolerancia a fallos y balanceo de carga.
Red de contenidos
Sistemas Operativos Avanzados
UNIDAD
1
CONFIGURACIN DE RED
IMPLEMENTACIN DE ARREGLOS
DE DISCOS Y VOLMENES
LGICOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los estudiantes realizaran la configuracin de los parmetros
de red para un servidor en produccin y tambin desplegara soluciones de alta
disponibilidad y tolerancia a fallos.
TEMARIO:
1.1 Tema 1 : Networking en Linux
1.1.1 : Configuracin bsica de los parmetros IP.
1.1.2 : Configuracin avanzada de red IP Alias
1.1.3 : Acoplamiento de interfaces de red Bonding
1.1.4 : Utilitarios: ping, netstat, traceroute
1.1.5 : Acceso remoto con SSH
ACTIVIDADES PROPUESTAS
Configurar eficientemente los parmetros IP para un servidor en produccin.
Establecer conexin remota administrativa al servidor Linux Centos.
Implementar arreglos de discos. RAID por software
Implementar volmenes lgicos LVM.
En Centos, Fedora y Red Hat Enterprise Linux la deteccin de las tarjetas de red es
automtica mientras se trate de dispositivos soportados. Para consultar la lista de
dispositivos compatibles, visite hardware.redhat.com.
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
NM_CONTROLLED=no
DOMAIN=cibertec.pe
Otra opcin para prescindir del uso de NetworkManager, es desactivar por completo el
servicio, siendo que su uso slo tiene sentido en una computadora porttil que se conecta a
mltiples redes inalmbricas o bien un sistema escritorio donde se quiere permitir al usuario
regular poder controlar los dispositivos de red. Para desactivar NetworkManager, ejecute la
siguiente lnea de comandos:
La resolucin de nombres local utiliza el archivo HOSTS, por lo tanto tiene que editar el
archivo /etc/hosts y agregar una entrada con el nombre de host y la direccin IP asociada:
El nombre de host debe ser un FQDN (Fully Qualified Domain Name o Nombre de Dominio
Plenamente Calificado) resuelto por un servidor de nombres de domino (DNS). Puede definir
esta configuracin editando el archivo /etc/sysconfig/network y asignado el valor de la
variable HOSTNAME de la siguiente manera:
NETWORKING=yes
HOSTNAME=server.cibertec.pe
A partir de Centos 6 y Red Hat Enterprise Linux 6, la variable HOSTNAME puede ser
establecida en el archivo de configuracin de cualquier dispositivo de red del sistema. A
continuacin un ejemplo de la configuracin:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
NM_CONTROLLED=no
DOMAIN=cibertec.pe
HOSTNAME=server.cibertec.pe
Para configurar la direccin IP debe editar el archivo ifcfg-ethX, donde x=0, 1, 2, etc.
Recuerde el objetivo de cada uno de los parmetros al momento de asignar el valor
respectivo:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
HWADDR=42:77:FE:AA:CC:2B
NM_CONTROLLED=no
IPADDR=192.168.1.2
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
DOMAIN=cibertec.pe
CARRERA DE REDES Y COMUNICACIONES CIBERTEC
14
SISTEMAS OPERATIVOS AVANZADOS
DNS1=8.8.8.8
DNS2=8.8.4.4
En CentOS 5 y Red Hat Enterprise Linux 5 (y versiones anteriores), para configurar las
direcciones IP de los servidores DNS hay que editar el archivo /etc/resolv.conf:
search cibertec.pe
nameserver 8.8.8.8
nameserver 8.8.4.4
Para verificar la configuracin de todas las interfaces de red utilizamos la siguiente lnea de
comandos:
Si Ud. desea visualizar solo la configuracin de una tarjeta de red, por ejemplo verificar la
configuracin de la tarjeta de red eth0 puede utilizar la siguiente lnea de comandos:
Pero si necesita visualizar el resumen de la configuracin IPv4 de todas las interfaces de red
puede utilizar la siguiente lnea de comandos:
Por ltimo, hay que verificar la resolucin de nombres DNS, y este procedimiento es muy
importante para que nuestro servidor tenga una configuracin adecuada y poder
implementar cualquier otro servicio de red.
Para realizar las consultas DNS podemos utilizar dos comandos dig y nslookup con la
siguiente lnea de comandos:
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 208 IN A 181.64.130.112
google.com. 208 IN A 181.64.130.90
google.com. 208 IN A 181.64.130.101
google.com. 208 IN A 181.64.130.88
google.com. 208 IN A 181.64.130.121
google.com. 208 IN A 181.64.130.84
google.com. 208 IN A 181.64.130.102
google.com. 208 IN A 181.64.130.106
google.com. 208 IN A 181.64.130.99
google.com. 208 IN A 181.64.130.95
google.com. 208 IN A 181.64.130.110
google.com. 208 IN A 181.64.130.113
google.com. 208 IN A 181.64.130.80
google.com. 208 IN A 181.64.130.91
google.com. 208 IN A 181.64.130.123
google.com. 208 IN A 181.64.130.117
> google.com
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: google.com
Address: 181.64.130.37
Name: google.com
Address: 181.64.130.27
Name: google.com
Address: 181.64.130.38
Debemos configurar interfaces virtuales que estarn referenciadas a una interface de red
fsica, es decir, podemos asignar ms de una direccin IP a una tarjeta de red.
Para configurar una interface virtual (por ejemplo eth0:0) de manera no persistente debemos
escribir la siguiente lnea de comandos:
DEVICE=eth0:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=172.16.1.5
NETMASK=255.255.255.0
Modo 0 (BALANCE-RR): Se emplea un algoritmo round robin entre la cola virtual y las
de los esclavos. Es algo as como un pequeo paquete para un esclavo y otro paquete
pequeo para el siguiente esclavo, etc. Es el algoritmo que se usa por defecto.
Modo 1 (ACTIVE BACKUP): Este modo no balancea la carga, usa slo un esclavo y en
caso de fallar, usa el siguiente disponible.
Modo 2 (BALANCE-XOR): Emplea una frmula para decidir por qu tarjeta de red sale:
(source-MAC xor dest-MAC).
Modo 3 (BROADCAST): Se transmite todo por todas las interfaces. Este mtodo no
balancea tampoco, pero provee tolerancia a fallos.
Interface Bonding
eth1
bond0
eth0
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.1.2
NETMASK=255.255.255.0
USERCTL=no
(3) Por ultimo debemos editar las interfaces que forman parte del bonding (eth0 y eth1),
para esto hay que editar los archivos de configuracin de cada interface:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
USERCTL=no
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
USERCTL=no
1.1.4.1 PING
PING es una herramienta que permite comprobar si hay realmente conectividad. Puede
ejecutar ping hacia cualquier direccin de la red local o de internet con la siguiente lnea de
comandos:
1.1.4.2 NETSTAT
Netstat es una herramienta utilizada para supervisar las conexiones de red, estadsticas de
interfaces y asignaturas de multidifusin. Se utiliza principalmente para encontrar problemas
en una red y para medir el trfico de red como una forma de calcular el desempeo de sta.
Para visualizar todas las conexiones activas en el sistema, tanto TCP como UDP, se utiliza la
opcin a:
1.1.4.3 TRACEROUTE
Traceroute es una herramienta que permite determinar el camino que siguen los paquetes
de red desde un equipo a otro y as determinar si existe algn problema en algn momento
entre ambos. Si tenemos un problema notable de velocidad, con Traceroute podemos
verificar en qu momento sucede el problema y as intentar encontrar la solucin ms
adecuada.
SSH (Secure Shell) es un protocolo de red que permite establecer una comunicacin a
travs de un canal seguro entre un cliente local y un servidor remoto. Utiliza una clave
pblica cifrada para autenticar el servidor remoto y, opcionalmente, permitir al servidor
remoto autenticar al usuario.
SCP.(Secure Copy)
SCP es un protcolo seguro para transferir ficheros entre un equipo local y otro remoto,
a travs de SSH. Bsicamente, es idntico a RCP (Remote Copy, o Copia Remota),
con la diferencia de que los datos son cifrados durante la transferencia para evitar la
extraccin potencial de informacin a travs de programas de captura de las tramas
de red. SCP solo implementa la transferencia de ficheros, pues la autenticacin
requerida es realizada a travs de SSH.
OpenSSH incluye servicio y clientes para los protocolos SSH, SFTP y SCP. Puede
descargarlo la ltima versin de la siguiente direccin: http://www.openssh.org/.
Tambin puede utilizar la herramienta yum.
Port:
Para elevar el nivel de seguridad del servicio SSH debe cambiar el puerto por defecto
del servicio (22/TCP) por cualquier otro puerto por ejemplo:
Port 46699.
ListenAddress:
Por defecto el servicio SSH ser atendido por todas las interfaces de red, es
recomendable especificar la direccin IP de la interface por donde debe atender el
servicio, por ejemplo:
ListenAddress 192.168.1.2
PermitRootLogin:
Establece si se va a permitir el acceso directo del usuario root al servidor SSH. Si se
va a permitir el acceso hacia el servidor desde redes pblicas, resultar importante
utilizar este parmetro con el valor no, por ejemplo:
PermitRootLogin no
X11Forwarding:
Establece si se permite o no la ejecucin remota de aplicaciones grficas. Si se va a
acceder hacia el servidor desde red local, este parmetro puede quedarse con el valor
yes. Si se va a permitir el acceso hacia el servidor desde redes pblicas, resultar
prudente utilizar este parmetro con el valor no.
X11Forwarding yes
AllowUsers:
AllowUsers user1@192.168.1.100
(3) Ahora debe iniciar el servicio SSH, utilizando la siguiente lnea de comandos:
(4) Si el servicio ya est levantado puede reiniciarlo para aplicar los cambios:
(1) Para acceder al servidor SSH desde un cliente Linux hacia el servidor por SSH, basta
con ejecutar desde el sistema cliente el comando ssh definiendo el usuario a utilizar y el
servidor al cual conectar:
[root@server ~]# ssh usuario@servidor
(2) Para acceder hacia un puerto en particular, se utiliza el parmetro -p. En el siguiente
ejemplo, utilizando la cuanta del usuario user1, se intentar acceder al servidor con
direccin IP 192.168.1.2, el cual tiene un servicio de SSH que responde peticiones a
travs del puerto 46699.
RAID utiliza una tcnica llamada striping para dividir la informacin antes de distribuirla en
bloques que son almacenados de forma organizada en los diferentes discos del array. Es
importante indicar que un sistema RAID puede ser interno o externo y su implementacin
puede ser hecha a nivel de hardware o software. En este ltimo caso le corresponde a la
BIOS del sistema operativo controlar el RAID cuyos discos podrn ser de tipo IDE, SATA o
SAS. En una implementacin por hardware el controlador es independiente, cuenta con
capacidad de proceso propia y dispone de un interfaz SCSI o SATA para la conexin de los
discos que conforman el arreglo.
Un disco duro se caracteriza entre otros parmetros por su MTBF (Mean Time Between
Failure o tiempo medio entre fallos) cuya importancia no slo radica en su valor sino
tambin en su significado. EL MTBF nos avisa que los discos pueden dejar de funcionar,
ocasionando prdidas de datos o imposibilitando el acceso a la informacin por parte de los
usuarios. Adems un sistema de almacenamiento basado en arquitectura RAID ofrece
cuatro ventajas principales:
Mayor fiabilidad que los discos individuales por tratarse de una arquitectura tolerante
a fallos con soporte de elementos redundantes.
Mayor rendimiento y tasa de transferencia de datos que los discos individuales como
resultado de las operaciones de lecturas/escritura simultneas realizada sobre
mltiples disco en paralelo.
Mayor integridad. Ante un error en los datos almacenados en alguno de los discos
del arreglo (corrupcin de datos, error de grabacin, etc.), la informacin de paridad
generada por los sistemas RAID permitir reconstruir los datos perdidos
manteniendo as la integridad de la informacin
RAID no protege los datos. Un sistema RAID no impedir que los datos se vean
modificados o borrados como consecuencia de errores accidentales. Ni tampoco
podr evitar que los datos se daen o que sean destruidos por un agujero de
seguridad. Para evitar estos riesgos deberemos disponer de herramientas de
backup o data recovery.
RAID no hace que la recuperacin ante desastres sea ms simple. Las herramientas
de recuperacin de datos debern soportar los controladores RAID apropiados, de lo
contrario no podrn acceder a los datos almacenados en los discos afectados.
Generalmente los dispositivos NAS/SAN incluyen funcionalidades de backups,
como la replicacin remota, que permite duplicar los arreglos entre unidades o en
ubicaciones remotas utilizando servicios en la nube.
Ventajas:
Permite el acceso a ms de un disco a la vez, logrando una tasa de transferencia ms
elevada.
Al no requerir espacio para almacenar informacin de redundancia, el coste por
megabyte resulta inferior.
Desventajas:
No se dispone de informacin de paridad.
No ofrece tolerancia a fallos.
Uso recomendado:
Ventajas:
Proteccin de la informacin en caso de fallos del disco y/o de la controladora (en caso
de tener instalada una controladora duplicada).
Ofrece tolerancia a fallos.
Desventajas:
Ineficiencia debido a las tareas de escritura en el disco espejo.
Se desperdicia el 50% de la capacidad de almacenamiento del sistema haciendo que
el coste por megabyte til sea mayor.
Uso recomendado:
Para soluciones donde se necesite almacenar archivos importantes (contables,
registros financieros, personales, etc.) son comnmente respaldadas con una
solucin RAID 1.
Este array ofrece tolerancia al fallo, pero adems, optimiza la capacidad del sistema
permitiendo una utilizacin de hasta el 80% de la capacidad del conjunto de discos.
Esto lo consigue mediante el clculo de informacin de paridad y su almacenamiento
alternativo por bloques en todos los discos del conjunto. La informacin del usuario se
graba por bloques y de forma alternativa en todos ellos. De esta manera, si cualquiera de
las unidades de disco falla, se puede recuperar la informacin en tiempo real, sobre la
marcha, mediante una simple operacin de lgica de O exclusivo, sin que el servidor deje
de funcionar.
Ventajas:
Proporciona un buen rendimiento con mnima prdida de capacidad de
almacenamiento.
Aporta un nivel de redundancia suficiente para ser considerado tolerante a fallos.
Desventajas:
Menores prestaciones que en RAID 1. No ofrece solucin al fallo simultneo en dos
discos.
Cuando las aplicaciones requieren muchas escrituras de tamao inferior a la divisin
de datos establecida (stripe), el rendimiento ofrecido por RAID 5 no es el ptimo.
Uso Recomendado:
En servidores de base de datos, correo electrnico, soluciones de virtualizacin y en
sistemas donde se necesite un rendimiento sea equilibrado con tolerancia a fallos.
Primero se crea un espejo RAID-1 y luego, sobre los anteriores, se establece un RAID-0. El
resultado es un array dotado de redundancia con una mejora de rendimiento al no precisar
escritura de paridad. Para que no se pierdan datos cada RAID-1 deber mantener al menos
uno de sus discos sin fallos.
Ventajas:
RAID-10 ofrece los beneficios combinados de RAID 1 y 0 con el doble de capacidad
de RAID 1
La capacidad total es la mitad de la suma de los cuatro discos. Los cuatro discos del
array son controlados como una sola unidad ms grande.
RAID-10 puede mantener una falla en el disco por cada sub array y ofrece el
rendimiento ms rpido con redundancia.
Desventajas:
Mayor costo.
Escalabilidad limitada.
Uso recomendado:
Es una excelente solucin para los profesionales de audio y video que requieren un
alto rendimiento, as como una alta tolerancia a fallos.
Nuestro servidor cuenta con dos discos duros de 500 GB Disk0 y Disk1. El primer disco es
reconocido por Linux Centos como /dev/sdb y el segundo disco como /dev/sdc. A
continuacin se deben crear las respectivas particiones para unirlas de manera lgica en
una unidad RAID de Nivel 1, es decir, se implementa un arreglo de discos en espejo.
500 GB 500 GB
RAID-1: /dev/md0
500 GB
Importante: Antes de comenzar a configurar el arreglo de discos, agregue dos discos duros
a su servidor utilizando la opcin Configuracin de VirtualBox.
(1) Listamos los discos en nuestro servidor con la informacin de las particiones de cada
disco:
(2) Crear una particin en el disco /dev/sdb utilizando la herramienta fdisk. Escriba la
siguiente lnea de comandos:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0xe339577c.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
switch off the mode (command 'c') and change display units to
sectors (command 'u').
(3) Ahora vamos a utilizar el comando m para visualizar las opciones de fdisk:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0x79ed5909.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
Command action
a toggle a bootable flag
b edit bsd disklabel
c toggle the dos compatibility flag
d delete a partition
l list known partition types
m print this menu
n add a new partition
o create a new empty DOS partition table
p print the partition table
q quit without saving changes
s create a new empty Sun disklabel
t change a partition's system id
u change display/entry units
v verify the partition table
w write table to disk and exit
x extra functionality (experts only)
(4) Creamos una nueva particin utilizando la opcin n y luego la definimos como particin
primaria con la opcin p:
(5) Ahora cambiamos el System ID de la particin para que pueda formar parte del arreglo
RAID-1. Utilizamos la opcin t y para listar todas las opciones hacemos uso de la
opcin L. Finalmente escogemos la opcin fd para cambiar el System ID a Linux
raid auto:
(6) Finalmente debemos mostrar la tabla de particiones del disco /dev/sdb para comprobar
la configuracin realizada. Utilizamos la opcin p:
(9) Listamos los discos y sus particiones utilizando la siguiente lnea de comandos:
(10) Ahora que los discos estn preparados para formar parte del RAID-1, procederemos a
crear el arreglo de discos con el comando mdadm de la siguiente manera:
# /etc/fstab
# Created by anaconda on Thu Sep 11 09:22:57 2014
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
tmpfs /dev/shm tmpfs defaults 00
sysfs /sys sysfs defaults 00
proc /proc proc defaults 00
/dev/md0 /mnt/raid1 ext4 defaults 00
(1) Antes de forzar el error en uno de los discos que conforman el RAID-1 debemos verificar
el estado de nuestro arreglo:
Personalities: [raid1]
md0: active raid1 sdc1[2] sdb1[0]
4190848 blocks super 1.2 [2/2] [UU]
(2) Nuestro RAID-1 est conformado por los discos /dev/sdb1 y /dev/sdc1. Vamos a
simular un fallo en el disco /dev/sdc1 utilizando la siguiente lnea de comandos:
(3) Visualizamos el estado del arreglo y apreciamos que solo tenemos en funcionamiento
uno de los dos discos [2/1] [U_] que forman el RAID.
Personalities: [raid1]
md0: active raid1 sdc1[2](F) sdb1[0]
4190848 blocks super 1.2 [2/1] [U_]
(4) Ahora hay que remover el disco error /dev/sdc1 del arreglo RAID 1.
(5) Luego aadimos un nuevo disco /dev/sdd1 al arreglo que hemos implementado con la
finalidad de mantener nuestro sistema tolerante a fallos. Utilizamos la siguiente lnea de
comandos:
Personalities: [raid1]
md0: active raid1 sdc1[2] sdb1[0]
4190848 blocks super 1.2 [2/2] [UU]
Capacidad flexible
Cuando se utilizan volmenes lgicos, los sistemas de archivos pueden extenderse a lo
largo de varios discos, ya que se pueden agregar discos y particiones en un nico
volumen lgico.
Volmenes en espejos
Los volmenes lgicos proporcionan una manera conveniente de configurar copias para
sus datos.
Antes de empezar a configurar los volmenes lgicos debemos tener las particiones creadas
en los discos duros, en nuestro caso sern /dev/sdd1 y /dev/sde1.
Tambin debe configurar el System ID de los discos con la opcin 8e: Linux LVM, para
poder implementar el volumen lgico. El procedimiento lgico debe seguir el siguiente orden
(2) Creamos los volmenes fsicos (PV) en cada uno de los discos. Utilizamos las siguientes
lneas de comandos:
(3) Si necesita analizar todos los dispositivos de bloque LVM soportado en el sistema de
volmenes fsicos, puede utilizar el siguiente comando: [
(5) Ahora creamos el grupo de volmenes (VG) considerando los volmenes fsicos
anteriormente configurados, es decir, creamos el volumen de grupo LVM1 considerando
los volmenes fsicos /dev/sdd1 y /dev/sde1.
(7) Ahora configuramos los volmenes lgicos (LV) tomando como referencia el espacio que
nos proporciona el grupo de volmenes (VG) configurado en el paso anterior.
Opciones:
-L: Define el tamao del volumen lgico. En este caso se define 1GB. espacio tomado
del grupo de volumen LVM1.
(8) Verificamos la configuracin del volumen lgico (LV) para esto utilizamos la siguiente
lnea de comandos:
[root@server ~]# df -h
(1) Una de las ventajas de implementar LVM es que podemos expandir o reducir el tamao
del volumen. Vamos a expandir el tamao de nuestro LV DATABASE de 1GB a 2GB,
Utilizamos la siguiente lnea de comandos:
(3) Visualizamos el espacio de disco y observamos que el nuevo tamao del dispositivo no
ha sido actualizado por el filesystem:
[root@server ~]# df -h
[root@server ~]# df -h
Resumen
Para configurar los parmetros IP de un servidor antes hay que conocer el diseo del
direccionamiento de la red donde se va a publicar el servicio. Luego debe editar el archivo
de configuracin ifcfg-eth0 que se encuentra en el directorio /etc/sysconfig/network-
scripts. En ese mismo directorio guardamos los archivos de configuracin de las
direcciones IP Secundarias conocidas tambin como IP Alias para tener la posibilidad de
asignar ms de una direccin IP a una misma interface fsica.
Luego aprendi a configurar las conexiones remotas hacia y desde un servidor Linux
utilizando OPENSSH cuidando el puerto que apertura la aplicacin, los usuarios y los
equipos desde donde se pueden conectar.
UNIDAD
2
SERVICIOS DE
INFRAESTRUCTURA DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los estudiantes implementan servicios de infraestructura de
red.
TEMARIO:
2.1 Tema 3 : Servidor Nombres de Dominio
2.1.1 : Jerarqua de nombres de dominio.
2.1.2 : Zonas de dominio y registros DNS
2.1.3 : Servicio DHCP
ACTIVIDADES PROPUESTAS
Configurar los servicios de infraestructura DNS y DHCP.
Configurar el servicio de directorio OPENLDAP
Configurar el servicio de archivos SAMBA, adems de integrar las plataformas
Windows y Linux en las redes mixtas.
DNS (Domain Name System) es el sistema de nombres de dominio que tiene como principal
objetivo la resolucin de nombres de los recursos en las redes TCP/IP. Gracias el servicio
DNS los usuarios podemos acceder a los recursos en las redes utilizando nombres y no
nmeros (direcciones IP). Si el servidor DNS no tiene ninguna entrada en su base de datos
para el host remoto, puede responder al cliente con la direccin de un servidor DNS que
pueda tener informacin acerca de ese host remoto, o bien puede consultar al otro servidor
DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba
las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a
ningn host del espacio de nombres DNS especificado.
Servidor DNS
El sistema DNS utiliza una base de datos distribuida y jerrquica para almacenar la
informacin necesaria para resolver los nombres de dominio. Gracias al servicio DNS los
usuarios utilizamos nombres y no nmeros (direcciones IP) para acceder a los recursos de
la red.
Dominio Raz
Subdominio
Host: www
Figura 10: Jerarqua del Sistema DNS
Fuente: Elaboracin Propia
Subdominio
Nombres adicionales que puede crear una organizacin que se derivan del nombre
de dominio de segundo nivel registrado. Estos incluyen los nombres agregados para
crecer el rbol DNS de nombres en una organizacin y se divide en departamentos o
ubicaciones geogrficas.
Por ejemplo cibertec como institucin educativa en el Per reservo el nombre
cibertec.edu.pe
Servidor DNS: Son los equipos que responden a las peticiones de los clientes DNS
consultando la base de datos propia o a otros servidores DNS.
Clientes DNS: Son los equipos que envan peticiones de resolucin de nombres s
los servidores DNS.
org
Organizaciones sin fines de lucro
Consultas Recursivas
El Servidor DNS asume toda la carga de proporcionar una respuesta completa
para la consulta realizada por el Cliente DNS. El Servidor DNS desarrolla entonces
Consultas Iterativas separadas hacia otros Servidores DNS (en lugar de hacerlo el
Cliente DNS) para obtener la respuesta solicitada.
Un archivo de zona o zona DNS, es un archivo que contiene los datos para poder resolver
las peticiones de nombres asociadas al dominio en direcciones IP. Estos utilizan los
Registros de Recursos (RR) para cumplir con los procesos de resolucin de nombres. Los
registros ms utilizados son:
options {
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "cibertec.pe" IN {
type master;
file "cibertec.pe.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.in-addr.arpa.zone";
allow-update { none; };
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
$TTL 1D
@ IN SOA mail.cibertec.pe. root.cibertec.pe. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS mail.cibertec.pe.
IN A 192.168.1.2
www IN A 192.168.1.2
mail IN A 192.168.1.2
mail2 IN A 192.168.1.3
cibertec.pe. IN MX 10 mail.cibertec.pe.
cibertec.pe. IN MX 20 mail2.cibertec.pe.
cibertec.pe. IN A 192.168.1.2
$TTL 1D
@ IN SOA mail.cibertec.pe. root.cibertec.pe. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS mail.cibertec.pe.
IN PTR cibertec.pe.
IN A 255.255.255.0
2 IN PTR www.cibertec.pe.
2 IN PTR mail.cibertec.pe.
3 IN PTR mail2.cibertec.pe.
[root@server named]# ls -l
Starting named: [ OK ]
(7) Para ejecutar el servicio named durante el proceso de arranque del servidor:
(8) Es importante verificar que el puerto 53/UDP se encuentra abierto, para esto utilizamos
el siguiente comando:
.
GATEWAY=192.168.1.1
DNS1=192.168.1.2
.
IP: 192.168.1.55/24
IP: 192.168.1.5/24
DHCP Discover
DHCP Offer
DHCP Request
a. Asignacin manual: La asignacin utiliza una tabla con direcciones MAC Slo los
equipos con una direccin MAC definida en dicha tabla recibirn la direccin IP
definida en la configuracin.
La empresa Laboratorios Roster S.A. cuenta con 20 servidores y 200 estaciones de trabajo.
Usted como integrante del equipo de Infraestructura y TI de la empresa debe configurar el
servidor DHCP en Linux Centos con la siguiente informacin:
Rango de direcciones IP
192.168.1.50
192.168.1.51
.
.
.192.168.1.250
Leasing DHCP
(2) Si tenemos varias tarjetas de red en el servidor, es recomendable que el servicio dhcpd
solamente funcione a travs de la tarjeta de red conectada a la red LAN. Nunca debe
habilitar la opcin en la tarjeta de red conectada a la red WAN. Para cubrir esta
ddns-update-style interim;
ignore client-updates;
authoritative;
default-lease-time 900;
max-lease-time 7200;
option ip-forwarding off;
option domain-name "cibertec.pe";
shared-network cibertec.pe {
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 192.168.1.2;
range 192.168.1.50 192.168.1.250;
}
}
(6) Para ejecutar el servicio dhcpd durante el proceso de arranque del servidor, utilizamos
la siguiente lnea de comandos
(7) Si necesitamos fijar una direccin IP, por ejemplo la direccin 192.168.1.250 para que el
servidor DHCP la asigne siempre a un mismo equipo (asumiendo que es el equipo del
gerente general de la empresa) debemos obtener la direccin MAC Address y configurar
las siguientes lneas en el archivo /etc/dhcp/dhcpd.conf:
host pp_gg {
option host-name "pc_gg.cibertec.pe";
hardware ethernet 00:70:F4:65:B4:24;
fixed-address 192.168.1.250;
}
(1) Editar el archivo ifcfg-eth0 y cambiar el valor del parmetro BOOTPROTO a dhcp
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
IPADDR=192.168.1.2
NETMASK=255.255.255.0
USERCTL=no
(2) Reiniciar el servicio de red para solicitar al servidor DHCP la asignacin de los
parmetros de red:
Como X.500, LDAP organiza la informacin en un modo jerrquico usando directorios. Estos
directorios pueden almacenar una gran variedad de informacin y se pueden incluso usar de
forma similar al Servicio de informacin de red (NIS), permitiendo que cualquiera pueda
acceder a su cuenta desde cualquier mquina en la red acreditada con LDAP.
Sin embargo, en la mayora de los casos, LDAP se usa simplemente como un directorio
telefnico virtual, permitiendo a los usuarios acceder fcilmente la informacin de contacto
de otros usuarios. Pero LDAP va mucho ms lejos que un directorio telefnico tradicional, ya
que es capaz de propagar su consulta a otros servidores LDAP por todo el mundo,
proporcionando un repositorio de informacin ad-hoc global. Sin embargo, en este momento
LDAP se usa ms dentro de organizaciones individuales, como universidades,
departamentos del gobierno y compaas privadas.
LDAP es un sistema cliente/servidor. El servidor puede usar una variedad de bases de datos
para guardar un directorio, cada uno optimizado para operaciones de lectura rpidas y en
gran volumen. Cuando una aplicacin cliente LDAP se conecta a un servidor LDAP puede, o
bien consultar un directorio, o intentar modificarlo. En el evento de una consulta, el servidor,
puede contestarla localmente o puede dirigir la consulta a un servidor LDAP que tenga la
respuesta. Si la aplicacin cliente est intentando modificar informacin en un directorio
LDAP, el servidor verifica que el usuario tiene permiso para efectuar el cambio y despus
aade o actualiza la informacin.
El primer paso para disear el DIT es definir el DN Base que es el nivel ms alto en el rbol
de directorio, es decir, la base o raz del directorio.
dc=cibertec, dc=pe
a) dc=example,dc=com
Raz del directorio
b) ou=usuarios
Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y
Windows.
c) ou=grupos
Contenedor para almacenar Grupos de sistema para sistemas Unix y Windows.
d) ou=equipos
Contenedor para las cuentas de computadoras (Trusted Machine Accounts) para
sistemas Windows.
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
database bdb
suffix "dc=cibertec,dc=pe"
rootdn "cn=admin,dc=cibertec,dc=pe"
rootpw {SSHA}D4u9cTJ7ErP7YBSiPzPhl3lEKV/Vnrls
directory /var/lib/ldap
(7) Para ejecutar el servicio ldap durante el proceso de arranque del servidor, utilizamos la
siguiente lnea de comandos
$NETINFOBRIDGE = (-x
"/usr/sbin/mkslapdconf"); if
($NETINFOBRIDGE) {
$NAMINGCONTEXT{'aliases'} = "cn=aliases";
$NAMINGCONTEXT{'fstab'} = "cn=mounts";
$NAMINGCONTEXT{'passwd'} = "cn=users";
$NAMINGCONTEXT{'netgroup_byuser'} = "cn=netgroup.byuser";
$NAMINGCONTEXT{'group'} = "cn=groups";
$NAMINGCONTEXT{'netgroup'} = "cn=netgroup";
$NAMINGCONTEXT{'hosts'} = "cn=machines";
$NAMINGCONTEXT{'networks'} = "cn=networks";
$NAMINGCONTEXT{'protocols'} = "cn=protocols";
$NAMINGCONTEXT{'rpc'} = "cn=rpcs";
$NAMINGCONTEXT{'services'} = "cn=services";
} else {
$NAMINGCONTEXT{'aliases'} = "ou=aliases";
$NAMINGCONTEXT{'fstab'} = "ou=mounts";
$NAMINGCONTEXT{'passwd'} = "ou=people";
$NAMINGCONTEXT{'netgroup_byuser'} = "nisMapName=netgroup.byuser";
$NAMINGCONTEXT{'netgroup_byhost'} = "nisMapName=netgroup.byhost";
$NAMINGCONTEXT{'group'} = "ou=group";
$NAMINGCONTEXT{'netgroup'} = "ou=netgroup";
$NAMINGCONTEXT{'hosts'} = "ou=hosts";
$NAMINGCONTEXT{'networks'} = "ou=networks";
$NAMINGCONTEXT{'protocols'} = "ou=protocols";
$NAMINGCONTEXT{'rpc'} = "ou=rpc";
$NAMINGCONTEXT{'services'} = "ou=services";
}
# Default base
$DEFAULT_BASE = "dc=cibertec, dc=pe";
Aunque LDAP permite trabajar con comandos y archivos ldif, para acceder al directorio
LDAP y poder crear y modificar elementos en dicho directorio, es ms prctico utilizar un
explorador de directorios LDAP (LDAP browser). Existen muchos exploradores LDAP tanto
de pago como libres. Entre las aplicaciones libres destacamos gq, phpldapadmin (aplicacin
web), LAM y JXplorer.
LAM es una interface grfica para la gestin de las entradas (por ejemplo, usuarios, grupos,
configuracin de DHCP) almacenada en un directorio LDAP. LAM fue diseado para que la
gestin LDAP sea lo ms fcil posible para el usuario. Se abstrae de los detalles tcnicos de
LDAP y permite que las personas sin experiencia tcnica en la gestin de entradas LDAP
puedan administrar el servicio de directorio. Si es necesario, los usuarios avanzados pueden
editar directamente las entradas LDAP a travs del navegador LDAP integrado.
[root@server ~]# yum -y install httpd php-cli php-ldap php-gd php-mbstring mysql
php-pear
http://lam.sourceforge.net
memory_limit=128M
b) Si hay problemas con las libreiras pcre, debe descargarlas e instalarlas con la
siguiente lnea de comandos:
(6) Una vez cargada la interface web de LAM vamos a la opcin LAM Configuration:
Samba fue desarrollado originalmente para Unix por Andrew Tridgell utilizando un sniffer o
capturador de trfico para entender el protocolo a travs de la ingeniera inversa. El nombre
viene de insertar dos vocales al protocolo estndar que Microsoft usa para sus redes, el
SMB o server message block. En un principio, Samba tom el nombre de smbserver pero
tuvieron que cambiarlo por problemas con una marca registrada. Tridgell busc en el
diccionario de su mquina Unix alguna palabra que incluyera las letras s, m y b con la
orden grep hasta que dio con Samba.
Samba configura directorios Unix-Linux (incluyendo sus subdirectorios) como recursos para
compartir a travs de la red. Para los usuarios de Microsoft Windows, estos recursos
aparecen como carpetas normales de red. Los usuarios de Linux pueden montar en sus
sistemas de archivos ests unidades de red como si fueran dispositivos locales, o utilizar la
orden smbclient para conectarse a ellas muy al estilo del cliente de la lnea de rdenes ftp.
Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones
del sistema de archivos que se est usando en Linux. Por ejemplo, las carpetas home
pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno
acceda a sus propios archivos; sin embargo, deberemos cambiar los permisos de los
archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de
escritura en el recurso no ser suficiente.
Los componentes del servicio samba los podemos clasificar segn el rol del equipo en la
red:
1) Samba Server
b) nmbd: Registra todos los nombres NetBIOS y responde a las consultas de nombres.
2) Samba Client
[global]
workgroup = CIBERTEC
netbios name = samba.cibertec
server string = Servidor Samba Cibertec
interfaces = lo eth0 192.168.1.3/24
local master = no
domain master = no
domain logons = no
security = user
(1) Crear el directorio que se va a compartir por samba y asignar los permisos:
[publico]
comment = Directorio Publico
path = /home/publico
public = yes
browseable = yes
writeable = yes
force group = users
directory mask = 0777
create mask = 0777
[root@server ~]# netstat -lntp (deben figurar los puertos 139 y 445)
[homes]
comment = Carpetas Home de Usuarios
valid users = %S
browseable = no
read only = no
[sistemas]
comment = Directorio Compartido para Grupo Sistemas
path = /home/sistemas
valid users = @sistemas
write list = @sistemas
force group = sistemas
browseable = yes
directory mask = 0770
create mask = 0770
[global]
2.3.2.5 Agregar equipos al dominio generado por el servicio samba (para cientes
windows 7/8)
(3) Ahora debemos realizar cambios en el registro del Windows 7 a unir en el dominio.
Navegaremos hasta la ruta:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LammanWorkstation
\Parameters
(4) Agregamos los siguientes valores DWORD, con el mismo nombre y valores:
DomainCompatibilityMode = 1
DNSNameResolutionRequired = 0
(5) Luego modificamos y verificamos que los siguientes valores DWORD del registro se
encuentren y tengan los valores indicados. Navegamos hasta la ruta:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
(3) En Seguridad de red: seguridad de sesin mnima para clientes NTML basados en SSP
y Seguridad de red: seguridad de sesin mnima para servidores NTML basados en
SSP, deshabilitar Requerir cifrado de 128-bit.
Resumen
Los servicios de infraestructura permiten que los usuarios en las redes puedan acceder a los
recursos utilizando nombres y no direcciones IP, porque resulta ms simple y practico ya
que retener nmeros sera ms complejo.
Tambin los equipos en las redes van a poder obtener la configuracin de los parmetros IP
de manera automtica a travs del servicio DHCP, que permite de manera eficiente entregar
las direcciones IP de manera ordenada.
Implementar servicios de directorio con OpenLDAP permitir integrar otros servicios de red
teniendo una nica instancia de autenticacin, Podemos integrar servicios de core,
seguridad, aplicaciones contra la base de autenticacin LDAP sin necesidad de tener un
Directorio Activo de Microsoft implementado.
UNIDAD
3
SERVICIO DE MENSAJERA
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los estudiantes implementan servicios colaborativos de
correo electrnico.
TEMARIO:
3.1 Tema 6 : Servidor de Correo Electrnico
3.1.1 : Servicio de correo electrnico.
3.1.2 : Componentes en un sistema genrico de correo electrnico
3.1.3 : Servidor de Correo Colaborativo ZImbra ZCS
ACTIVIDADES PROPUESTAS
Revisar los requisitos para implementar una solucin de correo colaborativo
Configurar la solucin de correo colaborativo Zimbra ZCS
Fue diseado para que las personas intercambien mensajes utilizando ordenadores, como
en la vida cotidiana se intercambian cartas utilizando el servicio postal convencional. El
primer software de correo electrnico permita slo esa funcin bsica: una persona en un
ordenador redactaba un mensaje que era enviado, a travs de la red, a otra persona que
utilizara otro ordenador. Hoy en da las soluciones de correo electrnico son contienen
herramientas colaborativas que permiten que los usuarios puedan intercambiar listas de
contactos, ubicaciones, chat, software de ofimtica, etc.
A pesar de su aparente sencillez, las prestaciones del correo electrnico son inmensas:
mandar un mismo mensaje a tantas personas como queramos, con independencia de que
vivan en los lugares ms alejados del planeta, sin separarnos del ordenador, en cuestin de
segundos, con la posibilidad de aadir al mensaje archivos de textos, imgenes, programas
informticos.
La estructura de un mensaje es simple: suele incluir varios campos como son el destinatario
(que pueden ser varios), el remitente, el asunto (que es el ttulo del mensaje) y el texto. ste
suele ser breve, saltndose gran parte de los convencionalismos del correo normal como
membretes, direcciones, fechas, etc. Al final, se puede incluir un archivo de firma con
nuestros datos. Tambin se pueden adjuntar archivos de cualquier tipo (texto, imgenes,
sonidos, vdeo, programas, etc.)
Recuerde que existen unas normas de cortesa en el correo electrnico y que no est
permitido realizar cualquier tipo de abuso en el correo electrnico. Para reducir y minimizar
los efectos de los virus y del correo basura, el servicio de correo dispone de un antivirus y
una serie de reglas contra el SPAM.
SMTP / SMTPS
MTA MTA
MDA MDA
POPS / IMAPS
MUA MUA
El correo se enva desde el MUA hacia el MTA, para ello utiliza el protocolo SMTP y se
enruta de servidor MTA en servidor MTA hasta llegar al servidor MTA del destinatario,
empleando para la comunicacin el protocolo SMTP. Una vez recibido el correo el MTA
destino recibe el correo siempre y cuando la cuenta de usuario exista en la base de datos
del servicio, caso contrario rechaza el correo electrnico,
Despus el MTA de destino entrega el correo al agente de reparto de correo (MDA), el cul
almacena el correo en el buzn del usuario.
El agente de correo MUA accede al buzn para leer el correo empleando protocolo los
protocolos POP (Post Office Protocol) o IMAP (Internet Message Access Protocol).
Zimbra ha sido desarrollado en Java, complementado con AJAX, del que se dispone el
cdigo fuente completo (y binarios para distribuciones Red Hat Linux como Fedora y RHEL),
documentacin, herramientas de migracin (para Exchange, por ejemplo), entre otros.
Zimbra soporta acceso POP, acceso IMAP, entre otros; e incluye proteccin anti-spam y
antivirus.
El Servidor ZCS hace uso de proyectos Open Source existentes como ser: Postfix, MySQL,
OpenLDAP y Lucene. Expone una interface de programacin de aplicaciones (API) SOAP
para toda su funcionalidad y acta tanto como un servidor IMAP y POP3
ZCS es compatible con clientes propietarios tales como Microsoft Outlook, Novell Evolution y
Apple Mail. Tambin provee soporte de sincronizacin nativo de dos vas para muchos
CARRERA DE REDES Y COMUNICACIONES CIBERTEC
83
SISTEMAS OPERATIVOS AVANZADOS
dispositivos mviles (Nokia E-Series, BlackBerry, Windows Mobile, etc). Las versiones ZCS
Enterprise se adquieren con licenciamiento por usuarios, renovables mensualmente o
anualmente. De acuerdo al valor de la renovacin anual se puede acceder a 3 modalidades
de soporte.
Junto con ZCS es posible obtener Zimbra Desktop, desarrollado en AJAX, el cual ofrece
ricas experiencias visuales a la vez que permite trabajar con mltiple cuentas
POP/IMAP/SOAP y mltiples bandejas de entrada sin restricciones de espacio, ofrece total
compatibilidad con clientes como Microsoft Outlook, Apple Desktop Suite y Mozilla
Thunderbird.
ZCS aporta beneficios y prestaciones como:
1. A nivel de Administracin:
Consola centralizada
Instalacin en mltiples servidores
Gestin de colas de mensajes
Gestin de Antivirus/Spam
Gestin de cuentas, Clases de servicios, Polticas Enterprise
Reportes Avanzados
Estadsticas por servidores, como el trfico de mensajera o la actividad
Spam/Antivirus
2. A nivel de Usuario
Mail
Libretas de direcciones
Calendario
Block de notas
Mensajera instantnea
Listas de tareas
Maletn de documentos
Bsquedas configurables
Antispam/Antivirus
Conjunto de preferencias
Zimbra Proxy instala la caractersticas de proxy POP e IMAP y para proxy reverso
de peticiones HTTP, esto es til para un esquema de instalacin en multiservidores.
HOSTNAME=mail.cibertec.pe
(3) Verificar la resolucin DNS con dig. Probar la resolucin directa (revisar la unidad 2
Servidor de Nombres de Dominio)
;; QUESTION SECTION:
;cibertec.pe. IN A
;; ANSWER SECTION:
cibertec.pe. 86400 IN A 192.168.1.5
;; AUTHORITY SECTION:
cibertec.pe. 86400 IN NS mail.cibertec.pe.
;; ADDITIONAL SECTION:
mail.cibertec.pe. 86400 IN A 192.168.1.5
(4) Probamos la resolucin DNS inversa, asegurando que los registros de correo sean
resueltos por nuestro servidor DNS
;; QUESTION SECTION:
;5.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
5.1.168.192.in-addr.arpa. 86400 IN PTR mail.cibertec.pe.
5.1.168.192.in-addr.arpa. 86400 IN PTR www.cibertec.pe.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS mail.cibertec.pe.
;; ADDITIONAL SECTION:
mail.cibertec.pe. 86400 IN A 192.168.1.5
zimbra-ldap...NOT FOUND
zimbra-logger...NOT FOUND
zimbra-mta...NOT FOUND
zimbra-snmp...NOT FOUND
zimbra-store...NOT FOUND
zimbra-apache...NOT FOUND
zimbra-spell...NOT FOUND
zimbra-convertd...NOT FOUND
zimbra-memcached...NOT FOUND
zimbra-proxy...NOT FOUND
zimbra-archiving...NOT FOUND
zimbra-cluster...NOT FOUND
zimbra-core...NOT FOUND
Do you agree with the terms of the software license agreement? [N] Y
Found zimbra-logger
Found zimbra-mta
Found zimbra-snmp
Found zimbra-store
Found zimbra-apache
Found zimbra-spell
Found zimbra-memcached
Found zimbra-proxy
Installing:
zimbra-core
zimbra-ldap
zimbra-logger
zimbra-mta
zimbra-snmp
zimbra-store
zimbra-apache
zimbra-spell
Using packages for a platform in which they were not designed for
may result in an installation that is NOT usable. Your support
options may be limited if you choose to continue.
Cleaning up /etc/ld.so.conf...done.
Cleaning up /etc/prelink.conf...done.
Cleaning up /etc/security/limits.conf...done.
Installing packages
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
8) Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit
1) Hostname: mail.dominio2.com
2) Ldap master host: mail.dominio2.com
3) Ldap port: 389
4) Ldap Admin password: set
5) Secure interprocess communications: yes
6) TimeZone: America/Los_Angeles
Ldap configuration
1) Status: Enabled
2) Create Domain: yes
3) Domain to create: dominio2.com
4) Ldap root password: set
5) Ldap replication password: set
6) Ldap postfix password: set
7) Ldap amavis password: set
8) Ldap nginx password: set
Store configuration
1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@cibertec.pe
** 4) Admin Password UNSET
5) Enable automated spam training: yes
6) Spam training user: spam.zhfuz2pki@cibertec.pe
7) Non-spam(Ham) training user: ham.jmf6v3silv@cibertec.pe
8) Global Documents Account: wiki@cibertec.pe
9) SMTP host: mail. cibertec.pe
10) Web server HTTP port: 80
11) Web server HTTPS port: 443
12) Web server mode: http
13) IMAP server port: 143
14) IMAP server SSL port: 993
15) POP server port: 110
16) POP server SSL port: 995
17) Use spell check server: yes
18) Spell server URL: http://mail.cibertec.pe:7780/aspell.php
19) Configure for use with mail proxy: FALSE
20) Configure for use with web proxy: FALSE
21) Enable version update checks: TRUE
22) Enable version update notifications: TRUE
23) Version update notification email: admin@cibertec.pe
24) Version update source email: admin@ cibertec.pe
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
8) Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit
bare...done.
hotrod...done.
yahoo...done.
lavender...done.
oasis...done.
beach...done.
sand...done.
pebble...done.
com_zimbra_phone...done.
com_zimbra_dnd...done.
com_zimbra_bulkprovision...done.
Finished installing common zimlets.
Initializing Documents...done.
Restarting mailboxd...done.
Setting up zimbra crontab...done.
https://mail.cibertec.pe:7071
Para acceder al web client de Zimbra escribimos en la barra de direcciones del navegador:
https://mail.cibertec.pe
Resumen
El servicio de correo electrnico realiza una serie de procesos con la finalidad de transportar
los correos entre los distintos usuarios. Desde que el usuario emisor redacta el correo
interviene el agente MUA, quien luego pasa el correo al MTA. Este se pone en contacto con
el MTA del destinatario quien recibe el correo para luego pasarlo al agente MDA quien se
hace cargo de depositarlo en el buzn del usuario destino.
Los servicios de correo electrnico colaborativo permiten adems utilizar aplicaciones como
chat, calendario, maletn, etc. Para que los usuarios puedan tener servicios agregados como
parte de la solucin de correo. Zimbra Collaboration Suite es una solucin de correo
colaborativo Open Source que permite implementar soluciones de correo en las empresas
con un alto valor de servicios integrados.
UNIDAD
4
SERVICIO DE SEGURIDAD
PERIMETRAL
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los estudiantes implementan un sistema de seguridad
perimetral con administracin unificada
que incluye servicios de Firewall, Proxy, IPS, VPN y Antivirus
TEMARIO:
4.1 Tema 7 : Servidor de Seguridad Perimetral
4.1.1 : Seguridad Perimetral.
4.1.2 : UTM
4.1.3 : Endian Firewall UTM
4.1.4 : Escenarios de implementacin de Endian Firewall UTM
4.1.5 : Instalacin de Endian Firewall UTM
4.1.6 : Configuracin de Endian Firewall UTM
ACTIVIDADES PROPUESTAS
Implementacin de escenarios de seguridad con Endian Firewall UTM
La seguridad al cien por ciento no existe pero es el reto de los profesionales de seguridad
informtica implementar los mecanismos necesarios para impedir los accesos no
autorizados a la informacin corporativa. La planificacin de la seguridad en el diseo de la
red es decisiva para poder mitigar los riesgos. Algunos puntos que debemos tomar en
cuenta en el proceso de planificacin son:
Controlar los accesos no autorizados.
Dao intencionado y no intencionado.
Uso indebido de informacin (robo de informacin).
Estos sistemas inspeccionan cada paquete (informacin) que va o viene de Internet (u otra
red externa / interna) a nivel de capa de aplicacin, y ste puede trabajar de dos modos:
Modo proxy:
Hacen uso del proxy para procesar y redirigir todo el trfico interno. El firewall UTM
hace de cliente y de servidor, y es el intermediario indirecto de las comunicaciones
desde y hacia el internet o quizs otras redes remotas.
Modo Transparente:
No redirigen ningn paquete que pase por la lnea, simplemente lo procesan y son
capaces de analizar en tiempo real los paquetes. Este modo requiere de unas altas
prestaciones hardware pero es la mejor alternativa de UTM.
Endian Firewall es una llave en mano de distribucin de seguridad para Linux que
convierte a todo el sistema en un dispositivo de seguridad con todas las funciones y con
gestin unificada de amenazas (UTM) El software ha sido firmado pensando en el usuario
ya que es muy fcil de instalar, utilizar y gestionar, sin perder su flexibilidad.
Endian Firewall UTM mantiene los correos protegidos de virus y spam, asegura cualquier
servidor o cliente de correos, gracias a proxies transparentes. Cualquier servidor de correos,
como Microsoft Exchange o clientes como Outlook o Mozilla Thunderbird automticamente
sern protegidos y filtrados por Endian Firewall antivirus y antispam, no hay necesidad de
modificar configuraciones de su servidor o cliente de correos.
Esta es una red estndar con requerimientos de alta disponibilidad de Internet. Se puede
configurar Endian para conectarse a mltiples proveedores de servicios de Internet (ISP) y
enviar cierto trfico saliente a travs de un proveedor especfico y proporcionar redundancia
si un proveedor se cae.
Si alguno de los empleados est mucho tiempo fuera de la oficina y necesita acceder a
recursos internos, entonces este es una configuracin comn. Configure una laptop
con las credenciales requeridas para autenticarse contra el firewall e independientemente
de donde se encuentre, y que cuenten con una conexin a Internet, este sentir que est
conectado directamente a su red local. Outlook, unidades de almacenamiento, software
CRM y acceso a la Intranet son solo algunas de las cosas que ellos podrn tener
disponibles.
Endian permite la interconexin de las oficinas principales con las sucursales de manera que
los usuarios de ambas oficinas pueden acceder a los recursos sin reglas de firewall ni
puertos extraos. O podemos manejar un servidor DNS para ambas oficinas, reduciendo los
tiempos de mantenimiento, en realidad tenemos diversas opciones de configuracin segn
la naturaleza de los negocios.
Endian Firewall es un sistema todo en uno que integra lo mejor del software open-source
entre ellos mencionaremos a:
(1) Descargar Endian Firewall UTM desde la pgina oficial: http://www.endian.com, opcin
Community/Download
(4) Ahora hay que escoger el idioma para el proceso de instalacin. Endian Firewall puede ser
instalado en los siguientes idiomas: alemn, ingls e italiano. Escogemos el idioma ingls y
vamos a la opcin OK.
(5) Estamos casi listos para iniciar el proceso de instalacin de los paquetes que trae Endian
Firewall:
(6) Nos enva una advertencia que toda la informacin de nuestro disco duro ser eliminada.
Utilizamos la opcin OK para continuar el proceso de instalacin.
(7) Finalmente nos avisa si queremos habilitar el puerto de consola. Le decimos que NO y
vamos a la opcin OK.
(10) El ltimo paso es asignar una direccin IP, que ser la direccin administrativa inicial
que utilizaremos para configurar Endian Firewall
(11) Reiniciamos el servidor y cargara la siguiente pantalla, luego debemos conectarnos por
HTTPS utilizando un navegador web para configurar el servidor de seguridad.
(1) Para empezar a configurar Endian Firewall, utilizamos un navegador web y en la barra
de direcciones ingresamos: https://192.168.1.100:10443 (esta direccin IP
especificamos en la ltima parte del proceso de instalacin)
(2) Utilizamos el botn SIGUIENTE para escoger el idioma (ingles) del Endian
Firewall y la zona horaria (Amrica/Lima) que utilizara nuestro servidor
(4) Luego nos pregunta si vamos a restaurar una copia de seguridad (backup), utilizamos la
opcin NO, porque es nuestra primera instalacin
(6) Luego nos muestra las interfaces de red reconocidas (en nuestro servidor tenemos dos
tarjetas de red) y seleccionamos la interface RED que ser la que se conecte a la red
pblica a travs de nuestro router.
(7) Ahora nos muestra informacin para las interfaces ORANGE (DMZ) y BLUE (wifi), pero
solo tenemos dos tarjetas de red, por lo tanto presionamos el botn SIGUIENTE
(8) Luego tenemos que configurar la interface GREEN (LAN) que va conectada a nuestra
red corporativa o privada.
(9) Configuramos los parametros para interface GREEN que es la que esta conectada hacia
nuestra red LAN
(10) Asignamos las direcciones IP de los servidores DNS publicos de nuestro Proveedor de
Servicio de Internet o podemos utilizar las direcciones de los servidores DNS del
proyecto OPENDNS
(11) Podemos registrar la direccion de correo electronico para que nos lleguen las
notificaciones del servidor Endian Firewall
En la topologa vemos que el servidor Endian Firewall UTM est en el permetro de la red
LAN (172.16.1.0/24) y de la red WAN (200.31.116.16/28). Vamos a configurar las reglas de
firewall para permitir el acceso desde internet a los servidores corporativos (Web y Correo
Electrnico).
GREEN: RED:
172.16.1.1/24 200.31.116.18
Endian
Web Server Firewall UTM
172.16.1.3/24
pc_01 pc_02
172.16.1.50/24 172.16.1.50/24
Zimbra Server
172.16.1.4/24 Usuario VPN
(1) Ingresamos a nuestro servidor Endian Firewall utilizando un navegador web y en la barra
de direcciones escribimos: http://172.16.1.1
(2) De igual forma procedemos con la apertura para servidor de correo. Configuramos el
servicio SMTP que utiliza el puerto 25/TCP y hacemos un NAT a la direccin IP Privada
172.16.1.4/24.
(3) Configuramos el acceso para que el Usuario VPN rcueva pueda acceder de manera
segura a la red corporativa, adems de utilizar los recursos como impresoras, telfonos
IP, cmaras IP, etc. Primero configuramos el servicio VPN
a. Habilitamos el servicio VPN.
b. Establecer el rango de direcciones que se va a entregar a los clientes VPN
(172.16.1.220 172.16.1.254)
c. Inmediatamente se crea el Certificado Digital para configurar los clientes VPN.
Resumen
La seguridad perimetral es una de las capas ms importante para mantener segura la
informacin y adems para prevenir el acceso externo no autorizado a la infraestructura
privada de nuestras redes.