ebox 1.4 para Administradores de Redes

Transcripción

1 ebox 1.4 para Administradores de Redes REVISIÓN1.4 EBOX PLATFORM - FORMACIÓN GUÍA DEL ESTUDIANTE

2 ebox 1.4 para Administradores de Redes Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5 ( es/ ) En este documento se han empleado imágenes de Tango Desktop Project distribuídas bajo Creative Commons Reconocimiento-Compartir bajo la misma licencia

3 Contents 1 ebox Platform: servidor Linux para PYMEs Presentación Instalación El instalador de ebox Platform La interfaz web de administración Dashboard Aplicando los cambios en la configuración Configuración del estado de los módulos Cómo funciona ebox Platform? Emplazamiento en la red Configuración de la red local Configuración de red con ebox Platform Diagnóstico de redes ebox Infrastructure Servicio de configuración de red (DHCP) Configuración de un servidor DHCP con ebox Servicio de resolución de nombres (DNS) Configuración de un servidor caché DNS con ebox Configuración de un servidor DNS con ebox Servicio de publicación de información web (HTTP) Hyper Text Transfer Protocol El servidor HTTP Apache Dominios virtuales Configuración de un servidor HTTP con ebox Servicio de sincronización de hora (NTP) Configuración de un servidor NTP con ebox ebox Gateway 55 i

4 3.1 Abstracciones de red a alto nivel de ebox Objetos de red Servicios de red Cortafuegos El cortafuegos en GNU/Linux: Netfilter Modelo de seguridad de ebox Encaminamiento Tablas de encaminamiento Reglas multirouter y balanceo de carga Tolerancia a fallos (WAN Failover) Moldeado de tráfico Calidad de servicio (QoS) Configuración de la calidad de servicio en ebox RADIUS Configuración del servidor RADIUS con ebox Configuración del Punto de Acceso Servicio Proxy HTTP Configuración de política de acceso Conexión al proxy y modo transparente Control de parámetros de la caché Filtrado de contenidos web ebox Office Servicio de directorio (LDAP) Usuarios y grupos Servicio de compartición de ficheros y de autenticación Compartición de ficheros SMB/CIFS y su implementación Linux Samba Primary Domain Controller (PDC) ebox como servidor de ficheros Configuración de clientes SMB/CIFS ebox como un servidor de autenticación Configuración de clientes PDC Servicio de compartición de impresoras Servicio de groupware Configuración de servicio de groupware con ebox ebox Unified Communications Servicio de correo electrónico (SMTP/POP3-IMAP4) ii

5 5.1.1 Cómo funciona el correo electrónico en Internet Configuración de un servidor SMTP/POP3-IMAP4 con ebox Recibiendo y retransmitiendo correo Parámetros SMTP Parámetros POP Parámetros IMAP Parámetros para ManageSieve Servicio de correo web Configurando el correo web en ebox Servicio de mensajería instantánea (Jabber/XMPP) Configuración de un servidor Jabber/XMPP con ebox Configuración de un cliente Jabber Configurando salas de conferencia Jabber Ejemplo práctico Servicio de Voz sobre IP Protocolos Códecs Despliegue Configuración de un servidor Asterisk con ebox Configurando un softphone para conectar a ebox Usando las funcionalidades de ebox Voz IP ebox Unified Threat Manager Filtrado de correo electrónico Esquema del filtrado de correo de ebox Listas de control de conexiones externas Proxy transparente para buzones de correo POP Configuración Avanzada para el proxy HTTP Configuración de perfiles de filtrado Perfil de filtrado por objeto Filtrado basado en grupos de usuarios Filtrado basado en grupos de usuarios para objetos Interconexión segura entre redes locales Redes privadas virtuales (VPN) Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) Configuración de una Autoridad de Certificación con ebox Configuración de una VPN con ebox Sistema de Detección de Intrusos (IDS) iii

6 6.4.1 Configuración de un IDS con ebox Alertas del IDS ebox Core Registros Configuración de registros Monitorización Métricas Alertas Incidencias (eventos y alertas) Ejemplo práctico Copias de seguridad Diseño de un sistema de copias de seguridad Configuración de las copias de seguridad con ebox Como recuperarse de un desastre Copias de seguridad de la configuración Actualización de software Gestión de componentes de ebox Actualizaciones del sistema Actualizaciones automáticas Cliente del Centro de Control Subscribir ebox al Centro de Control Copia de seguridad de la configuración al Centro de Control iv

7 Chapter 1 ebox Platform: servidor Linux para PYMEs 1.1 Presentación Aunque las PYMEs constituyen la inmensa mayoría del tejido empresarial mundial, sorprendentemente suelen carecer de soluciones tecnológicas que se ajusten a sus necesidades o recursos (humanos, monetarios o técnicos) disponibles. En el mercado de los servidores, esto ha significado que hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia, sin que tampoco tuvieran alternativas de gestión de redes que integrasen todos los componentes necesarios y que fueran sencillas de administrar. Aparentemente es una buena oportunidad para que el software libre entre en el mercado con una solución potente, escalable, flexible y de bajo coste que pueda ser soportada por una multitud de proveedores externos potenciales. De hecho, Linux parece ser una opción perfecta como servidor para PYMEs, gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones pequeñas. Sin emabrgo, el uso de Linux como servidor de PYME es ínfimo, siendo Microsoft el principal actor del mercado con Windows Small Business Server. Por qué? Linux, combinado con otras herramientas de software libre para la gestión de redes (Samba, Postfix, Squid, Snort, egroupware, Spamassasin, ClamAV, etc) tiene un potencial disruptivo enorme en el mercado de servidores para PYMEs, puesto que aportan una gran ventaja en precio (de hecho, son gratis). Además, de igual manera que otras tecnologías disruptivas, empezaron ofreciendo un nivel de funcionalidad menor que sus alternativas en software propietario. Pero han evolucionado y las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores 1

8 ebox 1.4 para Administradores de Redes del mundo funcionan con Linux, lo que es un buen indicador del nivel de calidad que ha alcanzado esta tecnología). Sin embargo, a pesar de estas condiciones, las soluciones de software libre tienen una presencia muy reducida como servidores de PYMEs. La razón es sencilla: para que una solución de servidor sea adoptada en una PYME necesita que todos sus componentes estén estrechamente integrados y que sea fácil de administrar. Las PYMEs no disponen de los recursos ni del tiempo para desplegar soluciones complejas de altas prestaciones, por lo que productos bien integrados como el SBS de Microsoft cubren bien las necesidades tecnológicas de las PYMEs. Es aquí donde una solución como ebox Platform (< encuentra su encaje en el mercado. ebox Platform es un servidor Linux para PYMEs, la alternativa en software libre a Windows Small Business Server. Basado en Ubuntu, ebox Platform permite a profesionales TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informática, tales como el acceso a Internet, la seguridad y la infraestructura de la red, los recursos compartidos o las comunicaciones, a través de una única plataforma. Todas estas funcionalidades están estrechamente integradas, automatizando la mayoría de las tareas y ahorrando tiempo en la administración de sistemas. Estas características pueden desplegarse en distintas máquinas o en un único servidor, eligiendo para cada caso la combinación funcional y de hardware más conveniente. Todas estas características son de gran importancia para los departamentos TIC de PYMEs y proveedores de servicio técnico, ya que tienen que hacerse cargo de un cada vez mayor tráfico de redes y crecientes demandas de fiabilidad, seguridad y servicios adicionales con recursos mínimos. En este panorama, ebox Platform aumenta significativamente la capacidad de estos recursos, permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas, ahorrar tiempo de los profesionales experimentados, eliminar riesgos de cometer errores de configuración y aumentar la seguridad de los sistemas automatizando la mayoría de las tareas. Además, ebox Platform es un software de código abierto, el cual se puede descargar libremente de Internet. Actualmente, existen decenas de miles de implantaciones en todo el mundo, superando las descargas mensuales y con una comunidad de unos colaboradores activos. Igualmente, ebox Platform es parte integral de la distribución Ubuntu desde hace tres años, lo que ayuda a aumentar su difusión y credibilidad como producto tecnológico. Su uso está extendido a prácticamente todos los países del globo, siendo Estados Unidos, Alemania, España, Italia y Brasil los países que cuentan con más instalaciones. ebox Platform se usa principalmente en PYMEs, pero también en otros entornos como centros educativos, administraciones públicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. Los diversos despliegues de ebox Platform pueden ser gestionados desde un punto central, llamado ebox Control Center, un producto alojado en la nube que permite la administración y monitorización centralizada, segura y a tiempo real de múltiples redes ebox. Además, posibilita la progra- 2

9 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES mación de tareas para grupos de redes, la aplicación masiva de actualizaciones de seguridad o la realización de informes de actividad periódicos. Adicionalmente, a través de ebox Control Center se ofrecen una serie de servicios de subscripción complementarios, como pueden ser backup remoto y seguro de datos para la recuperación rápida de desastres o la contratación de crédito VoIP para la realización de llamadas a bajo coste a cualquier teléfono del mundo a través de ebox como centralita telefónica. ebox Platform junto con ebox Control Center y los servicios remotos asociados constituyen una solución muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs) y revendedores de valor añadido (VARs) puesto que pueden obtener toda la tecnología y servicios necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un único proveedor, llegando a un nivel de integración que alcanza todos los aspectos que influyen en la gestión de redes. ebox Technologies es la empresa detrás del desarrollo y comercialización de ebox Platform y sus productos y servicios asociados, basando su modelo de negocio en la subscripción a ebox Control Center y a los servicios remotos asociados, además de soporte técnico y formación certificada, tanto de forma directa como a través de su red Global de Partners. Este manual describe las principales características técnicas incluidas en la versión 1.4 de ebox Platform, incluyendo los siguientes servicios: Gestión de redes: Cortafuegos y encaminador * * * * * Filtrado de tráfico NAT y redirección de puertos Redes locales virtuales (VLAN 802.1Q) Soporte para múltiples puertas de enlace, balanceo de carga y auto-adaptación ante la pérdida de conectividad. Moldeado de tráfico (soportando filtrado a nivel de aplicación) * RADIUS * * Monitorización de tráfico Soporte de DNS dinámico Objetos y servicios de red de alto nivel Infraestructura de red * Servidor DHCP 3

10 ebox 1.4 para Administradores de Redes * * Servidor DNS Servidor NTP Redes privadas virtuales (VPN) * Auto-configuración dinámica de rutas Proxy HTTP * Caché * * * Autenticación de usuarios Filtrado de contenido (con listas categorizadas) Antivirus transparente Servidor de correo * * * * Filtro de Spam y Antivirus Filtro transparente de POP3 Listas blancas, negras y grises Servicio de correo web Servidor web * Dominios virtuales Sistema de Detección de Intrusos (IDS) Autoridad de Certificación Trabajo en grupo: Directorio compartido usando LDAP (Windows/Linux/Mac) * Autenticación compartida (incluyendo PDC de Windows) Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red) Impresoras compartidas Servidor de Groupware: calendarios, agendas,... Servidor de VozIP * Buzón de voz 4

11 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES * Conferencias * Llamadas a través de proveedor externo Servidor de mensajería instantánea (Jabber/XMPP) * Conferencias Rincón del usuario para que estos puedan modificar sus datos Informes y monitorización Dashboard para tener la información de los servicios centralizada Monitorización de disco, memoria, carga, temperatura y CPU de la máquina Estado del RAID por software e información del uso de disco duro Registros de los servicios de red en BBDD, permitiendo la realización de informes diarios, semanales, mensuales y anuales Sistema de monitorización a través de eventos * Notificación vía Jabber, correo y subscripción de noticias (RSS) Gestión de la máquina: Copia de seguridad de configuración y datos Actualizaciones Centro de control para administrar y monitorizar fácilmente varias máquinas ebox desde un único punto Instalación ebox Platform está pensada para su instalación en una máquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios no gestionados a través de la interfaz que deberán ser configurados manualmente. Funciona sobre el sistema operativo GNU/Linux con la distribución Ubuntu Server Edition 2 versión estable Long Term Support (LTS) 3. La instalación puede realizarse de dos maneras diferentes: 1 Para más información sobre este servicio ir a 2 Ubuntu es una distribución de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores portátiles, sobremesa y servidores < 3 Cuyo soporte es mayor que en una versión normal y para la versión para servidores llega a los 5 años. 5

12 ebox 1.4 para Administradores de Redes Usando el instalador de ebox Platform (opción recomendada). Instalando a partir de una instalación de Ubuntu Server Edition. En el segundo caso es necesario añadir los repositorios oficiales de ebox Platform y proceder a instalar ebox con aquellos paquetes que se deseen. Sin embargo, en el primer caso se facilita la instalación y despliegue de ebox Platform ya que se encuentran todas las dependencias en un sólo CD y además se realizan algunas preconfiguraciones durante el proceso de instalación El instalador de ebox Platform El instalador de ebox Platform está basado en el instalador de Ubuntu así que el proceso de instalación resultará muy familiar a quien ya lo conozca. Figure 1.1: Selección del idioma Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro y crea las particiones necesarias para ebox usando LVM y realizando menos preguntas. También podemos seleccionar la opción expert mode que permite realizar un particionado personalizado. La mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén instalando en un servidor con requisitos especiales, como por ejemplo RAID por software. Tras instalar el sistema base y reiniciar, comenzará la instalación de ebox Platform. El primer paso será crear un usuario en el sistema. Este usuario podrá entrar en el sistema y tendrá privilegios de administrador mediante el comando sudo. 6

13 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.2: Pantalla de inicio del instalador Figure 1.3: Usuario administrador 7

14 ebox 1.4 para Administradores de Redes Después preguntará la contraseña para este usuario recién creado. Esta contraseña además se usará para identificarse en la interfaz de ebox. Figure 1.4: Contraseña administrativa Se preguntará de nuevo la contraseña para confirmar que no ha habido ninguna equivación al teclearla. Figure 1.5: Confirmar contraseña administrativa Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema. Existen dos métodos para esta selección: Simple: Se instalarán un conjunto de paquetes que agrupan una serie de funcionalidades según la tarea que vaya a desempeñar el servidor. Avanzado: Se seleccionarán los paquetes de manera individualizada. Si algún paquete tiene como dependencia otro, posteriormente se seleccionará automáticamente. 8

15 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.6: Método de instalación de paquetes Si la selección es simple, aparecerá la lista de perfiles disponibles. Como se puede observar en la figura Perfiles de ebox a instalar dicha lista concuerda con los apartados siguientes de este manual. Figure 1.7: Perfiles de ebox a instalar ebox Gateway: ebox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. ebox Unified Threat Manager: ebox protege la red local contra ataques externos, intrusiones, amenazas en la seguridad interna y posibilita la interconexión segura entre redes locales a través de Internet u otra red externa. ebox Infrastructure: ebox gestiona la infraestructura de la red local con los servicios básicos: DHCP, DNS, NTP, servidor HTTP, etc. ebox Office: ebox es el servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, autenticación, perfiles de usuarios y grupos, etc. 9

16 ebox 1.4 para Administradores de Redes ebox Unified Communications: ebox se convierte en el centro de comunicaciones de la empresa incluyendo correo, mensajería instantánea y voz sobre IP. Podemos seleccionar varios perfiles para hacer que ebox tenga, de forma simultánea, diferentes roles en la red. Sin embargo, si el método seleccionado es avanzado, entonces aparecerá la larga lista de módulos de ebox Platform y se podrán seleccionar individualmente aquellos que se necesiten. Figure 1.8: Paquetes de ebox a instalar Al terminar la selección, se instalarán también los paquetes adicionales necesarios. Además esta selección no es definitiva, pudiendo posteriormente instalar y desinstalar paquetes según se necesite. Una vez seleccionados los componentes a instalar, comenzará la instalación que irá informando de su estado con una barra de progreso. El instalador tratará de preconfigurar algunos parámetros importantes dentro de la configuración. Primero tendremos que seleccionar el tipo de servidor para el modo de operación de Usuarios y Grupos. Si sólo vamos a tener un servidor elegiremos Un sólo servidor. Si por el contrario estamos desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory, elegiremos Avanzado. Este paso aparecerá solamente si el módulo usuarios y grupos está instalado. También preguntará, si alguna de las interfaces de red es externa a la red local, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas. Se aplicarán políticas estrictas para 10

17 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.9: Instalando ebox Platform Figure 1.10: Tipo de servidor 11

18 ebox 1.4 para Administradores de Redes todo el tráfico entrante a través de interfaces de red externas. Este paso aparecerá solamente si el módulo de red está instalado y el servidor tiene más de una interfaz de red. Figure 1.11: Selección de la interfaz de red externa Después, seguiremos con la configuración del correo, definiendo el principal dominio virtual. Este paso solo presentará si hemos instalado el módulo de correo. Una vez hayan sido respondidas estas preguntas, se realizará la preconfiguración de cada uno de los módulos instalados preparados para su utilización desde la interfaz web. Una vez terminado el proceso de instalación de ebox Platform, obtendremos un interfaz gráfico con un navegador para autenticarnos en la interfaz web de administración de ebox utilizando la contraseña introducida en los primeros pasos del instalador. 1.3 La interfaz web de administración Una vez instalado ebox Platform, la dirección para acceder a la interfaz web de administración, desde cualquier máquina de la red interna, es: Donde direccion_de_red es la dirección IP o el nombre de la máquina donde está instalado ebox que resuelve a esa dirección. 12

19 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.12: Configuración del servidor de correo Figure 1.13: Preconfiguración de los paquetes 13

20 ebox 1.4 para Administradores de Redes Figure 1.14: Interfaz web de administración de ebox Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet Explorer pueden dar problemas. La primera pantalla solicita la contraseña del administrador: Tras autenticarse aparece la interfaz de administración que se encuentra dividida en tres partes fundamentales: Menú lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante ebox Platform, separados por categorías. Cuando se ha seleccionado algún servicio en este menú puede aparecer un submenú para configurar cuestiones particulares de dicho servicio. Menú superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos, así como para el cierre de sesión. 14

21 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.15: Pantalla principal Figure 1.16: Menú lateral izquierdo 15

22 ebox 1.4 para Administradores de Redes Figure 1.17: Menú superior Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con información acerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la sección a la que hemos accedido. Figure 1.18: Formulario de configuración Dashboard El dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo momento se pueden reorganizar pulsando en los títulos y arrastrándolos. Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevos widgets. Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central. Estado de los módulos Hay un widget muy importante dentro del dashboard que muestra el estado de todos los módulos instalados en ebox. 16

23 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.19: Dashboard Figure 1.20: Configuración del dashboard 17

24 ebox 1.4 para Administradores de Redes Figure 1.21: Widget de estado de los módulos 18

25 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES La imagen muestra el estado para un servicio y una acción que se puede ejecutar sobre él. Los estados disponibles son los siguientes: Ejecutándose: Los demonios del servicio se están ejecutando para aceptar conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutándose sin ser gestionado: Si no has configurado el servicio todavía, es posible encontrarlo ejecutando con la configuración por defecto de la distribución. Por tanto, no es gestionado por ebox hasta el momento. Parado: Ha ocurrido algún problema ya que el servicio debería estar ejecutándose pero está parado por alguna razón. Para descubrirla, se deberían comprobar los ficheros de registro para el servicio o el fichero de registro de ebox mismo como describe la sección Cómo funciona ebox Platform?. Se puede intentar iniciar el servicio pinchando en Arrancar. Deshabilitado: El servicio ha sido deshabilitado explícitamente por el administrador como se explica en Configuración del estado de los módulos Aplicando los cambios en la configuración Una particularidad importante del funcionamiento de ebox Platform es su forma de hacer efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendrá que presionar Guardar Cambios del menú superior. Este botón cambiará a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perderán todos los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Existen algunos casos especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente. Figure 1.22: Guardar Cambios Además de esto, se pueden revertir los cambios. Por tanto si has cambiado algo que no recuerdas o no estás seguro de hacerlo, siempre puedes descartar los cambios de manera segura. Ten en cuenta que si modificas la configuración de las interfaces de red o el puerto de administración, puedes perder la conexión con ebox. Para recuperarla quizás debas reescribir la URL en el navegador. 19

26 ebox 1.4 para Administradores de Redes Configuración del estado de los módulos Como se ha discutido previamente, ebox se construye modularmente. El objetivo de la mayoría de módulos es gestionar servicios de red que debes habilitar a través de Estado del módulo. Figure 1.23: Configuración del estado de los módulos Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el servicio DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de las interfaces de red configuradas. Por tanto, las dependencias se muestran en la columna Depende. Habilitar un módulo por primera vez es conocido dentro de la jerga ebox como configurar un módulo. Dicha configuración se realiza una vez por módulo. Seleccionando la columna Estado, habilitas o deshabilitas el módulo. Si es la primera vez, se presenta un diálogo para completar una serie de acciones y modificaciones a ficheros que implica la activación del módulo 4. Tras ello, puedes guardar los cambios para llevar a acabo las modificaciones. 4 Este proceso es obligatorio para cumplir la política de Debian/Ubuntu 20

27 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.24: Diálogo de confirmación para configurar un módulo 1.4 Cómo funciona ebox Platform? EBox Platform no es sólo una interfaz web que sirve para administrar los servicios de red más comunes 5. Entre sus principales funciones destaca el dar cohesión y unicidad a un conjunto de servicios de red que de lo contrario funcionarían de forma independiente. Toda la configuración de cada uno de los servicios es escrita por ebox de manera automática. Para ello utiliza un sistema de plantillas. Con esta automatización se evitan los posibles errores cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada uno de los formatos de los ficheros de configuración de cada servicio. Por tanto, no se deben editar 5 Para mostrar la magnitud del proyecto, podemos consultar el sitio independiente ohloh.net, donde se hace un análisis extenso al código de ebox Platform en < 21

28 ebox 1.4 para Administradores de Redes los ficheros de configuración originales del sistema ya que se sobreescribirían al guardar cambios al estar gestionados automáticamente por ebox. Los informes de los eventos y posibles errores de ebox se almacenan en el directorio /var/log/ebox/ y se distribuyen en los siguientes ficheros: /var/log/ebox/ebox.log: Los errores relacionados con ebox Platform. /var/log/ebox/error.log: Los errores relacionados con el servidor web de la interfaz. /var/log/ebox/access.log: Los accesos al servidor web de la interfaz. Si se quiere aumentar la información sobre algún error que se haya producido, se puede habilitar el modo de depuración de errores a través de la opción debug en el fichero /etc/ebox/99ebox.conf. Tras habilitar esta opción se deberá reiniciar el servidor web de la interfaz mediante sudo /etc/init.d/ebox apache restart. 1.5 Emplazamiento en la red Configuración de la red local ebox Platform puede utilizarse de dos maneras fundamentales: Encaminador y filtro de la conexión a internet. Servidor de los distintos servicios de red. Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias. La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar el servidor con ebox Platform dentro de la red, tanto haciendo nexo de unión entre redes como un servidor dentro de la propia red. A lo largo de esta documentación se verá cómo configurar ebox Platform para desempeñar un papel de puerta de enlace y encaminador. Y por supuesto también veremos la configuración en los casos que actúe como un servidor más dentro de la red. 22

29 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.25: Distintas ubicaciones en la red Configuración de red con ebox Platform Si colocamos el servidor en el interior de una red, lo más probable es que se nos asigne una dirección IP a través del protocolo DHCP. A través de Red Interfaces se puede acceder a cada una de las tarjetas de red detectadas por el sistema y se puede configurar de manera estática (dirección configurada manualmente), dinámica (dirección configurada por DHCP) o como Trunk 802.1Q, para la creación de redes VLAN. Figure 1.26: Configuración de interfaces de red Si configuramos la interfaz como estática podemos asociar una o más Interfaces Virtuales a dicha interfaz real para servir direcciones IP adicionales con lo que se podría atender a diferentes redes o a la misma con diferente dirección. Si no se dispone de un router con soporte PPPoE, ebox puede gestionar también este tipo de conexiones. Para ello, solo hay que seleccionar PPPoE como Método e introducir el Nombre de usuario y Contraseña proporcionado por el proveedor de ADSL. 23

30 ebox 1.4 para Administradores de Redes Figure 1.27: Configuración estática de interfaces de red Figure 1.28: Configuración PPPoE de interfaces de red 24

31 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Para que ebox sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno o varios servidores de nombres en Red DNS. Figure 1.29: Configuración de servidores DNS Si tu conexión a Internet tiene una IP pública dinámica y quieres que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinámico. ebox da soporte para conectar con algunos de los proveedores de DNS dinámico más populares. Para configurar un nombre de DNS dinámico en ebox desde Red DynDNS selecciona el proveedor del servicio y configura el nombre de usuario, contraseña y nombre de dominio que queremos actualizar cuando la dirección pública cambie. Sólo resta Activar DNS Dinámico y Guardar Cambios. Figure 1.30: Configuración de DNS Dinámico 25

32 ebox 1.4 para Administradores de Redes ebox se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción de dirección red que haya entre nosotros e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter 6, no hay que olvidar crear una regla que haga que las conexiones al proveedor use siempre la misma puerta de enlace Diagnóstico de redes Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red Diagnóstico. Figure 1.31: Herramientas de diagnóstico de redes ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP para observar la conectividad hasta una máquina remota mediante una sencilla conversación entre ambas. Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes encaminados a través de las distintas redes hasta llegar a una máquina remota determinada. Con esta herramienta podemos ver el camino que siguen los paquetes para diagnósticos más avanzados. Y también contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolución de nombres. Ejemplo práctico A Vamos a configurar ebox para que obtenga la configuración de la red mediante DHCP. Para ello: 6 Consultar Reglas multirouter y balanceo de carga para obtener más detalles. 26

33 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.32: Herramienta ping 27

34 ebox 1.4 para Administradores de Redes Figure 1.33: Herramienta traceroute 28

35 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.34: Herramienta dig 29

36 ebox 1.4 para Administradores de Redes 1. Acción: Acceder a la interfaz de ebox, entrar en Red Interfaces y seleccionar para la interfaz de red eth0 el Método DHCP. Pulsar el botón Cambiar. Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos introducidos. 2. Acción: Entrar en Estado del módulo y activar el módulo Red, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 3. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios y algunos módulos que dependen de red ahora pueden ser activados. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ebox gestiona la configuración de la red. 5. Acción: Acceder a Red Herramientas de Diagnóstico. Hacer ping a ebox-platform.com. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con el servidor de internet. 6. Acción: Acceder a Red Herramientas de Diagnóstico. Hacer ping a una ebox de un compañero de aula. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. 7. Acción: Acceder a Red Herramientas Diagnóstico. Ejecutar traceroute hacia eboxtechnologies.com. Efecto: Se muestra como resultado la serie de máquinas que un paquete recorre hasta llegar a la máquina destino. 30

37 CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Ejemplo práctico B Para el resto de ejercicios del manual es una buena práctica habilitar los registros. Para ello: 1. Acción: Acceder a la interfaz de ebox, entrar en Estado del módulo y activar el módulo Registros, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para realizar una serie de acciones. 2. Acción: Leer los acciones que va a realizar ebox y aceptarlas. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ebox tiene los registros activados. Puedes echar un vistazo en Registros Consultar registros. De todas maneras, en la sección Registros. 31

38 32 ebox 1.4 para Administradores de Redes

39 Chapter 2 ebox Infrastructure En este apartado explicaremos varios de los servicios para gestionar y optimizar el tráfico interno y la infraestructura de una red local, incluyendo la gestión de dominio, la auto-configuración de red en los clientes, la publicación de sitios Web internos y la sincronización de la hora via Internet. La configuración de dichos servicios requiere un esfuerzo importante. Sin embargo, ebox facilita enormemente esta tarea. El servicio de DHCP es ampliamente utilizado para configurar automáticamente diversos parámetros de red como pueden ser la dirección IP de una máquina, o la puerta de enlace o gateway que utilizará para alcanzar Internet. El servicio de DNS permite acceder a servicios y máquinas utilizando nombres en lugar de direcciones IP, las cuales son más difíciles de memorizar. Además, en muchas empresas se utilizan aplicaciones Web a las que sólo se tiene acceso de manera interna. 2.1 Servicio de configuración de red (DHCP) Como hemos comentado, DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir y obtener una dirección IP desde un servidor que tiene una lista de direcciones disponibles para asignar. El servicio DHCP 1 se usa también para obtener otros muchos parámetros tales como la puerta de enlace por defecto, la máscara de red, las direcciones IP de los servidores de nombres o el dominio 1 ebox usa ISC DHCP Software ( para configurar el servicio de DHCP 33

40 ebox 1.4 para Administradores de Redes de búsqueda entre otros. De esta manera, se facilita el acceso a la red sin la necesidad de una configuración manual por parte del cliente. Cuando un cliente DHCP se conecta a la red envía una petición de difusión (broadcast). El servidor DHCP responde a esa petición con una dirección IP, su tiempo de concesión y los otros parámetros explicados previamente. La petición suele suceder durante el período de arranque del cliente y debe completarse antes de seguir con el arranque del resto de servicios de red. Existen dos métodos de asignación de direcciones: Manual: La asignación se hace a partir de una tabla de correspondencia entre direcciones físicas (MAC) y direcciones IP. El administrador de la red se encarga del mantenimiento de esta tabla. Dinámica: El administrador de la red asigna un rango de direcciones IP por un proceso de petición y concesión que usa el concepto de alquiler con un período controlado de tiempo en el que la IP concedida es válida. El servidor guarda una tabla con las asignaciones anteriores para intentar volver a asignar la misma IP a un cliente en sucesivas peticiones Configuración de un servidor DHCP con ebox Para configurar el servicio DHCP con ebox, se necesita al menos una interfaz configurada estáticamente. Una vez la tenemos, vamos al menú DHCP donde se configurará el servidor DHCP. Como hemos dicho, se pueden enviar algunos parámetros de la red junto con la dirección IP, estos parámetros se pueden configurar en la pestaña de Opciones comunes. Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra ruta por la que enviar el paquete a su destino. Su valor puede ser ebox, una puerta de enlace ya configurada en el apartado Red Routers o una dirección IP personalizada. Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas siguiendo la forma <máquina>.sub.dominio.com, se podría configurar el dominio de búsqueda como sub.dominio.com. De esta forma, cuando se intente resolver un nombre de dominio sin éxito, se intentará de nuevo añadiéndole el dominio de búsqueda al final o partes de ese dominio. Por ejemplo, si smtp no se puede resolver como dominio, se intentará resolver smtp.dominio.com en la máquina cliente. Podemos escribir el dominio de búsqueda, o podemos seleccionar uno que se haya configurado en el servicio de DNS. 34

41 CHAPTER 2. EBOX INFRASTRUCTURE Figure 2.1: Vista general de configuración del servicio DHCP 35

42 ebox 1.4 para Administradores de Redes Servidor de nombres primario: Se trata de aquel servidor DNS 2 con el que contactará el cliente en primer lugar cuando tenga que resolver un nombre o traducir una dirección IP a un nombre. Su valor puede ser ebox DNS local (si queremos que se consulte el propio servidor DNS de ebox, hay que tener en cuenta que el módulo dns debe estar habilitado) o una dirección IP de otro servidor DNS. Servidor de nombres secundario: Servidor DNS con el que contactará el cliente si el primario no está disponible. Su valor debe ser una dirección IP de un servidor DNS. Servidor NTP: Este es el servidor NTP (Network Transport Protocol) 3 que el cliente usará cuando quiera sincronizar su reloj usando la red. Su valor puede ser ninguno, ebox NTP local (hay que tener en cuenta que el módulo ntp debe estar habilitado) o un servidor NTP personalizado. Servidor WINS: Este es el servidor WINS (Windows Internet Name Service) 4 que el cliente usará para resolver nombres NetBIOS. Su valor puede ser ninguno, ebox local (hay que tener en cuenta que el módulo samba debe estar habilitado) o uno personalizado. Debajo de las opciones comunes, se nos muestran los rangos de direcciones que se distribuyen mediante DHCP y las direcciones asignadas de forma manual. Para que el servicio DHCP esté activo, al menos debe haber un rango de direcciones a distribuir o una asignación estática. En caso contrario, el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red. Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una determinada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas. Añadir un rango en la sección Rangos se hace introduciendo un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas en el apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar parte de ningún rango. Se puede añadir una descripción opcional para la asignación también. La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía desde 1800 segundos hasta Las asignaciones estáticas también están limitadas en el tiempo. De hecho, desde el punto de vista del cliente, no hay diferencia entre ellas. 2 Ir a la sección Servicio de resolución de nombres (DNS) para tener más detalles sobre este servicio. 3 Comprobar la sección Servicio de sincronización de hora (NTP) para obtener detalles sobre el servicio de sincronización de hora 4 WINS es una implementación para NBNS (NetBIOS Name Service). Para obtener más información sobre ello, ir a la sección Servicio de compartición de ficheros y de autenticación. 36

43 CHAPTER 2. EBOX INFRASTRUCTURE Figure 2.2: Aspecto de la configuración avanzada para DHCP Un Cliente Ligero es una máquina sin disco duro (y hardware modesto) que arranca a través de la red, pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros. ebox permite configurar a qué servidor PXE 5 se debe conectar el cliente. El servicio PXE, que se encargará de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema, se debe configurar por separado. El servidor PXE puede ser una dirección IP o un nombre, en cuyo caso será necesario indicar la ruta de la imagen de arranque, o ebox, en cuyo caso se puede cargar el fichero de la imagen. Actualizaciones dinámicas de DNS El servidor DHCP tiene la habilidad de actualizar dinámicamente el servidor DNS 6. Esto es, el servidor DHCP actualizará en tiempo real los registros A y PTR para mapear una dirección IP a un nombre de máquina y viceversa cuando se sirva una dirección IP. La manera en que esto se hace es dependiente de la configuración del servidor DHCP. 5 Preboot execution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados ( 6 El RFC 2136 explica como hacer actualizaciones automáticas en el Sistema de Nombres de Dominio (DNS). 37

44 ebox 1.4 para Administradores de Redes Con ebox es posible usar la actualización dinámica de DNS integrando los módulos de dhcp y dns de la misma máquina dentro la pestaña Opciones de DNS dinámico. Para habilitar esta característica, el módulo DNS debe ser habilitado también. Se debe disponer un Dominio dinámico y un Dominio estático, que ambos se añadirán a la configuración de DNS automáticamente. El dominio dinámico mapea los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado sigue este patrón: dhcp-<dirección-ip-ofrecida>.<dominio-dinámico>. Con respecto al dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático> siendo el nombre que se establece en la tabla de Asignaciones estáticas. Hay que tener en cuenta que una actualización desde el cliente DHCP es ignorada por ebox. Figure 2.3: Configuración de actualizaciones DNS dinámicas La actualización se hace usando un protocolo seguro 7 y, actualmente, sólo el mapeo directo está soportado por ebox. Ejemplo práctico Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red. Comprobar desde otra máquina cliente usando dhclient que funciona correctamente. Para configurar DHCP debemos tener activado y configurado el módulo Red. La interfaz de red sobre la cual vamos a configurar el servidor DHCP deberá ser estática (dirección IP asignada manualmente) y el rango a asignar deberá estar dentro de la subred determinada por la máscara de red de esa interfaz (por ejemplo rango en una interfaz / ). 1. Acción: Entrar en ebox y acceder al panel de control. Entrar en Estado del módulo y activar el módulo DHCP, para ello marcar su casilla en la columna Estado. 7 La comunicación se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones dinámicas usando una clave secreta compartida. 38

45 CHAPTER 2. EBOX INFRASTRUCTURE Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurará el servidor. La pasarela puede ser la propia ebox, alguna de las pasarelas de ebox, una dirección específica, o ninguna (sin salida a otras redes). Además se podrá definir el dominio de búsqueda (dominio que se añade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario). A continuación ebox nos informa del rango de direcciones disponibles, vamos a elegir un subconjunto de 20 direcciones y en Añadir nueva le damos un nombre significativo al rango que pasará a asignar ebox. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ebox gestiona la configuración del servidor DHCP. 5. Acción: Desde otro equipo conectado a esa red solicitamos una IP dinámica del rango mediante dhclient: $ sudo dhclient eth0 There is already a pid file /var/run/dhclient.pid with pid 9922 killed old client process, removed PID file Internet Systems Consortium DHCP Client V3.1.1 Copyright Internet Systems Consortium. All rights reserved. For info, please visit wmaster0: unknown hardware address type 801 wmaster0: unknown hardware address type 801 Listening on LPF/eth0/00:1f:3e:35:21:4f Sending on LPF/eth0/00:1f:3e:35:21:4f Sending on Socket/fallback DHCPREQUEST on wlan0 to port 67 DHCPACK from bound to renewal in 1468 seconds. 39

46 ebox 1.4 para Administradores de Redes 6. Acción: Comprobar desde el Dashboard que la dirección concedida aparece en el widget DHCP leases Servicio de resolución de nombres (DNS) La funcionalidad de DNS (Domain Name System) es convertir nombres de máquinas, legibles y fáciles de recordar por los usuarios, en direcciones IP y viceversa. El sistema de dominios de nombres es una arquitectura arborescente cuyos objetivos son evitar la duplicación de la información y facilitar la búsqueda de dominios. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte UDP y TCP Configuración de un servidor caché DNS con ebox Un servidor de nombres puede actuar como caché 9 para las consultas que él no puede responder. Es decir, la primera vez consultará al servidor adecuado porque se parte de una base de datos sin información, pero posteriormente responderá la caché, con la consecuente disminución del tiempo de respuesta. En la actualidad, la mayoría de los sistemas operativos modernos tienen una biblioteca local para traducir los nombres que se encarga de almacenar una caché propia de nombres de dominio con las peticiones realizadas por las aplicaciones del sistema (navegador, clientes de correo,...). Ejemplo práctico A Comprobar el correcto funcionamiento del servidor caché DNS. Qué tiempo de respuesta hay ante la misma petición 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo DNS, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. 8 Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DHCP. 9 Caché es una colección de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado con el tiempo de lectura de la caché ( 40

47 CHAPTER 2. EBOX INFRASTRUCTURE Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Ir a Red DNS y añadir un nuevo Servidor de nombres de dominio con valor Efecto: Establece que sea la propia ebox la que traduzca de nombres a IP y viceversa. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ebox gestiona la configuración del servidor DNS. 5. Acción: Comprobar a través de la herramienta Resolución de Nombres de Dominio disponible en Red Diagnóstico comprobar el funcionamiento de la caché consultado el dominio consecutivamente y comprobar el tiempo de respuesta Configuración de un servidor DNS con ebox DNS posee una estructura en árbol y el origen es conocido como. o raíz. Bajo el. existen los TLD (Top Level Domains) como org, com, edu, net, etc. Cuando se busca en un servidor DNS, si éste no conoce la respuesta, se buscará recursivamente en el árbol hasta encontrarla. Cada. en una dirección (por ejemplo, home.example.com) indica una rama del árbol de DNS diferente y un ámbito de consulta diferente que se irá recorriendo de derecha a izquierda. Como se puede ver en la figura Árbol de DNS, cada zona tiene un servidor de nombre autorizado 10. Cuando un cliente hace una petición a un servidor de nombres, delega la resolución a aquel servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Por ejemplo, un cliente pide la dirección IP de a un servidor que es autoridad para example.com. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para la zona casa.example.com (el registro NS), entonces delega la respuesta a ese servidor que debería saber la dirección IP para esa máquina. Otro aspecto importante es la resolución inversa (in-addr.arpa), ya que desde una dirección IP podemos traducirla a un nombre del dominio. Además a cada nombre asociado se le pueden añadir tantos alias (o nombres canónicos) como se desee, así una misma dirección IP puede tener varios nombres asociados. 10 Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la información para resolver la consulta para ese dominio 41

48 ebox 1.4 para Administradores de Redes Figure 2.4: Árbol de DNS Una característica también importante del DNS es el registro MX. Dicho registro indica el lugar donde se enviarán los correos electrónicos que quieran enviarse a un determinado dominio. Por ejemplo, si queremos enviar un correo a alguien@example.com, el servidor de correo preguntará por el registro MX de example.com y el servicio responderá que es mail.example.com. La configuración en ebox se realiza a través del menú DNS. En ebox, se pueden configurar tantos dominios DNS como deseemos. Para configurar un nuevo dominio, desplegamos el formulario pulsando Añadir nuevo. Desde allí se configura el nombre del dominio y una dirección IP opcional a la que hará referencia el dominio. Cuando se añade un nuevo dominio, se puede apreciar la presencia de un campo llamado dinámico con valor falso. Un dominio se establece como dinámico cuando es actualizado automáticamente por un proceso sin reiniciar el servidor. Un ejemplo típico para esto es cuando un servidor 42

49 CHAPTER 2. EBOX INFRASTRUCTURE DHCP actualiza los registros DNS para un dominio cuando ofrece una dirección IP a una máquina. Ve a la sección Actualizaciones dinámicas de DNS para obtener detalles sobre esta configuración con ebox. Actualmente, si un dominio se establece como dinámico, no se puede configurar manualmente desde el interfaz de ebox. Una vez que hemos creado un dominio correcto, por ejemplo casa.example.com, tenemos la posibilidad de rellenar la lista de máquinas (hostnames) para el dominio. Se podrán añadir tantas direcciones IP como se deseen usando los nombres que decidamos. La resolución inversa se añade automáticamente. Además, para cada pareja nombre-dirección se podrán también poner tantos alias como se deseen. Con ebox se establece automáticamente el servidor autorizado para los dominios configurados a la máquina con nombre ns. Si esa máquina no existe, entonces se usa como servidor de nombres autorizado. Si quieres configurar el servidor de nombres autorizado manualmente para tus dominios (registros NS), ve a servidores de nombres y elige una de las máquinas del dominio o una personalizada. En el escenario típico, se configurará una máquina con nombre ns usando como dirección IP una de las configuradas en la sección Red Interfaces. 43

50 ebox 1.4 para Administradores de Redes Como característica adicional, podemos añadir nombres de servidores de correo a través de los intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que ebox es autoridad o uno externo. Además se le puede dar una preferencia cuyo menor valor es el que da mayor prioridad, es decir, un cliente de correo intentará primero aquel servidor con menor número de preferencia. Para profundizar en el funcionamiento de DNS, veamos qué ocurre en función de la consulta que se hace a través de la herramienta de diagnóstico dig que se encuentra en Red Diagnóstico. Si hacemos una consulta a uno de los dominios que hemos añadido, el propio servidor DNS de ebox responde con la respuesta apropiada de manera inmediata. En caso contrario, el servidor DNS lanza una petición a los servidores DNS raíz, y responderá al usuario tan pronto como obtenga una respuesta de éstos. Es importante tener en cuenta que los servidores de nombres configurados en Red DNS son los usados por las aplicaciones cliente para resolver nombres, pero el servidor DNS no los utiliza de ningún modo. Si queremos que ebox resuelva nombres utilizando su propio DNS debemos configurar como servidor DNS primario en dicha sección. Ejemplo práctico B Añadir un nuevo dominio al servicio de DNS. Dentro de este dominio asignar una dirección de red al nombre de una máquina. Desde otra máquina comprobar usando la herramienta dig que resuelve correctamente. 1. Acción: Comprobar que el servicio DNS está activo a través de Dashboard en el widget Estado de módulos. Si no está activo, habilitarlo en Estado de módulos. 2. Acción: Entrar en DNS y en Añadir nueva introducimos el dominio que vamos a gestionar. Se desplegará una tabla donde podemos añadir nombres de máquinas, servidores de correo para el dominio y la propia dirección del dominio. Dentro de Nombres de máquinas procedemos de la misma manera añadiendo el nombre de la máquina y su dirección IP asociada. 44

51 CHAPTER 2. EBOX INFRASTRUCTURE 3. Acción: Guardar los cambios. Efecto: ebox solicitará permiso para escribir los nuevos ficheros. 4. Acción: Aceptar sobreescribir dichos ficheros y guardar cambios. Efecto: Muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. 5. Acción: Desde otro equipo conectado a esa red solicitamos la resolución del nombre mediante dig, siendo por ejemplo la dirección de nuestra ebox y mirror.eboxplatform.com el dominio a resolver: $ dig ; <<>> DiG P1 <<>> ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;mirror.ebox-platform.com. IN A ;; ANSWER SECTION: mirror.ebox-platform.com. 600 IN A ;; AUTHORITY SECTION: ebox-platform.com. 600 IN NS ns1.ebox-platform.com. ebox-platform.com. 600 IN NS ns2.ebox-platform.com. ;; ADDITIONAL SECTION: ns1.ebox-platform.com. 600 IN A ns2.ebox-platform.com. 600 IN A ;; Query time: 169 msec ;; SERVER: #53( ) ;; WHEN: Fri Mar 20 14:37: ;; MSG SIZE rcvd:

52 ebox 1.4 para Administradores de Redes 2.3 Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó siendo la manera más cómoda de publicar información en una red. Para acceder basta con un navegador Web, que se encuentra instalado de serie en las plataformas de escritorio actuales. Una página Web es fácil de crear y se puede visualizar desde cualquier ordenador. Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio. En este capítulo veremos una introducción al funcionamiento interno de la Web, así como la configuración de un servidor Web con ebox Hyper Text Transfer Protocol Una de las claves del éxito de la Web ha sido el protocolo de capa de Aplicación empleado, HTTP (Hyper Text Transfer Protocol), y es que HTTP es muy sencillo a la vez que flexible. HTTP es un protocolo orientado a peticiones y respuestas. Un cliente, también llamado User Agent, realiza una solicitud a un servidor. El servidor la procesa y devuelve una respuesta. Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar, y el 443 para conexiones cifradas (HTTPS). Una de las tecnologías más usadas para el cifrado es TLS 11. Una solicitud del cliente contiene los siguientes elementos: Una primera línea conteniendo <método> <recurso solicitado> <versión HTTP>. Por ejemplo GET /index.html HTTP/1.1 solicita el recurso /index.html mediante GET y usando el protocolo HTTP/1.1. Cabeceras, como User-Agent: Mozilla/ Firefox/3.0.6 que identifican el tipo de cliente que solicita la información. Una línea en blanco. Un cuerpo del mensaje opcional. Se utiliza, por ejemplo, para enviar ficheros al servidor usando el método POST. 11 TLS (Transport Layer Security) y su predecesor SSL (Secure Sockets Layer) son protocolos de cifrado que aportan seguridad e integridad de datos para las comunicaciones en Internet. En la sección Redes privadas virtuales (VPN) se ahondará en el tema. 46

53 CHAPTER 2. EBOX INFRASTRUCTURE Figure 2.5: Esquema de solicitud con cabeceras GET entre un cliente, y la respuesta 200 OK del servidor. Encaminadores y proxies en medio. 47

54 ebox 1.4 para Administradores de Redes Hay varios métodos 12 con los que el cliente puede pedir información. Los más comunes son GET y POST: GET: Se utiliza GET para solicitar un recurso. Es un método inocuo para el servidor, ya que no se debe modificar ningún fichero en el servidor si se hace una solicitud mediante GET. POST: Se utiliza POST para enviar una información que debe procesar el servidor. Por ejemplo en un webmail cuando pulsamos Enviar Mensaje, se envía al servidor la información del correo electrónico a enviar. El servidor debe procesar esa información y enviar el correo electrónico. OPTIONS: Sirve para solicitar qué métodos se pueden emplear sobre un recurso. HEAD: Solicita información igual que GET, pero la respuesta no incluirá el cuerpo, sólo la cabecera. De esta forma se puede obtener la meta-información del recurso sin descargarlo. PUT: Solicita que la información del cuerpo sea almacenada y accesible desde la ruta indicada. DELETE: Solicita la eliminación del recurso indicado TRACE: Indica al servidor que debe devolver la cabecera que envía el cliente. Es útil para ver cómo modifican la solicitud los proxies intermedios. CONNECT: La especificación se reserva este método para realizar túneles. La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la primera fila. En este caso la primera fila sigue la forma <status code> <text reason>, que corresponden al código de respuesta y a un texto con la explicación respectivamente. Los códigos de respuesta 13 más comunes son: 200 OK: La solicitud ha sido procesada correctamente. 403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el recurso solicitado. 404 Not Found: Si el recurso solicitado no se ha encontrado. 500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecución de la solicitud. 12 Una explicación más detallada se puede encontrar en la sección 9 del RFC En la sección 10 del RFC 2616 se pueden encontrar el listado completo de códigos de respuesta del servidor HTTP. 48

55 CHAPTER 2. EBOX INFRASTRUCTURE HTTP tiene algunas limitaciones dada su simplicidad. Es un protocolo sin estado, por tanto el servidor no puede recordar a los clientes entre conexiones. Una solución para este problema es el uso de cookies. Por otro lado, el servidor no puede iniciar una conversación con el cliente. Si el cliente quiere alguna notificación del servidor, deberá solicitarla periódicamente. El servicio HTTP puede ofrecer dinámicamente los resultados de aplicaciones software. Para ello, el cliente realiza una petición a una determinada URL con unos parámetros y el software se encarga gestionar la petición para devolver un resultado. El primer método utilizado fue conocido como CGI (Common Gateway Interface) que se ejecuta un comando por URL. Este mecanismo ha sido superado debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones: FastCGI: Un protocolo de comunicación entre las aplicaciones software y el servidor HTTP, teniendo un único proceso para resolver las peticiones realizadas por el servidor HTTP. SCGI (Simple Common Gateway Interface): Es una versión simplificada del protocolo de FastCGI Otros mecanismos de expansión: Estos mecanismos dependerán del servidor HTTP utilizado y pueden permitir la ejecución de software dentro del propio servidor El servidor HTTP Apache El servidor HTTP Apache 14 es el programa más popular para servir páginas Web desde abril de EBox usa dicho servidor tanto para su interfaz Web de administración como para el módulo Web. Su objetivo es ofrecer un sistema seguro, eficiente y extensible siguiendo los estándares HTTP. Ofrece la posibilidad de extender las funcionalidades del núcleo (core), utilizando módulos adicionales para incluir nuevas características. Es decir, una de sus principales ventajas es la extensibilidad. Algunos de los módulos nos ofrecen interfaces para lenguajes de script. Ejemplos de ello son mod_perl, mod_python, TCL ó PHP, lo que permite crear páginas Web usando los lenguajes de programación Perl, Python, TCL o PHP. También tenemos módulos para varios sistemas de autenticación como mod_access, mod_auth, entre otros. Además, permite el uso de SSL y TLS con mod_ssl, módulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. En definitiva, disponemos de una gran cantidad de módulos de Apache 15 para añadir diversas funcionalidades. 14 Apache HTTP Server project 15 Podemos consultar la lista completa en 49

56 ebox 1.4 para Administradores de Redes Dominios virtuales El objetivo de los dominios virtuales (Virtual Hosts) es alojar varios sitios Web en un mismo servidor. Si el servidor dispone de una dirección IP pública por cada sitio Web, se puede realizar una configuración por cada interfaz de red. Vistos desde fuera dará la impresión de que son varios Hosts en la misma red. El servidor redirigirá el tráfico de cada interfaz a su sitio Web correspondiente. Sin embargo, lo más normal es disponer de una o dos IPs por máquina. En ese caso habrá que asociar cada sitio Web con su dominio. El servidor Web leerá las cabeceras de los clientes y dependiendo del dominio de la solicitud lo redirigirá a un sitio Web u otro. A cada una de estas configuraciones se le llama Virtual Host, ya que sólo hay un Host en la red, pero se simula que existen varios Configuración de un servidor HTTP con ebox A través del menú Web podemos acceder a la configuración del servicio. Figure 2.6: Aspecto de la configuración del módulo Web En el primer formulario podemos modificar los siguientes parámetros: Puerto de escucha Dónde va a escuchar peticiones HTTP el demonio. Habilitar el public_html por usuario Con esta opción, si está habilitado el módulo Samba (ebox como servidor de ficheros) los usuarios pueden crear un subdirectorio llamado public_html en su directorio personal dentro de samba que será expuesto por el servidor Web a través de la URL donde username es el nombre del usuario que quiere publicar contenido. 50

57 CHAPTER 2. EBOX INFRASTRUCTURE Respecto a los Dominios virtuales, simplemente se introducirá el nombre que se desea para el dominio y si está habilitado o no. Cuando se crea un nuevo dominio, se trata de crear una entrada en el módulo DNS (si está instalado) de tal manera que si se añade el dominio se creará el dominio company.com con el nombre de máquina www cuya dirección IP será la dirección de la primera interfaz de red que sea estática. Para publicar datos estos deben estar bajo /var/www/<vhostname>, donde vhostname es el nombre del dominio virtual. Si se quiere añadir cualquier configuración personalizada, por ejemplo capacidad para servir aplicaciones en Python usando mod_python, se deberán crear los ficheros de configuración necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/userebox-<vhostname>/. Ejemplo práctico Habilitar el servicio Web. Comprobar que está escuchando en el puerto 80. Configurarlo para que escuche en un puerto distinto y comprobar que el cambio surte efecto. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activa el módulo servidor web, para ello marcar su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servidor Web ha quedado habilitado por defecto en el puerto Acción: Utilizando un navegador, acceder a la siguiente dirección Efecto: Aparecerá una página por defecto de Apache con el mensaje It works!. 4. Acción: Acceder al menú Web. Cambiar el valor del puerto de 80 a 1234 y pulsar el botón Cambiar. Efecto: Se ha activado el botón Guardar Cambios. 5. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora el servidor Web está escuchando en el puerto

58 ebox 1.4 para Administradores de Redes 6. Acción: Volver a intentar acceder con el navegador a Efecto: No obtenemos respuesta y pasado un tiempo el navegador informará de que ha sido imposible conectar al servidor. 7. Acción: Intentar acceder ahora a Efecto: El servidor responde y obtenemos la página de It works!. 2.4 Servicio de sincronización de hora (NTP) El protocolo NTP (Network Time Protocol) fue diseñado para sincronizar los relojes de las computadoras sobre una red no fiable, con latencia variable. Este servicio escucha en el puerto 123 del protocolo UDP. Está diseñado para resistir los efectos de la latencia variable (jitter). Es uno de los protocolos más antiguos de Internet (desde antes de 1985). NTP versión 4 puede alcanzar una exactitud de hasta 200 µs o incluso mejor si el reloj está en la red local. Existen diferentes estratos que definen la distancia del reloj de referencia y su asociada exactitud. Existen hasta 16 niveles. El estrato 0 es para los relojes atómicos que no se conectan a la red sino a otro ordenador con conexión serie RS-232 y estos son los de estrato 1. Los de estrato 2 son los ordenadores que se conectan, ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en los sistemas operativos más conocidos como GNU/Linux, Windows, o MacOS Configuración de un servidor NTP con ebox Para configurar ebox dentro de la arquitectura NTP 16, en primer lugar ebox tiene que sincronizarse con algún servidor externo de estrato superior (normalmente 2) que se ofrecen a través de Sistema Fecha/hora. Una lista de los mismos se puede encontrar en el pool NTP (pool.ntp.org) que son una colección dinámica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus clientes a través de Internet. 16 Proyecto del servicio público NTP 52

59 CHAPTER 2. EBOX INFRASTRUCTURE Una vez que ebox se haya sincronizado como cliente NTP 17, el propio ebox podrá actuar también como servidor NTP, con una hora sincronizada mundialmente. Ejemplo práctico Habilitar el servicio NTP y sincronizar la hora de nuestra máquina utilizando el comando ntpdate. Comprobar que tanto ebox como la máquina cliente tienen la misma hora. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activa el módulo ntp, para ello marca su casilla en la columna Estado. Nos informa de los cambios que va a realizar en el sistema. Permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Acceder al menú Sistema Fecha/Hora. En la sección Sincronización con servidores NTP seleccionar Activado y pulsar Cambiar. Efecto: Desaparece la opción de cambiar manualmente la fecha y hora y en su lugar aparecen campos para introducir los servidores NTP con los que se sincronizará. 3. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Nuestra máquina ebox actuará como servidor NTP. 17 ebox usa ntpdate para sincronizarse por primera vez, una vez sincronizado usa ntpd para mantener la sincronía. 53

60 ebox 1.4 para Administradores de Redes 4. Acción: Instalar el paquete ntpdate en nuestra máquina cliente. Ejecutar el comando ntpdate <ip_de_ebox>. Efecto: La hora de nuestra máquina habrá quedado sincronizada con la de la máquina ebox. Podemos comprobarlo ejecutando el comando date en ambas máquinas. 54

61 Chapter 3 ebox Gateway En este apartado se explica la funcionalidad principal de ebox como puerta de enlace. ebox Gateway puede hacer tu red más fiable, optimizada para tu ancho de banda y ayudarte a controlar lo que entrar en tu red. En este apartado hay un capítulo que se centra en el funcionamiento del módulo cortafuegos de ebox, el cual nos permite la gestión de reglas para el tráfico entrante y saliente de nuestra red interna. La configuración del cortafuegos no se realiza directamente, sino que se apoya en otros dos módulos que facilitan la gestión de objetos y servicios de red, los cuales se describen en la primera parte del apartado. Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas según el tráfico saliente. Además, se explica en este apartado el moldeado de tráfico, que se utiliza para asegurar que las aplicaciones críticas se sirven correctamente e incluso para limitar aquellas aplicaciones que generan mucho tráfico en la red. Finalmente, se ofrece una introducción al servicio de proxy HTTP que ofrece ebox. Este servicio permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado, incluyendo reglas basadas en el contenido. 3.1 Abstracciones de red a alto nivel de ebox 55

62 ebox 1.4 para Administradores de Redes Objetos de red Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red, pudiendo elegir comportamientos para dichos objetos. Por ejemplo, pueden servir para dar un nombre significativo a una dirección IP o a un grupo de ellas. Si es el segundo caso, en lugar de definir reglas de acceso de cada una de las direcciones, bastaría simplemente con definirlas para el objeto de red. Así, todas las direcciones pertenecientes al objeto adquirirían dicha configuración. Figure 3.1: Representación de objetos de red Gestión de los objetos de red con ebox Para su gestión en ebox se debe ir al menú Objetos y ahí se crean nuevos objetos, que tendrán asociado un nombre, y una serie de miembros. Se puede crear, editar y borrar objetos. Estos objetos serán usados más tarde por otros módulos como por ejemplo el cortafuegos, el Proxy caché Web o el de correo. 56

63 CHAPTER 3. EBOX GATEWAY Figure 3.2: Aspecto general del módulo de objetos de red Cada uno de ellos tendrá al menos los siguientes valores: nombre, dirección IP y máscara de red utilizando notación CIDR. La dirección física sólo tendrá sentido para miembros que representen una única máquina. Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener mucho cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tener problemas de seguridad Servicios de red Un servicio de red es la abstracción de uno o más protocolos de aplicación que pueden ser usados en otros módulos como el cortafuegos o el módulo de moldeado de tráfico. La utilidad de los servicios es similar a la de los objetos. Si veíamos que con los objetos podíamos hacer referencia fácilmente a un conjunto de direcciones IP usando un nombre significativo, podemos 57

64 ebox 1.4 para Administradores de Redes así mismo identificar un conjunto de puertos numéricos, difíciles de recordar y engorrosos de teclear varias veces en distintas configuraciones, con un nombre acorde a su función (típicamente el nombre del protocolo de nivel 7 o aplicación que usa esos puertos). Figure 3.3: Conexión de un cliente a un servidor Gestión de los servicios de red con ebox Para su gestión en ebox se debe ir al menú Servicios donde es posible crear nuevos servicios, que tendrán asociado un nombre, una descripción y un indicador de si el servicio es externo o interno. Un servicio es interno si los puertos configurados para dicho servicio se están usando en la máquina en la que está ebox instalado. Además cada servicio tendrá una serie de miembros. Cada uno de ellos tendrá los siguientes valores: protocolo, puerto origen y puerto destino. En todos estos campos podemos introducir el valor cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen. Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que más se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino conocido. Los puertos del 1 al 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. Del 1024 al son puertos registrados. Y del al son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. Existe una lista de servicios de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el fichero /etc/services. 1 La IANA (Internet Assigned Numbers Authority) es la entidad encargada de establecer los servicios asociados a puertos bien conocidos. La lista completa se encuentra en 58

65 CHAPTER 3. EBOX GATEWAY El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para evitar tener que añadir dos veces un mismo puerto que se use para ambos protocolos. Figure 3.4: Aspecto general del módulo de servicios de red Se puede crear, editar y borrar servicios. Estos servicios serán usados más adelante en el cortafuegos o el moldeado de tráfico haciendo referencia simplemente al nombre significativo. Ejemplo práctico Crear un objeto y añadir lo siguiente: una máquina sin dirección MAC, una máquina con dirección MAC y una dirección de red. Para ello: 1. Acción: Acceder a Objetos. Añadir máquinas de contabilidad. Efecto: El objeto máquinas de contabilidad se ha creado. 2. Acción: Acceder a Miembros del objeto máquinas de contabilidad. Crear miembro servidor contable con una dirección IP de la red, por ejemplo, /32. Crear otro miembro servidor contable respaldo con otra dirección IP, por ejemplo, /32 y una dirección MAC válida, por ejemplo, 00:0c:29:7f:05:7d. Finalmente, crea el miembro red de 59

66 ebox 1.4 para Administradores de Redes ordenadores contables con dirección IP una subred de tu red local, como por ejemplo, /26. Finalmente, ir a Guardar cambios para confirmar la configuración creada. Efecto: El objeto máquinas de contabilidad contendrá tres miembros servidor contable, servidor contable respaldo y red de ordenadores contables de forma permanente. 3.2 Cortafuegos Para ver la aplicación de los objetos y servicios de red, vamos a configurar un cortafuegos. Un cortafuegos es un sistema que refuerza las políticas de control de acceso entre redes. En nuestro caso, vamos a tener una máquina dedicada a protección de nuestra red interna y ebox de ataques procedentes de la red exterior. Un cortafuegos permite definir al usuario una serie de políticas de acceso, por ejemplo, cuáles son las máquinas a las que se puede conectar o las que pueden recibir información y el tipo de la misma. Para ello, utiliza reglas que pueden filtrar el tráfico dependiendo de determinados parámetros, por ejemplo protocolo, dirección origen o destino y puertos utilizados. Técnicamente, la mejor solución es disponer de un computador con dos o más tarjetas de red que aislen las diferentes redes (o segmentos de ellas) conectadas, de manera que el software cortafuegos se encargue de conectar los paquetes de las redes y determinar cuáles pueden pasar o no y a qué red lo harán. Al configurar nuestra máquina como cortafuegos y encaminador podremos enlazar los paquetes de tránsito entre redes de manera más segura El cortafuegos en GNU/Linux: Netfilter A partir del núcleo Linux 2.4, se proporciona un subsistema de filtrado denominado Netfilter que proporciona características de filtrado de paquetes y de traducción de redes NAT 2. La interfaz del comando iptables permite realizar las diferentes tareas de configuración de las reglas que afectan al sistema de filtrado (tabla filter), reglas que afectan a la traducción de los paquetes con NAT (tabla nat) o reglas para especificar algunas opciones de control y manipulación de paquetes (tabla mangle). Su manejo es muy flexible y ortogonal pero añade mucha complejidad y tiene una curva de aprendizaje alta. 2 Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan por un encaminador o cortafuegos. Su uso principal es permitir a varias máquinas de una red privada acceder a Internet con una única IP pública. 60

67 CHAPTER 3. EBOX GATEWAY Modelo de seguridad de ebox El modelo de seguridad de ebox se basa en intentar proporcionar la máxima seguridad posible por defecto, intentando a su vez minimizar el esfuerzo de configuración de un administrador cuando añade nuevos servicios. Cuando ebox actúa de cortafuegos normalmente se instala entre la red local y el router que conecta esa red con otra red, normalmente Internet. Los interfaces de red que conectan la máquina con la red externa (el router) deben marcarse como tales. Esto permite al módulo Cortafuegos establecer unas políticas de filtrado por defecto. Figure 3.5: Red interna - Reglas de filtrado - Red externa La política para las interfaces externas es denegar todo intento de nueva conexión a ebox. Para las interfaces internas se deniegan todos los intentos de conexión, excepto los que se realizan a servicios internos definidos en el módulo Servicios, que son aceptadas por defecto. Además ebox configura el cortafuegos automáticamente de tal manera que hace NAT para los paquetes que provengan de una interfaz interna y salgan por una externa. Si no se desea esta funcionalidad, puede ser desactivada mediante la variable nat_enabled en el fichero de configuración del módulo cortafuegos en /etc/ebox/80firewall.conf. Configuración de un cortafuegos con ebox Para facilitar el manejo de iptables en tareas de filtrado se usa el interfaz de ebox en Cortafuegos Filtrado de paquetes. Si ebox actúa como puerta de enlace, se pueden establecer reglas de filtrado que se encargarán de determinar si el tráfico de un servicio local o remoto debe ser aceptado o no. Hay cinco tipos de tráfico de red que pueden controlarse con las reglas de filtrado: 61

68 ebox 1.4 para Administradores de Redes Tráfico de redes internas a ebox (ejemplo: permitir acceso SSH desde algunas máquinas). Tráfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet desde determinada red interna). Tráfico de ebox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia máquina con ebox). Tráfico de redes externas a ebox (ejemplo: permitir que el servidor de Jabber se utilice desde Internet). Tráfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno desde Internet). Hay que tener en cuenta que los dos últimos tipos de reglas pueden ser un compromiso para la seguridad de ebox y la red, por lo que deben utilizarse con sumo cuidado. Se pueden ver los tipos de filtrado en el siguiente gráfico: Figure 3.6: Tipos de reglas de filtrado ebox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una interfaz interna (donde se encuentra la Intranet) e Internet. Su configuración habitual se realiza por objeto. Así podemos determinar cómo un objeto de red puede acceder a cada uno de los servicios de 62

69 CHAPTER 3. EBOX GATEWAY ebox. Por ejemplo, podríamos denegar el acceso al servicio de DNS a determinada subred. Además se manejan las reglas de acceso a Internet, por ejemplo, para configurar el acceso a Internet se debe habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier dirección. Figure 3.7: Lista de reglas de filtrado de paquetes desde las redes internas a ebox Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. Por ejemplo, las reglas de filtrado para salida de ebox sólo hace falta fijar el destinatario ya que el origen siempre es ebox. Se puede usar un servicio concreto o su inverso para, por ejemplo, denegar todo el tráfico de salida excepto el de SSH 3. Adicionalmente, se le puede dar una descripción para facilitar la gestión de las reglas. Finalmente, cada regla tiene una decisión que tomar, existen tres tipos: Aceptar la conexión. Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión. Denegar la conexión y además registrarla. De esta manera, a través de Registros -> Consulta registros del Cortafuegos podemos ver si una regla está funcionando correctamente. 3 SSH: Secure Shell permite la comunicación segura entre dos máquinas usando principalmente como consola remota 63

70 ebox 1.4 para Administradores de Redes Redirecciones de puertos Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos Redirecciones de puertos donde se puede hacer que todo el tráfico dirigido a un puerto externo (o rango de puertos), se direccione a una máquina que está escuchando en un puerto determinado haciendo la traducción de la dirección destino. Para configurar una redirección hay que establecer la interfaz donde se va a hacer la traducción, el destino original (puede ser ebox, una dirección IP o un objeto), el puerto de destino original (puede ser cualquiera, un rango de puertos o un único puerto), el protocolo, la origen desde donde se iniciará la conexión (en una configuración usual su valor será cualquiera), la IP destino y, finalmente, el puerto donde la máquina destino recibirá las peticiones, que puede ser el mismo que el original o no. Existe también un campo opcional llamado descripción que es útil para añadir un comentario que describa el propósito de la regla. Según el ejemplo, todas las conexiones que vayan a ebox a través del interfaz eth0 al puerto 8080/TCP se redirigirán al puerto 80/TCP de la máquina con dirección IP Ejemplo práctico Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la máquina ebox. Añadir un servicio y una regla de cortafuegos para que una máquina interna pueda acceder al servicio. 64

71 CHAPTER 3. EBOX GATEWAY Para ello: 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo Cortafuegos, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para realizar algunas acciones. 2. Acción: Leer las acciones que se van a realizar y otorgar permiso a ebox para hacerlo. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Crear un servicio interno a través de Servicios con nombre netcat con puerto destino Seguidamente, ir a Cortafuegos Filtrado de paquetes en Reglas de filtrado desde las redes internas a ebox añadir la regla con, al menos, los siguientes campos: Decisión : ACEPTAR Fuente : Cualquiera Servicio : netcat. Creado en esta acción. Una vez hecho esto. Guardar cambios para confirmar la configuración. Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que permiten conectarse al mismo. 4. Acción: Lanzar desde la consola de ebox el siguiente comando: nc -l -p Acción: Desde la máquina cliente comprobar que hay acceso a dicho servicio usando el comando nc: nc <ip_ebox> 6970 Efecto Puedes enviar datos que serán visto en la terminal donde hayas lanzado netcat en ebox. 65

72 ebox 1.4 para Administradores de Redes 3.3 Encaminamiento Tablas de encaminamiento El término encaminamiento hace referencia a la acción de decidir a través de qué interfaz debe ser enviado un determinado paquete que va a salir desde una máquina. El sistema operativo cuenta con una tabla de encaminamiento con un conjunto de reglas para tomar esta decisión. Cada una de estas reglas cuenta con diversos campos, pero los tres más importantes son: dirección de destino, interfaz y router. Se deben de leer como sigue: para llegar a una dirección de destino dada, tenemos que dirigir el paquete a través de un router, el cual es accesible a través de una determinada interfaz. Cuando llega un mensaje, se compara su dirección destino con las entradas en la tabla y se envía por la interfaz indicada en la regla cuya dirección mejor coincide con el destino del paquete, es decir, aquella regla que es más específica. Por ejemplo, si se especifica una regla en la que para alcanzar la red A ( /16) debe ir por el router A y otra regla en la que para alcanzar la red B ( /24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino /32, entonces el sistema operativo decidirá que se envíe al router B ya que existe una regla más específica. Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback, o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Para realizar la configuración manual de una tabla de rutas estáticas se utiliza Red Rutas (interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el protocolo DHCP. Puerta de enlace A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, éste se enviará a través de la puerta de enlace. La puerta de enlace (gateway) es la ruta por omisión para los paquetes que se envían a otras redes. Para configurar una puerta de enlace se utiliza Red Puertas de enlace. 66

73 CHAPTER 3. EBOX GATEWAY Figure 3.8: Configuración de rutas Habilitado: Indica si realmente esta puerta de enlace es efectiva o está desactivada. Nombre: Nombre por el que identificaremos a la puerta de enlace. Dirección IP: Dirección IP de la puerta de enlace. máquina que contiene ebox. Esta dirección debe ser accesible desde la Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de enlace se enviarán a través de esta interfaz. Peso: Cuanto mayor sea el peso, más tráfico absorberá esa puerta de enlace cuando esté activado el balanceo de carga. Default: Si está activado, se toma esta como la puerta de enlace por omisión. 67

74 ebox 1.4 para Administradores de Redes Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puertas de enlace explíticamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden editar el resto de los atributos. Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE Ejemplo práctico A Vamos a configurar la interfaz de red de manera estática. subredes. La clase quedará dividida en dos Para ello: 1. Acción: Acceder a la interfaz de ebox, entrar en Red Interfaces y seleccionar para el interfaz de red eth0 el método Estático. Como dirección IP introducir la que indique el instructor. Como Máscara de red Pulsar el botón Cambiar. La dirección de red tendrá la forma 10.1.X.Y, dónde 10.1.X corresponde con la red e Y con la máquina. En adelante usaremos estos valores. Entrar en Red DNS y seleccionar Añadir. Introducir como Servidor de nombres 10.1.X.1. Pulsar Añadir. Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el servidor recién creado. 2. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. 68

75 CHAPTER 3. EBOX GATEWAY 3. Acción: Acceder a Red Diagnóstico. Hacer ping a ebox-platform.com. Efecto: Se muestra como resultado: connect: Network is unreachable 4. Acción: Acceder a Red Diagnóstico. Hacer ping a una ebox de un compañero de aula que forme parte de la misma subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. 5. Acción: Acceder a Red Diagnóstico. Hacer ping a una ebox de un compañero de aula que esté en la otra subred. Efecto: Se muestra como resultado: connect: Network is unreachable Ejemplo práctico B Vamos a configurar una ruta para poder acceder a máquinas de otras subredes. Para ello: 1. Acción: Acceder a la interfaz de ebox, entrar en Red Rutas y seleccionar Añadir nuevo. Rellenar el formulario con los siguientes valores: Network 10.1.X.0 / 24 Gateway Description Ruta a la otra subred Pulsar el botón Añadir. Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de rutas en la que se incluye la ruta recién creada. 2. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. 3. Acción: Acceder a Red Diagnóstico. Hacer ping a ebox-platform.com. Efecto: Se muestra como resultado: 69

76 ebox 1.4 para Administradores de Redes connect: Network is unreachable 4. Acción: Acceder a Red Diagnóstico. Hacer ping a una ebox de un compañero de aula que esté en la otra subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. Ejemplo práctico C Vamos a configurar una puerta de enlace que nos conecte con el resto de redes. Para ello: 1. Acción: Acceder a la interfaz de ebox, entrar en Red Rutas y eliminar la ruta creada en el ejercicio anterior. Entrar en Red Puertas de enlace y selecciona Añadir nuevo. Rellenar con los siguientes datos: Nombre Default Gateway IP Address 10.1.X.1 Interface eth0 Weight 1 Default sí Pulsar el botón Añadir. Efecto: Se ha activado el botón Guardar Cambios. Ha desaparecido la lista de rutas. Ha aparecido una lista de puertas de enlace con la puerta de enlace recién creada. 2. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. 3. Acción: Acceder a Red Diagnóstico. Hacer ping a ebox-platform.com. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. 4. Acción: Acceder a Red Diagnóstico. Hacer ping a una ebox de un compañero de aula que esté en la otra subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. 70

77 CHAPTER 3. EBOX GATEWAY Reglas multirouter y balanceo de carga Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias conexiones a Internet de una manera transparente. Esto es útil si, por ejemplo, una oficina dispone de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin tener que preocuparnos de repartir el trabajo manualmente de las máquinas entre ambos routers, de tal manera que la carga se distribuya automáticamente entre ellos. El balanceo de carga básico reparte de manera equitativa los paquetes que salen de ebox hacia Internet. La forma más simple de configuración es establecer diferentes pesos para cada router, de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso óptimo de ellas. Las reglas multirouter permiten hacer que determinado tipo de tráfico se envíe siempre por el mismo router en caso de que sea necesario. Ejemplos comunes son enviar siempre el correo electrónico por un determinado router o hacer que una determinada subred siempre salga a Internet por el mismo router. ebox utiliza las herramientas iproute2 e iptables para llevar a cabo la configuración necesaria para la funcionalidad de multirouter. Mediante iproute2 se informa al kernel de la disponibilidad de varios routers. Para las reglas multirouter se usa iptables para marcar los paquetes que nos interesan. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que un paquete dado debe ser enviado. Hay varios posibles problemas que hay que tener en cuenta. En primer lugar en iproute2 no existe el concepto de conexión, por lo que sin ningún otro tipo de configuración los paquetes pertenecientes a una misma conexión podrían acabar siendo enviados por diferentes routers, imposibilitando la comunicación. Para solucionar esto se utiliza iptables para identificar las diferentes conexiones y asegurarnos que todos los paquetes de una conexión se envían por el mismo router. Lo mismo ocurre con las conexiones entrantes que se establecen, todos los paquetes de respuesta a una conexión deben ser enviados por el mismo router por el cual se recibió esa conexión. Para establecer una configuración multirouter con balanceo de carga en ebox debemos definir tantos routers como sean necesarios en Red Puertas de enlace. Utilizando el parámetro peso en la configuración de un router podemos determinar la proporción de paquetes que cada uno de ellos enviará. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente, por el primer router se enviarán 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarán a través del segundo. 71

78 ebox 1.4 para Administradores de Redes Las reglas multirouter y el balanceo de tráfico se establecen en la sección Red Balanceo de tráfico. En esta sección podemos añadir reglas para enviar ciertos paquetes a un determinado router dependiendo de la interfaz de entrada, la fuente (puede ser una dirección IP, un objeto, ebox o cualquiera), el destino (una dirección IP o un objeto de red), el servicio al que se quiere asociar esta regla y por cual de los routers queremos direccionar el tipo de tráfico especificado. Ejemplo práctico D Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona utilizando la herramienta traceroute. Para ello: 1. Acción: Ponerse por parejas, dejando una ebox con la configuración actual y añadiendo en la otra un nuevo gateway, accediendo a través del interfaz a Red Puertas de enlace y pulsando en Añadir nuevo, con los siguientes datos: Nombre Gateway 2 72

79 CHAPTER 3. EBOX GATEWAY Dirección IP <IP ebox compañero> Interfaz eth0 Peso 1 Predeterminado sí Pulsar el botón Añadir. Efecto: Se ha activado el botón Guardar Cambios. Ha aparecido una lista de puertas de enlace con la puerta de enlace recién creada y la puerta de enlace anterior. 2. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. 3. Acción: Ir a una consola y ejecutar el siguiente script: for i in $(seq 1 254); do sudo traceroute -I -n $i -m 6; done Efecto: El resultado de una ejecución de traceroute muestra los diferentes routers por los que un paquete pasa para llegar a su destino. Al ejecutarlo en una máquina con configuración multirouter el resultado de los primeros saltos entre routers debería ser diferente dependiendo del router elegido Tolerancia a fallos (WAN Failover) Si se está balanceando tráfico entre dos o más routers esta característica es realmente útil. En un escenario normal sin tolerancia a fallos, supóngase que se está balanceando el tráfico entre dos routers y uno de ellos se cae. Asumiendo que los dos routers tengan el mismo peso, la mitad del tráfico seguiría intentando salir por el router caído, causando problemas de conectividad a todos los clientes de la red. En la configuración del failover se pueden definir conjuntos de reglas para cada router que necesite ser comprobado. Estas reglas pueden ser un ping al router, a una máquina externa, una resolución de DNS o una petición HTTP. También se puede definir cuántas pruebas se quieren realizar así como el porcentaje de aceptación exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptación, el router asociado a ella será desactivado. Pero las pruebas se siguen ejecutando, por tanto, en cuanto el router vuelva a estar operativo, todas las pruebas se ejecutarán satisfactoriamente y el router será activado de nuevo. 73

80 ebox 1.4 para Administradores de Redes Deshabilitar un router sin conexión tiene como consecuencia que todo el tráfico salga por el otro router que sigue habilitado, en lugar de ser balanceado. De esta forma, los usuarios de la red no deberían sufrir problemas con su conexión a Internet. Una vez que ebox detecta que el router caído está completamente operativo se restaura el comportamiento normal de balanceo de tráfico. El failover está implementado como un evento de ebox. Para usarlo, primero se necesita tener el módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover. 4 Para configurar las opciones y reglas del failover se debe acudir al menú Red WAN Failover. Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones. Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los siguientes campos: Habilitado: Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de los routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y añadirlas de nuevo. 4 Para más detalles acerca de cómo funcionan y como se configuran los eventos en ebox se puede consultar el capítulo Incidencias (eventos y alertas). 74

81 CHAPTER 3. EBOX GATEWAY Router: Se encuentra previamente rellenado con la lista de routers configurados, sólo se necesita seleccionar uno de ellos. Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Envía un paquete ICMP echo con la dirección de la puerta de enlace como destino. Ping a máquina: Envía un paquete ICMP echo con la dirección IP de la máquina externa especificada abajo como destino. Resolución DNS: Intenta obtener la dirección IP para el nombre de máquina especificado abajo. Petición HTTP: Se descarga el contenido del sitio web especificado abajo. Máquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace. Número de pruebas: Número de veces que se repite la prueba. Ratio de éxito requerido: Indica que proporción de intentos satisfactorios es necesaria para considerar correcta la prueba. Se recomienda configurar un emisor de eventos para estar al tanto de las conexiones y desconexiones de routers que puedan producirse. Si no se hace esto, los eventos serán registrados solamente en el fichero /var/log/ebox/ebox.log. 3.4 Moldeado de tráfico Calidad de servicio (QoS) La calidad de servicio (Quality of Service, QoS) en redes de computadores se refiere a los mecanismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de datos diferentes, o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impuestas por la aplicación. Restricciones como el retraso en la entrega, la tasa de bit, la probabilidad de pérdida de paquetes o la variación de retraso por paquete 5 pueden estar fijadas por diversas aplicaciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos sólo aplican cuando 5 jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes seleccionados de un flujo. 75

82 ebox 1.4 para Administradores de Redes los recursos son limitados (redes inalámbricas celulares) o cuando hay congestión en la red, en caso contrario no se deberían aplicarse dichos mecanismos. Existen diversas técnicas para dar calidad de servicio: Reserva de recursos de red: Usando el protocolo Resource reservation Protocol (RSVP) para pedir y reservar espacio en los encaminadores. Sin embargo, esta opción se ha relegado ya que no escala bien en el crecimiento de Internet. Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el servicio al que sirven. Dependiendo de las marcas, los encaminadores usarán diversas técnicas de encolamiento para adaptarse a los requisitos de las aplicaciones. Esta técnica está actualmente aceptada. Como añadido a estos sistemas, existen mecanismos de gestión de ancho de banda para mejorar la calidad de servicio basada en el moldeado de tráfico, algoritmos de scheduling o evitación de la congestión. Para el moldeado de tráfico existen básicamente dos algoritmos: Token bucket: Dicta cuando el tráfico puede transmitirse, basado en la presencia de tokens en el bucket (sitio virtual donde almacenar tokens). Cada token es una unidad de Bytes determinada, así cada vez que se envían datos, se consumen tokens, cuando no hay tokens no es posible transmitir datos. Se proveen tokens periódicamente a cada uno de los buckets. Con esta técnica se permite el envío de datos en períodos de alta demanda 6. Leaky bucket: Se basa en la presencia de un bucket con un agujero. Entran paquetes en el bucket hasta que este se llena, momento en el que se descartan. La salida de paquetes se hace a una tasa continua y estable a través de dicho agujero Configuración de la calidad de servicio en ebox ebox utiliza las capacidades del núcleo de Linux 7 para hacer moldeado de tráfico usando token bucket que permite una tasa garantizada, limitada y una prioridad a determinados tipos de flujos de datos (protocolo y puerto) a través del menú Moldeado de tráfico Reglas. Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y una interfaz externa. También debe existir un router. Además debemos configurar las tasas de subida y bajada de los routers en Moldeado de tráfico Tasas de Interfaz, estableciendo el ancho de banda 6 Término conocido como burst. 7 Linux Advanced Routing & Traffic Control 76

83 CHAPTER 3. EBOX GATEWAY que nos proporciona cada router que está conectado a una interfaz externa. Las reglas de moldeado son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas. Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de ebox hacia Internet. En cambio, si se moldea la interfaz interna, entonces se estará limitando la salida de ebox hacia sus redes internas. El límite máximo de tasa de salida y entrada viene dado por la configuración en Moldeado de tráfico Tasas de Interfaz. Como se puede observar, no se puede moldear el tráfico entrante en sí, eso es debido a que el tráfico proveniente de la red no es predecible y controlable de casi ninguna forma. Existen técnicas específicas a diversos protocolos para tratar de controlar el tráfico entrante a ebox, como por ejemplo, TCP con el ajuste artificial del tamaño de ventana de flujo de la conexión TCP o controlando la tasa de confirmaciones (ACK ) devueltas al emisor. Para cada interfaz se pueden añadir reglas para dar prioridad (0: máxima prioridad, 7: mínima prioridad), tasa garantizada o tasa limitada. Esas reglas se aplicarán al tráfico determinado por el servicio, origen y destino del flujo. Figure 3.10: Reglas de moldeado de tráfico Ejemplo práctico Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Comprobar su funcionamiento. 1. Acción: Añadir un router a través de Red Routers a tu interfaz de red externo. Efecto: Se ha activado el botón Guardar Cambios. La lista de puertas de enlace contiene un único router. 2. Acción: Guardar los cambios. 77

84 ebox 1.4 para Administradores de Redes Efecto: ebox muestra el progreso mientras aplica los cambios. 3. Acción: Acceder de nuevo a la interfaz de ebox y añadir en Servicios un servicio llamado HTTP con protocolo TCP, tipo externo y puerto de destino simple 80. Efecto: ebox muestra una lista con los servicios en la que aparece nuestro nuevo servicio HTTP. 4. Acción: Ir a la entrada Moldeado de tráfico Reglas. Seleccionar la interfaz interna en la lista de interfaces y pulsar en Añadir nuevo para añadir una nueva regla con los siguientes datos: Habilitada Sí Servicio Servicio basado en puerto / HTTP Origen cualquiera Destino cualquiera Prioridad 7 Tasa garantizada 0 Kb/s Tasa limitada 160 Kb/s Pulsar el botón Añadir. Efecto: ebox muestra una tabla con la nueva regla de moldeado de tráfico. 5. Acción: Comenzar a descargar desde una máquina de tu LAN (distinta de ebox) usando el comando wget un fichero grande accesible desde Internet (por ejemplo, una imagen ISO de Ubuntu). Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s). 3.5 RADIUS RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticación, autorización y gestión de la tarificación, en inglés AAA (Authentication, Authorization and Accounting) para ordenadores que se conectan y usan una red. El flujo de autenticación y autorización en RADIUS funciona de la siguiente manera: el usuario o máquina envía una petición a un NAS (Network Access Server) como podría ser un punto de 78

85 CHAPTER 3. EBOX GATEWAY acceso inalámbrico, utilizando el protocolo de enlace pertinente para obtener acceso a una red utilizando los credenciales de acceso. En respuesta, el NAS envía un mensaje Access Request al servidor RADIUS solicitando autorización para acceder a la red, incluyendo todos los credenciales de acceso necesarios, no solo nombre de usuario y contraseña, pero probablemente también realm, dirección IP, VLAN asignada y tiempo máximo que podrá permanecer conectado. Esta información se comprueba utilizando esquemas de autenticación como Password Authentication Protocol (PAP), Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP) 8 y se envía una respuesta al NAS: Access Reject: Cuando se deniega el acceso al usuario. Access Challenge: Cuando se solicita información adicional, como en TTLS donde un diálogo a través de un túnel establecido entre el servidor RADIUS y el cliente realiza una segunda autenticación. Access Accept: Cuando se autoriza el acceso al usuario. Los puertos oficialmente asignados por el IANA son 1812/UDP para autenticación y 1813/UDP para tarificación. Este protocolo no transmite las contraseñas en texto plano entre el NAS y el servidor (incluso utilizando el protocolo PAP) ya que existe una contraseña compartida que cifra la comunicación entre ambas partes. El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en ebox Configuración del servidor RADIUS con ebox Para configurar el servidor RADIUS en ebox, primero comprobaremos en Estado del Módulo si Usuarios y Grupos está habilitado, ya que RADIUS depende de él. Entonces marcaremos la casilla RA- DIUS para habilitar el módulo de ebox de RADIUS. Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos definir si Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán acceder al servicio. Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a ebox deben ser especificados en Clientes RADIUS. Para cada uno podemos definir: Habilitado: Indicando si el NAS está habilitado o no. Cliente: El nombre para este cliente, como podría ser el nombre de la máquina. 8 Estos protocolos de autenticación están definidos en RFC FreeRADIUS - El servidor RADIUS más popular del mundo < 79

86 ebox 1.4 para Administradores de Redes Figure 3.11: Configuración general de RADIUS Dirección IP: La dirección IP o el rango de direcciones IP a las que se permite enviar peticiones al servidor RADIUS. Contraseña compartida: Contraseña compartida entre el servidor RADIUS y el NAS para autenticar y cifrar sus comunicaciones Configuración del Punto de Acceso En cada dispositivo NAS necesitaremos configurar la dirección de ebox como el servidor RADIUS, el puerto, normalmente el UDP/1812, y la contraseña compartida. Tanto WPA como WPA2, usando TKIP o AES (recomendado) pueden usarse con ebox RADIUS. El modo deberá ser EAP. 3.6 Servicio Proxy HTTP Un servidor Proxy Caché Web se utiliza para reducir el consumo de ancho de banda en una conexión HTTP (Web) 10, controlar su acceso, mejorar la seguridad en la navegación e incrementar la velocidad de recepción de páginas de la red. Un proxy es un programa que actúa de intermediario en la conexión a un protocolo, en este caso el protocolo HTTP. Al intermediar puede modificar el comportamiento del protocolo, por ejemplo actuando de caché o modificando los datos recibidos. 10 Para más información sobre el servicio HTTP, ir a la sección Servicio de publicación de información web (HTTP). 80

87 CHAPTER 3. EBOX GATEWAY Figure 3.12: Configuración del Punto de Acceso 81

88 ebox 1.4 para Administradores de Redes El servicio de proxy HTTP suministrado por ebox ofrece las siguientes funcionalidades: Actúa de caché de contenidos acelerando la navegación y reduciendo el consumo de ancho de banda. Restricción de acceso dependiendo de la dirección de red de origen, de usuario o de horario. Anti-virus, bloqueando el acceso a contenidos infectados. Restricción de acceso a determinados dominios y tipos de fichero. Filtrado de contenidos. ebox utiliza Squid 11 como proxy, apoyándose en Dansguardian 12 para el control de contenidos Configuración de política de acceso La parte más importante de configurar el proxy HTTP es establecer la política de acceso al contenido web a través de él. La política determina si se puede acceder a la web y si se aplica del filtro de contenidos. El primer paso a realizar es definir una política global de acceso. Podemos establecerla en la sección Proxy HTTP General, seleccionando una de las seis políticas disponibles: 11 Squid: Squid Web Proxy Cache 12 Dansguardian: Web content filtering 82

89 CHAPTER 3. EBOX GATEWAY Permitir todo: Con esta política se permite a los usuarios navegar sin restricciones. Esta falta de restricciones no significa que no puedan disfrutar de las ventajas de la caché de páginas web. Denegar todo: Esta política deniega el acceso web. A primera vista podría parecer poco útil ya que el mismo efecto se puede conseguir más fácilmente con una regla de cortafuegos. Sin embargo, como explicaremos posteriormente podemos establecer políticas particulares para cada objeto de red, pudiendo usar esta política para denegar por defecto y luego aceptar las peticiones web para determinados objetos. Filtrar: Esta política permite el acceso y activa el filtrado de contenidos que puede denegar el acceso web según el contenido solicitado por los usuarios. Autorizar y Filtrar, Autorizar y permitir todo, Autorizar y denegar todo: Estas políticas son versiones de las políticas anteriores que incluyen autorización. La autorización se explicará en la sección Configuración Avanzada para el proxy HTTP. Tras establecer la política global, podemos refinar nuestra política asignando políticas particulares a objetos de red. Para asignarlas entraremos en la sección Proxy HTTP Política de objetos. Podremos elegir cualquiera de las seis políticas para cada objeto; cuando se acceda al proxy desde cualquier miembro del objeto esta política tendrá preferencia sobre la política global. Una dirección de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad. Se aplicará la política del objeto de mayor prioridad que contenga la dirección de red. Además existe la posibilidad de definir un rango horario fuera del cual no se permitira acceso al objeto de red. 83

90 ebox 1.4 para Administradores de Redes Warning: La opción de rango horario no es compatible para políticas que usen filtrado de contenidos. Figure 3.13: Políticas de acceso web para objetos de red Conexión al proxy y modo transparente Para conectar al proxy HTTP, los usuarios deben configurar su navegador estableciendo ebox como proxy web. El método específico depende del navegador, pero la información necesaria es la dirección del servidor de ebox y el puerto donde acepta peticiones el proxy. El proxy de ebox Platform únicamente acepta conexiones provenientes de sus interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador. El puerto por defecto es el 3128, pero se puede configurar desde la sección Proxy HTTP General. Otros puertos típicos para servicios de proxy web son el 8000 y el Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy, deberíamos tener denegado el tráfico HTTP en nuestro cortafuegos. Una manera de evitar la necesidad de configurar cada navegador es usar el modo transparente. En este modo, ebox debe ser establecido como puerta de enlace y las conexiones HTTP hacia las redes externas a ebox (Internet) serán redirigidas al proxy. Para activar este modo debemos ir a la página Proxy HTTP General y marcar la opción proxy transparente. Como veremos en Configuración Avanzada para el proxy HTTP, el modo transparente es incompatible con políticas que requieran autorización. 84

91 CHAPTER 3. EBOX GATEWAY Por último, hay que tener en cuenta que el tráfico Web seguro (HTTPS) no puede ser filtrado al estar cifrado. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos para las redes internas hacia Internet dando acceso garantizado al tráfico HTTPS Control de parámetros de la caché En el apartado Proxy HTTP General es posible definir el tamaño de la caché en disco y qué direcciones están exentas de su uso. El tamaño de la caché controla el máximo de espacio usado para almacenar los elementos web cacheados. El tamaño se establece en el campo Tamaño de ficheros de caché que se puede encontrar bajo el encabezado Configuración General. Con un mayor tamaño se aumentará la probabilidad de que se pueda recuperar un elemento desde la caché, pudiendo incrementar la velocidad de navegación y reducir el uso de ancho de banda. Sin embargo, el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de espacio usado en el disco duro sino también un aumento en el uso de la memoria RAM, ya que la caché debe mantener índices a los elementos almacenados en el disco duro. Corresponde a cada administrador decidir cual es el tamaño óptimo para la caché teniendo en cuenta las características de la máquina y el tráfico web esperado. Es posible indicar dominios que estén exentos del uso de la caché. Por ejemplo, si tenemos servidores web locales no se acelerará su funcionamiento usando la caché HTTP y se malgastaría memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Dichos dominios se definen bajo el encabezado Excepciones a la caché que podemos encontrar en la sección Proxy HTTP General Filtrado de contenidos web ebox permite el filtrado de páginas web según su contenido. Para que el filtrado tenga lugar la política global o la particular de cada objeto desde que se accede deberá ser de Filtrar o Autorizar y Filtrar. Con ebox se pueden definir múltiples perfiles de filtrado pero sólo trataremos en esta sección el perfil por defecto, dejando la discusión de múltiples perfiles para la sección Configuración Avanzada para el proxy HTTP. Para configurar las opciones de filtrado, iremos a Proxy HTTP Perfiles de Filtrado y seleccionaremos la configuración del perfil por defecto 85

92 ebox 1.4 para Administradores de Redes El filtrado de contenidos de la páginas Web se basa en diferentes métodos incluyendo marcado de frases clave, filtrado heurístico y otros filtros más sencillos. La conclusión final es determinar si una página puede ser visitada o no. El primer filtro es el anti-virus. Para poder utilizarlo debemos tener el módulo de antivirus instalado y activado. Podemos configurar si deseamos activarlo o no. Si está activado se bloqueará el tráfico HTTP en el que sean detectados virus. El filtro de contenidos principalmente consiste en el análisis de los textos presentes en las paginas web, si se considera que el contenido no es apropiado (pornografía, violencia, etc) se bloqueará el acceso a la página. Para controlar este proceso se puede establecer un umbral más o menos restrictivo, siendo este el valor que se comparará con la puntuación asignada a la página para decidir si se bloquea o no. El lugar donde establecer el umbral es la sección Umbral de filtrado de contenido. También se puede desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este análisis se puede llegar a bloquear paginas inocuas, este problema se puede remediar añadiendo dominios a una lista blanca, pero siempre existirá el riesgo de un falso positivo con páginas desconocidas. Existen otro tipo de filtros de carácter explícito: Por dominio: Prohibiendo el acceso a la página de un diario deportivo en una empresa. Por extensión del fichero a descargar. Por tipo de contenidos MIME: Denegando la descarga de todos los ficheros de audio o vídeo. Estos filtros están dispuestos en la interfaz por medio de las pestañas Filtro de extensiones de fichero, Filtro de tipos MIME y Filtro de dominios, 86

93 CHAPTER 3. EBOX GATEWAY En la pestaña de Filtro de extensiones de fichero se puede seleccionar que extensiones serán bloqueadas. De manera similar en Filtro de tipos MIME se puede indicar qué tipos MIME se quieren bloquear y añadir otros nuevos si es necesario. Los tipos MIME (Multipurpose Internet Mail Extensions) son un estándar, concebido para extender las capacidades del correo electrónico, que define los tipos de contenidos. Estos también se usan en otros protocolos como el HTTP para determinar el contenido de los ficheros que se transmiten. Un ejemplo de tipo MIME es text/html que son las páginas Web. El primero de los elementos determina el tipo de contenido que almacena (texto, vídeo, audio, imagen, binario,...) y el segundo el formato específico para representar dicho contenido (HTML, MPEG, gzip,...). En la pestaña de Filtro de dominios encontraremos los parametros que controlan el filtrado de paginas en base al dominio al que pertenecen. Existen dos opciones de carácter general: 87

94 ebox 1.4 para Administradores de Redes Bloquear dominios especificados sólo como IP, esta opción bloquea cualquier dominio especificado únicamente por su IP asegurándonos así que no es posible encontrar una manera de saltarse nuestras reglas mediante el uso de direcciones IP. Bloquear dominios no listados, esta opción bloquea todos los dominios que no estén presentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas de dominios. En este último caso, las categorias con una política de Ignorar no son consideradas como listadas. A continuación tenemos, la lista de dominios, donde podemos introducir nombres de dominio y seleccionar una política para ellos entre las siguientes: Permitir siempre: El acceso a los contenidos del dominio será siempre permitido, todos los filtros del filtro de contenido son ignorados. Denegar siempre: El acceso nunca se permitirá a los contenidos de este dominio. Filtrar: Se aplicarán las reglas usuales a este dominio. Resulta útil si está activada la opción Bloquear dominios no listados. En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceras 88

95 CHAPTER 3. EBOX GATEWAY partes y tienen la ventaja de que los dominios están clasificados por categorías, permitiéndonos seleccionar una política para una categoría entera de dominios. ebox soporta las listas distribuidas por urlblacklist 13, shalla s blacklists 14 y cualquiera que use el mismo formato. Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo, podemos incorporarlo a nuestra configuración y establecer políticas para las distintas categorías de dominios. Las políticas que se pueden establecer en cada categoría son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categoría. Existe una política adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categoría a la hora de filtrar. Dicha política es la elegida por defecto para todas las categorías. Ejemplo práctico Activar el modo transparente del proxy. Comprobar usando los comandos de iptables las reglas de NAT que ha añadido ebox para activar este modo Para ello: 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo Proxy HTTP, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 13 URLBlacklist: 14 Shalla s blacklist: 89

96 ebox 1.4 para Administradores de Redes 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Ir a Proxy HTTP General, activar la casilla de Modo transparente. Asegurarnos que ebox puede actuar como router, es decir, que haya al menos una interfaz de red externa y otra interna. Efecto: El modo transparente está configurado 4. Acción: Guardar cambios para confirmar la configuración Efecto: Se reiniciarán los servicios de cortafuegos y proxy HTTP. 5. Acción: Desde la consola en la máquina en la que está ebox, ejecutar el comando iptables -t nat -vl. Efecto: La salida de dicho comando debe ser algo parecido a esto: Chain PREROUTING (policy ACCEPT 7289 packets, 1222K bytes) pkts bytes target prot opt in out source destination premodules all -- any any anywhere anywhere Chain POSTROUTING (policy ACCEPT 193 packets, bytes) pkts bytes target prot opt in out source destination postmodules all -- any any anywhere anywhere 0 0 SNAT all -- any eth2! anywhere to: Chain OUTPUT (policy ACCEPT 5702 packets, 291K bytes) pkts bytes target prot opt in out source destination Chain postmodules (1 references) pkts bytes target prot opt in out source destination Chain premodules (1 references) pkts bytes target prot opt in out source destination 0 0 REDIRECT tcp -- eth3 any anywhere! tcp 90

97 Chapter 4 ebox Office Uno de los fundamentos de la creación de las redes de computadores, fue la compartición de recursos y de información 1. A lo largo de todo este capítulo, se van a ir explorando los diferentes recursos de información disponibles en una red de área local dispuesta en casa o en la oficina. La gestión de usuarios y grupos a través de un servicio de directorio para todos los servicios de la red de forma unificada, el empleo de ficheros e impresoras compartidas, además de todos los servicios de grupo como calendarios, contactos, tareas, etc, se van a ver dentro de este apartado. 4.1 Servicio de directorio (LDAP) Para almacenar y organizar la información relativa a organizaciones (en nuestro caso, usuarios y grupos) se utilizan los servicios de directorio. Estos permiten a los administradores de la red manejar el acceso a los recursos por parte de los usuarios añadiendo una capa de abstracción entre ambos. Este servicio da una interfaz de acceso a la información. También actúa como una autoridad central y común a través de la cual los usuarios se pueden autenticar de manera segura. Se podría hacer la analogía entre un servicio de directorio y las páginas amarillas. Entre sus características destacan: La información es muchas más veces leída que escrita. Estructura jerárquica que simula la arquitectura de las organizaciones. 1 De hecho, se considera la motivación principal de su creación. 91

98 ebox 1.4 para Administradores de Redes A cada clase de objeto, estandarizada por la IANA 2, se le definen unas propiedades sobre las cuales se pueden definir listas de control de acceso (ACLs). Existen múltiples implementaciones del servicio de directorio entre las que destacamos NIS, OpenLDAP, ActiveDirectory, etc. ebox usa OpenLDAP como servicio de directorio con tecnología Samba para controlador de dominios Windows además de para la compartición de ficheros e impresoras Usuarios y grupos Normalmente, en la gestión de una organización de mayor o menor tamaño existe la concepción de usuario o grupo. Para facilitar la tarea de administración de recursos compartidos se diferencia entre entre usuarios y grupos de ellos. Cada uno de los cuales puede tener diferentes privilegios con respecto a los recursos de la organización. Gestión de los usuarios y grupos en ebox Modos Como se ha explicado, ebox está diseñada de manera modular, permitiendo al administrador distribuir los servicios entre varias máquinas de la red. Para que esto sea posible, el módulo de usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir usuarios entre las diferentes eboxes. Por defecto y a no ser que se indique lo contrario en el menú Usuarios y Grupos Modo, el módulo se configurará como un directorio LDAP maestro y el Nombre Distinguido (DN) 3 del directorio se establecerá de acuerdo al nombre de la máquina. Si se desea configurar un DN diferente, se puede hacer en la entrada de texto LDAP DN. 2 Internet Assigned Numbers Authority (IANA) es una organización que se encarga de la asignación de direcciones IP públicas, nombres de dominio de máximo nivel (TLD), etc. 3 Cada entrada en un directorio LDAP tiene un identificador único llamado nombre distinguido que tiene similitudes con el concepto de ruta completa de fichero en un sistema de ficheros. 92

99 CHAPTER 4. EBOX OFFICE Otras eboxes pueden ser configuradas para usar un maestro como fuente de sus usuarios, convirtiéndose así en directorios esclavos. Para hacer esto, se debe seleccionar el modo esclavo en Usuarios y Grupos Modo. La configuración del esclavo necesita dos datos más, la IP o nombre de máquina del directorio maestro y su clave de LDAP. Esta clave no es la de ebox, sino una generada automáticamente al activar el módulo usuarios y grupos. Su valor puede ser obtenido en el campo Contraseña de la opción de menú Usuarios y Grupos Datos LDAP en la ebox maestra. Hay un requisito más antes de registrar una ebox esclava en una ebox maestra. El maestro debe de ser capaz de resolver el nombre de máquina del esclavo utilizando DNS. Hay varias maneras de conseguir esto. La más sencilla es añadir una entrada para el esclavo en el fichero /etc/hosts del maestro. Otra opción es configurar el servicio DNS en ebox, incluyendo el nombre de máquina del esclavo y la dirección IP. Si el módulo cortafuegos está habilitado en la ebox maestra, debe ser configurado de manera que permita el tráfico entrante de los esclavos. Por defecto, el cortafuegos prohíbe este tráfico, por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir. 93

100 ebox 1.4 para Administradores de Redes Una vez todos los parámetros han sido establecidos y el nombre de máquina del esclavo puede ser resuelto desde el maestro, el esclavo puede registrarse en la ebox maestra habilitando el módulo de usuarios y grupos en Estado de los módulos. Los esclavos crean una réplica del directorio maestro cuando se registran por primera vez, que se mantiene actualizada automáticamente cuando se añaden nuevos usuarios y grupos. Se puede ver la lista de esclavos en el menú Usuarios y grupos Estado de los esclavos de la ebox maestra. Los módulos que utilizan usuarios como por ejemplo correo y compartición de ficheros pueden instalarse ahora en los esclavos y utilizarán los usuarios disponibles en la ebox maestra. Algunos módulos necesitan que se ejecuten algunas acciones cuando se añaden usuarios, como por ejemplo compartición de ficheros, que necesita crear los directorios de usuario. Para hacer esto, el maestro notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados, dando la oportunidad a los esclavos de ejecutar las acciones apropiadas. Puede haber problemas ejecutando estas acciones en ciertas circunstancias, por ejemplo si uno de los esclavos está apagado. En ese caso, el maestro recordará que hay acciones pendientes que deben realizarse y lo reintentará periódicamente. El usuario puede comprobar también el estado de los esclavos en Usuarios y Grupos Estado de Esclavo y forzar el reintento de las acciones manualmente. Desde esta sección también es posible borrar un esclavo. Hay una importante limitación en la arquitectura maestro/esclavo actual. El maestro ebox no puede tener instalados módulos que dependan de usuarios y grupos, como por ejemplo compartición de ficheros o correo. Si el maestro tiene alguno de estos módulos instalados, deben ser desinstalados antes de intentar registrar un esclavo en él. Si en algún momento se desea cambiar el modo de operación del módulo usuarios y grupos, se puede hacer ejecutando el script: 94

101 CHAPTER 4. EBOX OFFICE # sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall Cuando se ejecuta elimina completamente el contenido del directorio LDAP, borrando todos los usuarios y grupos actuales y reinstalando desde cero un directorio vacío que puede ser configurado en un modo diferente. Creación de usuarios y grupos Se puede crear un grupo desde el menú Usuarios y Grupos Grupos. Un grupo se identifica por su nombre, y puede contener una descripción. A través de Usuarios y Grupos Grupos se pueden ver todos los grupos existentes para poder editarlos o borrarlos. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen al grupo, además de la información que tiene que ver con aquellos módulos de ebox instalados que poseen alguna configuración específica para los grupos de usuarios. 95

102 ebox 1.4 para Administradores de Redes Entre otras cosas con grupos de usuarios es posible: Disponer de un directorio compartido entre los usuarios de un grupo. Dar permisos sobre una impresora a todos los usuarios de un grupo. Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo. Asignar permisos de acceso a las distintas aplicaciones de egroupware a todos los usuarios de un grupo. Los usuarios se crean desde el menú Usuarios y Grupos Usuarios, donde tendremos que rellenar la siguiente información: Nombre de usuario: Nombre que tendrá el usuario en el sistema, será el nombre que use para identificarse en los procesos de autenticación. Nombre: Nombre del usuario. Apellidos: Apellidos del usuario. Comentario: Información adicional sobre el usuario. Contraseña: Contraseña que empleará el usuario en los procesos de autenticación. Esta información se tendrá que dar dos veces para evitar introducirla incorrectamente. Grupo: Es posible añadir el usuario a un grupo en el momento de su creación. Desde Usuarios y Grupos Usuarios se puede obtener un listado de los usuarios, editarlos o eliminarlos. 96

103 CHAPTER 4. EBOX OFFICE Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre del usuario, además de la información que tiene que ver con aquellos módulos de ebox instalados que poseen alguna configuración específica para los usuarios. También se puede modificar la lista de grupos a los que pertenece. Editando un usuario es posible: Crear una cuenta para el servidor Jabber. Crear una cuenta para la compartición de ficheros o de PDC con una cuota personalizada. Dar permisos al usuario para usar una impresora. Crear una cuenta de correo electrónico para el usuario y aliases para la misma. Asignar permisos de acceso a las distintas aplicaciones de egroupware. Asignar una extensión telefónica a dicho usuario. 97

104 ebox 1.4 para Administradores de Redes En una configuración maestro-esclavo, los campos básicos de usuarios y grupos se editan desde el maestro, mientras que el resto de atributos relacionados con otros módulos instalados en un esclavo dado se editan desde el mismo. Rincón del Usuario Los datos del usuario sólo pueden ser modificados por el administrador de ebox lo cual comienza a ser no escalable cuando el número de usuarios que se gestiona comienza a ser grande. Tareas de administración como cambiar la contraseña de un usuario puede hacer perder la mayoría del tiempo del encargado de dicha labor. De ahí surge la necesidad del nacimiento del rincón del usuario. Dicho rincón es un servicio de ebox para permitir cambiar a los usuarios sus datos. Esta funcionalidad debe ser habilitada como el resto de módulos. El rincón del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema. El usuario puede entrar en el rincón del usuario a través de: Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configuración personal. Por ahora, la funcionalidad que se presenta es la siguiente: Cambiar la contraseña actual. Configuración del buzón de voz del usuario. Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en ebox. 98

105 CHAPTER 4. EBOX OFFICE Ejemplo práctico A Crear un grupo en ebox llamado contabilidad. Para ello: 1. Acción: Activar el módulo usuarios y grupos. Entrar en Estado de los módulos y activar el módulo en caso de que no esté habilitado. Efecto: El módulo está activado y listo para ser usado. 2. Acción: Acceder a Usuarios y Grupos Grupos. Añadir contabilidad como grupo. El parámetro comentario es opcional. Efecto: El grupo contabilidad ha sido creado. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato. Ejemplo práctico B Crear el usuario pedro y añadirlo al grupo contabilidad. Para ello: 1. Acción: Acceder a Usuarios Añadir usuario. Rellenar los distintos campos para nuestro nuevo usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pantalla. Efecto: El usuario ha sido añadido al sistema y al grupo contabilidad. Comprobar desde consola que hemos añadido a nuestro usuario correctamente: 99

106 ebox 1.4 para Administradores de Redes 1. Acción: Ejecutar en la consola el comando: # id pedro Efecto: El resultado debería de ser algo como esto: uid=2003(pedro) gid=1901( USERS ) groups=1901( USERS ),2004(contabilidad) 4.2 Servicio de compartición de ficheros y de autenticación Compartición de ficheros La compartición de ficheros se realiza a través de un sistema de ficheros en red. Los principales sistemas existentes para ello son Network File System (NFS), de Sun Microsystems, que fue el primero en crearse, Andrew File System (AFS) y Common Internet File System (CIFS) también conocido como Server Message Block (SMB). A los clientes se les da la abstracción de estar haciendo operaciones (creación, lectura, escritura) sobre ficheros en un medio de almacenamiento de la misma máquina. Sin embargo, esta información puede estar dispersa en diferentes lugares, siendo por tanto transparente en cuanto a su localización. Idealmente, el cliente no debería saber si el fichero se almacena en la propia máquina o se dispersa por la red. En realidad, eso no es posible debido a los retardos de la red y las cuestiones relacionadas con la actualización concurrente de ficheros comunes y que no deberían interferir entre ellas SMB/CIFS y su implementación Linux Samba El SMB (Server Message Block) o CIFS (Common Internet File System) se usa para compartir el acceso a ficheros, impresoras, puertos serie y otra serie de comunicaciones entre nodos en una red local. También ofrece mecanismos de autenticación entre procesos. Se usa principalmente entre ordenadores Windows, sin embargo, existen implementaciones en otros sistemas operativos como GNU/Linux a través de Samba que implementa los protocolos de los sistemas Windows utilizando ingeniería inversa 4. 4 La ingeniería inversa trata de averiguar los protocolos de comunicación usando para ello únicamente sus mensajes. 100

107 CHAPTER 4. EBOX OFFICE Ante el auge de otros sistemas de compartición de ficheros, Microsoft decidió renombrar SMB a CIFS añadiendo nuevas características como enlaces simbólicos y fuertes, mayores tamaños para los ficheros y evitar el uso de NetBIOS 5 sobre el que SMB se basa Primary Domain Controller (PDC) Un PDC es un servidor de dominios de versiones Windows NT previas a Windows Un dominio, según este entorno, es un sistema que permite el acceso restringido a una serie de recursos con el uso de un única combinación nombre de usuario y contraseña. Por tanto, es posible utilizarlo para permitir la entrada en el sistema con control de acceso remoto. PDC también ha sido recreado por Samba dentro del sistema de autenticación de SMB. En las versiones más modernas de Windows ha pasado a denominarse simplemente Domain Controller ebox como servidor de ficheros Nosotros nos vamos a aprovechar de la implementación de SMB/CIFS para Linux usando Samba como servidor de ficheros y de autenticación de sistemas operativos Windows en ebox. Los servicios de compartición de ficheros están activos cuando el módulo de Compartición de ficheros esté activo, sin importar si la función de PDC esté activa. Con ebox la compartición de ficheros está integrada con los usuarios y grupos. De tal manera que cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios. El directorio personal de cada usuario es compartido automáticamente y solo puede ser accedido por el correspondiente usuario. También se puede crear un directorio compartido para un grupo desde Grupos Editar grupo. Todos los miembros del grupo tendrán acceso a ese directorio y podrán leer o escribir los ficheros y directorios dentro de dicho directorio compartido. 5 NetBIOS (Network Basic Input/Output System): API que permite la comunicación en una red de área local entre ordenadores diferentes dando a cada máquina un nombre NetBIOS y una dirección IP correspondiente a un (posiblemente diferente) nombre de máquina. 101

108 ebox 1.4 para Administradores de Redes Ir a Compartir Ficheros Configuración general para configurar los parámetros generales del servicio de compartición de ficheros. Establecemos como dominio dónde se trabajará dentro de la red local dentro de Windows, y como nombre NetBIOS el nombre que identificará a ebox dentro de la red Windows. Se le puede dar una descripción larga para describir el dominio. Además se puede establecer de manera opcional un límite de cuota. Con el Grupo Samba se puede opcionalmente configurar un grupo exclusivo en el que sus usuarios tenga cuenta de compartición de ficheros en vez de todos los usuarios, la sincronización se hace cada hora. Para crear un directorio compartido, se accede a Compartir Ficheros Directorios compartidos y se pulsa Añadir nuevo. Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuración. Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido. Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de ebox /home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema de ficheros. 102

109 CHAPTER 4. EBOX OFFICE Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los elementos compartidos. Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en Añadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio. También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer todos los ficheros en el directorio. Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se pueden añadir excepciones en la sección Recursos excluidos de la Papelera de Reciclaje. También se pueden modificar algunos otros valores por defecto para esta característica, como por ejemplo el nombre del directorio, editando el fichero /etc/ebox/80samba.conf. 103

110 ebox 1.4 para Administradores de Redes En Compartir ficheros Antivirus existe también una casilla para habilitar o deshabilitar la búsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones para aquellos en los que no se desee buscar. Nótese que para acceder la configuración del antivirus para el módulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El módulo antivirus de ebox debe estar así mismo instalado y habilitado Configuración de clientes SMB/CIFS Una vez tenemos el servicio ejecutándose podemos compartir ficheros a través de Windows o GNU/Linux. Cliente Windows A través de Mis sitios de red Toda la red. Encontramos el dominio que hemos elegido y después aparecerá la máquina servidora con el nombre seleccionado y podremos ver sus recursos compartidos: 104

111 CHAPTER 4. EBOX OFFICE Cliente Linux 1. Konqueror (KDE) En Konqueror basta con poner en la barra de búsqueda smb:// para ver la red de Windows en la que podemos encontrar el dominio especificado: 2. Nautilus (Gnome) 105

112 ebox 1.4 para Administradores de Redes En Nautilus vamos a Lugares Servidores de Red Red de Windows, ahí encontramos nuestro dominio y dentro del mismo el servidor ebox donde compartir los recursos. Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la navegación y para entrar en ellos se debe hacer directamente escribiendo la dirección en la barra de búsqueda. Por ejemplo, para acceder al directorio personal del usuario pedro, debería introducir la siguiente dirección: smb://<ip_de_ebox>/pedro 3. Smbclient Además de las interfaces gráficas, disponemos un cliente de línea de comandos que funciona de manera similar a un cliente FTP, con manejo de sesiones. Permite la descarga y subida de ficheros, recoger información sobre ficheros y directorios, etc. Un ejemplo de sesión puede ser el siguiente: $ smbclient -U joe // /joe > get ejemplo > put eaea > ls 106

113 CHAPTER 4. EBOX OFFICE > exit $ smbclient -U joe -L // / Domain=[eBox] OS=[Unix] Server=[Samba a-Debian] Sharename Type Comment _foo Disk _mafia Disk hp Printer br Printer IPC$ IPC IPC Service (ebox Samba Server) ADMIN$ IPC IPC Service (ebox Samba Server) joe Disk Home Directories Domain=[eBox] OS=[Unix] Server=[Samba a-Debian] Server Comment DME01 PC Verificaci ebox-smb3 ebox Samba Server WARP-T42 Workgroup Master ebox ebox-smb3 GRUPO_TRABAJO POINT INICIOMS WARHOL MSHOME SHINNER WARP WARP-JIMBO ebox como un servidor de autenticación Para aprovechar las posibilidades del PDC como servidor de autenticación y su implementación Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a través de Compartir ficheros Configuración General. 107

114 ebox 1.4 para Administradores de Redes Si la opción Perfiles Móviles está activada, el servidor PDC no sólo realizará la autenticación, sino que también almacenará los perfiles de cada usuario. Estos perfiles contienen toda la información del usuario, como sus preferencias de Windows, sus cuentas de correo de Outlook, o sus documentos. Cuando un usuario inicie sesión, recibirá del servidor PDC su perfil. De esta manera, el usuario dispondrá de su entorno de trabajo en varios ordenadores. Hay que tener en cuenta antes de activar esta opción que la información de los usuarios puede ocupar varios GiB de información, el servidor PDC necesitará espacio de disco suficiente. También se puede configurar la letra del disco al que se conectará el directorio personal del usuario tras autenticar contra el PDC en Windows. Es posible definir políticas para las contraseñas de los usuarios a través de Compartir ficheros PDC. Estas políticas suelen ser forzadas por la ley. Longitud mínima de contraseña. Edad máxima de contraseña. Dicha contraseña deberá renovarse tras superar los días configurados. Forzar historial de contraseñas. Esta opción forzará a almacenar un máximo de contraseñas, impidiendo que puedan ser repetidas en sucesivas modificaciones. Estas políticas son únicamente aplicables cuando se cambia la contraseña desde Windows con una máquina que está conectada a nuestro dominio. De hecho, Windows forzará el cumplimiento de dicha política al entrar en una máquina registrada en el dominio. 108

115 CHAPTER 4. EBOX OFFICE Configuración de clientes PDC Para poder configurar la autenticación PDC en una máquina, se necesita utilizar una cuenta que tenga privilegios de administrador en el servidor PDC. Esto se configura en Usuarios y Grupos Usuarios Cuenta de compartición de ficheros o de PDC. Adicionalmente, se puede establecer una Cuota de disco. Ahora vamos a otra máquina dentro de la misma red de área local (hay que tener en cuenta que el protocolo SMB/CIFS funciona en modo difusión total) con un Windows capaz de trabajar con CIFS (Ej. Windows XP Professional). Allí, en Mi PC Propiedades, lanzamos el asistente para asignar una Id de red a la máquina. En cada pregunta se le da como nombre de usuario y contraseña la de aquel usuario al que hemos dado privilegios de administrador, y como dominio el nombre de dominio escrito en la configuración de Compartir Ficheros. El nombre de la máquina puede ser el mismo que estaba, siempre y cuando no colisione con el resto de equipos a añadir al dominio. Tras finalizar el asistente, se debe reiniciar la máquina. 109

116 ebox 1.4 para Administradores de Redes Una vez hemos entrado con uno de los usuarios, podemos entrar en Mi PC y aparecerá una partición de red con una cuota determinada en la configuración de ebox. 4.3 Servicio de compartición de impresoras Para compartir una impresora de nuestra red, permitiendo o denegando el acceso a usuarios y grupos para su uso, debemos tener accesibilidad a dicha impresora desde la máquina que contenga ebox ya por conexión directa, puerto paralelo o USB 6, o a través de la red local. Además debemos conocer información relativa al fabricante, modelo y controlador de la impresora si se quiere obtener un funcionamiento correcto. Una vez tenemos todos los datos previos, se puede añadir una impresora a través de Impresoras Añadir Impresora. Ahí se sigue un asistente en el que se irán introduciendo los datos necesarios para su incursión en función de los datos entrantes. En primer lugar, se establece un nombre significativo para la impresora y se configura el método de conexión. Este método depende del modelo de impresora y de cómo esté conectada a nuestra red. Los siguiente métodos de conexión están soportados por ebox: 6 Universal Serial Bus (USB) es un bus serie estándar para comunicación de dispositivos con la computadora. 110

117 CHAPTER 4. EBOX OFFICE Puerto paralelo: Una impresora conectada al servidor ebox mediante el puerto paralelo del mismo. USB: Una impresora conectada al servidor ebox mediante el puerto USB. AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. A este protocolo también se le conoce con el nombre de JetDirect. IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse. LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse. Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo Samba o Windows. En función del método seleccionado, se deben configurar los parámetros de la conexión. Por ejemplo, para una impresora en red, se debe establecer la dirección IP y el puerto de escucha de la misma como muestra la imagen. Posteriormente, en los siguientes cuatro pasos se debe delimitar qué controlador de impresora debe usar ebox para transmitir los datos a imprimir, estableciendo el fabricante, modelo, controlador de impresora a utilizar y sus parámetros de configuración. 7 Internet Printing Protocol (IPP) es un protocolo de red para la impresión remota y para la gestión de cola de impresión. Más información en RFC Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresión remota y el envío de trabajos usando spooling a las impresoras para los sistemas Unix. Más información en RFC

118 ebox 1.4 para Administradores de Redes Una vez finalizado el asistente, ya tenemos la impresora configurada. Por tanto, podremos observar qué trabajos de impresión están pendientes o en proceso. También tendremos la posibilidad de modificar alguno de los parámetros introducidos en el asistente a través de Impresoras Gestionar impresoras. Las impresoras gestionadas por ebox son accesibles mediante el protocolo Samba. Adicionalmente podremos habilitar el demonio de impresión CUPS 9 que hará accesibles las impresoras mediante IPP. 9 Common Unix Printing System (CUPS) es un sistema modular de impresión para sistemas Unix que permiten a una máquina actuar de servidor de impresión, lo cual permite aceptar trabajos de impresión, su procesamiento y envío a la impresora adecuada. 112

119 CHAPTER 4. EBOX OFFICE Figure 4.1: Gestión de impresoras Si una impresora no está soportada por ebox, es decir, que ebox no dispone de los controladores necesarios para gestionar dicha impresora, hay que usar CUPS en su defecto. Para añadir una impresora por CUPS hay que habilitar su demonio de impresión como se muestra en la figura Gestión de impresoras con Habilitar CUPS. Una vez se ha habilitado, se puede configurar a través de: Una vez añadida la impresora a través de CUPS, ebox es capaz de exportarla usando el protocolo de Samba para ello. Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a dichos recursos a través de la edición del grupo o del usuario (Grupos Editar Grupo Impresoras o Usuarios Editar Usuario Impresoras). 113

120 ebox 1.4 para Administradores de Redes 4.4 Servicio de groupware El groupware, también conocido como software colaborativo, es el conjunto de aplicaciones que integran el trabajo de distintos usuarios en proyectos comunes. Cada usuario puede conectarse al sistema desde distintas estaciones de trabajo de la red local o también desde cualquier punto del mundo a través de Internet. Algunas de las funciones más destacadas de las herramientas de groupware son: Comunicación entre los usuarios: correo, salas de chat, etc. Compartición de información: calendarios compartidos, listas de tareas, libretas de direcciones comunes, base de conocimiento, compartición de ficheros, noticias, etc. Gestión de proyectos, recursos, tiempo, bugtracking, etc. 114

121 CHAPTER 4. EBOX OFFICE Existen en el mercado una gran cantidad de soluciones de groupware. Entre las opciones que nos ofrece el Software Libre, una de las más populares es egroupware 10 y es la seleccionada para ebox Platform para implementar esta funcionalidad tan importante en el ámbito empresarial. Con ebox Platform la puesta a punto de egroupware es muy sencilla. El objetivo es que el usuario no tenga que acceder a la configuración tradicional que ofrece egroupware y pueda realizarlo prácticamente todo desde el interfaz de ebox, salvo que necesite alguna personalización avanzada. De hecho la contraseña para la configuración de egroupware es auto-generada 11 por ebox y el administrador debería usarla bajo su responsabilidad dado que si realiza una acción inapropiada el módulo podría quedar mal configurado y en un estado inestable Configuración de servicio de groupware con ebox La mayor parte de la configuración de egroupware se realiza automáticamente al habilitar el módulo y guardar los cambios. Sin requerir ninguna intervención adicional del usuario, egroupware estará en funcionamiento integrado con el servicio de directorio (LDAP) de ebox. Es decir, todos los usuarios que sean añadidos en ebox a partir de ese momento podrán iniciar sesión en egroupware sin requerir ninguna otra acción especial. Adicionalmente, podemos integrar el servicio de correo web (webmail) que egroupware nos proporciona con el módulo de correo de ebox. Para ello lo único que hay que hacer es seleccionar un dominio virtual previamente existente y tener habilitado el servicio de recepción de correo IMAP. Las instrucciones relativas a la creación de un dominio de correo y configuración del servicio IMAP se explican con detenimiento en el capítulo Servicio de correo electrónico (SMTP/POP3-IMAP4). Para la selección del dominio que usará egroupware accederemos a través de la pestaña Groupware Dominio Virtual de Correo. El interfaz se muestra en la siguiente imagen, sólo tenemos que seleccionar el dominio deseado y pulsar el botón Cambiar. Aunque como de costumbre esto no tendrá efecto hasta que no pulsemos el botón Guardar Cambios. 10 egroupware: An enterprise ready groupware software for your network 11 Nota para usuarios avanzados de egroupware: La contraseña se encuentra en el fichero /var/lib/ebox/conf/eboxegroupware.passwd y los nombres de usuario son admin y ebox para la configuración del encabezado y del dominio respectivamente. 115

122 ebox 1.4 para Administradores de Redes Para que nuestros usuarios puedan utilizar el servicio de correo tendrán que tener creadas sus respectivas cuentas en el mismo. En la imagen que se muestra a continuación (Usuarios y Grupos Usuarios) podemos ver que en la configuración de egroupware se muestra un aviso indicando cuál debe ser el nombre de la cuenta de correo para que pueda ser usada desde egroupware. egroupware se compone de varias aplicaciones, en ebox podemos editar los permisos de acceso de cada usuario asignándole una plantilla de permisos, como se puede ver en la imagen anterior. Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personalizadas. La plantilla de permisos por defecto es útil si queremos que la mayoría de los usuarios del sistema tengan los mismos permisos, de modo que cuando creemos un nuevo usuario no tengamos que preocuparnos de asignarle permisos, ya que éstos serán asignados automáticamente. Para editar la plantilla por defecto accederemos a la pestaña Groupware Aplicaciones predeterminadas, como se muestra en la imagen. 116

123 CHAPTER 4. EBOX OFFICE Para grupos reducidos de usuarios como es el caso de los administradores, podemos definir una plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios. Para definir una nueva plantilla debemos acceder a la pestaña Groupware Plantillas definidas por el usuario y pulsar en Añadir nueva. Una vez introducido el nombre deseado aparecerá en la tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas, de forma análoga a como se hace con la plantilla por defecto. Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto, los cambios sólo serán aplicados a los usuarios que sean creados a partir de ese momento. No se aplicarán de manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas 117

124 ebox 1.4 para Administradores de Redes por el usuario, si existiesen usuarios con esa plantilla aplicada habría que editar las propiedades del usuario y aplicarle nuevamente la misma plantilla después de modificarla. Finalmente, cuando hayamos configurado todo, podemos acceder a egroupware a través de la dirección utilizando el usuario y contraseña definidos en la interfaz de ebox. El manejo de egroupware está fuera del alcance de este manual, para cualquier duda se debe consultar el manual de usuario oficial de egroupware. Este se encuentra disponible en Internet en su página oficial y también está enlazado desde la propia aplicación una vez que estamos dentro. Ejemplo práctico Habilitar el módulo Groupware y comprobar su integración con el correo. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activa el módulo Groupware, para ello marca su casilla en la columna Estado. Nos informa de que se modificará la configuración de egroupware. Permitir la operación pulsando el botón Aceptar. Asegurarse de que se han habilitado previamiente los módulos de los que depende (Correo, Webserver, Usuarios...). Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo práctico. En dicho ejemplo también se añade un usuario con su cuenta de correo correspondiente. No son necesarios los pasos de ese ejemplo relativos a objetos o políticas de reenvío. Realizar sólo hasta el paso en que se añade el usuario. Efecto: El usuario creado tiene una cuenta de correo válida. 3. Acción: Acceder al menú Correo General y en la pestaña Opciones del servidor de correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar. 118

125 CHAPTER 4. EBOX OFFICE Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios. 4. Acción: Acceder al menú Groupware y en la pestaña Dominio Virtual de Correo seleccionar el dominio creado anteriormente y pulsar Cambiar. Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios. 5. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora egroupware se encuentra configurado correctamente para integrarse con nuestro servidor IMAP. 6. Acción: Acceder a la interfaz de egroupware ( con el usuario que hemos creado anteriormente. Acceder a la aplicación de correo electrónico de egroupware y enviar un correo a nuestra propia dirección. Efecto: Recibiremos el correo recién enviado en nuestro buzón de entrada. 119

126 120 ebox 1.4 para Administradores de Redes

127 Chapter 5 ebox Unified Communications En este apartado se van a ver los diferentes métodos de comunicación para compartir información centralizados en ebox y pudiendo acceder a todos ellos usando el mismo usuario y contraseña. En primer lugar, se explica el servicio de correo electrónico, que permite su integración rápida y sencilla con el cliente de correo habitual de los usuarios de la red, ofreciendo las últimas técnicas disponibles para la prevención del correo basura. En segundo lugar, el servicio de mensajería instántanea a través del estándar Jabber/XMPP. Este nos evita depender de empresas externas o de la conexión a Internet. Ofrece salas de conferencia comunes y permite, mediante la utilización de cualquiera de los múltiples clientes disponibles, una comunicación más rápida para los casos en que el correo no es suficiente. Finalmente, veremos una introducción a la voz sobre IP, con la que cada persona puede tener una extensión a la que llamar o hacer conferencias fácilmente. Adicionalmente, con un proveedor externo, ebox es capaz de configurarse para conectarse a la red telefónica tradicional. 5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4) El servicio de correo electrónico es un método de almacenamiento y envío 1 para la composición, emisión, reserva y recepción de mensajes sobre sistemas de comunicación electrónicos. 1 Almacenamiento y envío: Técnica de telecomunicación en la cual la información se envía a una estación intermedia que almacena y después envía la información a su destinatario o a otra estación intermedia. 121

128 ebox 1.4 para Administradores de Redes Cómo funciona el correo electrónico en Internet Figure 5.1: Diagrama correo electrónico Alice manda un correo a Bob El diagrama muestra una secuencia típica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la dirección de correo de su destinatario. 1. Su MUA da formato al mensaje en un formato de Internet para el correo electrónico y usa el protocolo Simple Mail Transfer Protocol (SMTP) que envía el mensaje a su agente de envío de correos o Mail Transfer Agent (MTA). 2. El MTA mira en la dirección destino dada por el protocolo SMTP (no de la cabecera del mensaje), en este caso bob@b.org, y hace una solicitud al servicio de nombres para saber la IP del servidor de correo del dominio del destino (registro MX que vimos en el capítulo donde se explicaba DNS). 3. El smtp.a.org envía el mensaje a mx.b.org usando SMTP, que almacena el mensaje en el buzón del usuario bob. 4. Bob obtiene el correo a través de su MUA, que recoge el correo usando el protocolo Post Office Protocolo 3 (POP3). Esta situación puede cambiar de diversas maneras. Por ejemplo, Bob puede usar otro protocolo de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios gratuitos de correo vía Web. 122

129 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Por tanto, podemos ver como el envío y recepción de correos entre servidores de correo se realiza a través de SMTP pero la obtención de correos por parte del usuario se realiza a través de POP3, IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. Lamentablemente, también existen protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM. POP3 vs. IMAP El diseño de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo a los usuarios recoger todo el correo de una vez para después verlo y manipularlo sin necesidad de estar conectado. Estos mensajes, normalmente, se borran del buzón del usuario en el servidor, aunque actualmente la mayoría de MUAs permiten mantenerlos. El más moderno IMAP, permite trabajar en línea o desconectado además de sólo borrar los mensajes depositados en el servidor de manera explícita. Adicionalmente, permite que múltiples clientes accedan al mismo buzón o lecturas parciales de mensajes MIME entre otras ventajas. Sin embargo, es un protocolo bastante complicado con más carga de trabajo en el lado del servidor que POP3, que relega dicho trabajo en el cliente. Las ventajas principales de IMAP sobre POP3 son: Modo de operación conectado y desconectado. Varios clientes a la vez conectados al mismo buzón. Descarga parcial de correos. Información del estado del mensaje usando banderas (leído, borrado, respondido,...). Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno de ellos públicos. Búsquedas en el lado del servidor. Mecanismos de extensión incluidos en el propio protocolo. Tanto POP3 como IMAP, tienen versiones seguras, llamadas respectivamente POP3S y IMAPS. La diferencia con la versión simple es que usan cifrado TLS por lo que el contenido de los mensajes no puede ser escuchado sin permiso. 123

130 ebox 1.4 para Administradores de Redes Configuración de un servidor SMTP/POP3-IMAP4 con ebox En el servicio de correo debemos configurar el MTA para enviar y recibir correos así como la recepción de correos por parte de MUAs vía IMAP o POP3. Para el envío/recepción de correos se usa Postfix 2 como servidor SMTP. Para el servicio de recepción de correos (POP3, IMAP) se usa Dovecot 3. Ambos con soporte para comunicación segura con SSL Recibiendo y retransmitiendo correo Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvío a otro servidor. La retransmisión de correo está restringida, de otra manera los spammers podrían usar el servidor para enviar spam en Internet. ebox permite la retransmisión de correo en dos casos: 1. usuarios autenticados 2. una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión permitida. Configuración general A través de Correo General Opciones del servidor de correo Autenticacion podemos gestionar las opciones de autenticacion. Están disponibles las siguientes opciones: TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptación del contenido por personas maliciosas. 2 Postfix The Postfix Home Page 3 Dovecot Secure IMAP and POP3 Server 124

131 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Exigir la autenticación: Este parámetro activa el uso de autenticación. Un usuario debe usar su dirección de correo y su contraseña para identificarse, una vez autenticado podrá retransmitir correo a través del servidor. No se puede usar un alias de la cuenta de correo para autenticarse. En la sección Correo General Opciones del servidor de correo Opciones se pueden configurar los parámetros generales del servicio de correo: Dirección del smarthost: Dirección IP o nombre de dominio del smarthost. También se puede establecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. El puerto por defecto, es el puerto estándar SMTP, 25. Si se establece esta opción ebox no enviará directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, 125

132 ebox 1.4 para Administradores de Redes ebox actuara como un intermediario entre el usuario que envía el correo y el servidor que enviará finalmente el mensaje. Autenticación del smarthost: Determinar si el smarthost requiere autenticación y si es así proveer un usuario y contraseña. Nombre de correo del servidor: Determina el nombre de correo del sistema, será usado por el servicio de correo como la dirección local del sistema. Dirección del postmaster: La dirección del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier dirección, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta está pensada para tener una manera estándar de contactar con el administrador de correo. Correos de notificación automáticos suelen usar postmaster como dirección de respuesta. Tamaño máximo de buzón: En esta opción se puede indica un tamaño máximo en MiB para los buzones del usuario. Todo el correo que exceda el limite será rechazado y el remitente recibirá una notificación. Esta opción puede sustituirse para cada usuario en la pagina Usuarios y Grupos -> Usuarios. Tamaño máximo aceptado para los mensajes: Señala, si es necesario, el tamaño máximo de mensaje aceptado por el smarthost en MiB. Esta opción tendrá efecto sin importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios. Periodo de expiración para correos borrados: Si esta opción está activada el correo en la carpeta de papelera de los usuarios será borrado cuando su fecha sobrepase el limite de días establecido. Periodo de expiración para correo de spam: Esta opción se aplica de la misma manera que la opción anterior pero con respecto a la carpeta de spam de los usuarios. Para configurar la obtención de los mensajes, hay que ir a la sección Servicios de obtención de correo. ebox puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras POP3S y IMAPS. En esta sección también pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarán a partir de la sección Obtención de correo desde cuentas externas. También se puede configurar ebox para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una política de reenvío con objetos de red de ebox a través de Correo General Política de retransmisión para objetos de red 126

133 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS basándonos en la dirección IP del cliente de correo origen. Si se permite el reenvío de correos desde dicho objeto, cualquier miembro de dicho objeto podrá enviar correos a través de ebox. Warning: Hay que tener cuidado con usar una política de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertirá en una fuente de spam. Finalmente, se puede configurar el servidor de correo para que use algún filtro de contenidos para los mensajes 4. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. A través de Correo General Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar ebox como servidor de filtrado. 4 En la sección Filtrado de correo electrónico se amplia este tema. 127

134 ebox 1.4 para Administradores de Redes Creación de cuentas de correo a través de dominios virtuales Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que proveen de nombre de dominio a las cuentas de correo de los usuarios de ebox. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente. Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros, acudimos a Usuarios y Grupos Usuarios Crear cuenta de correo. Es ahí donde seleccionamos el dominio virtual principal del usuario. Si queremos asignar al usuario a más de una cuenta de correo lo podemos hacer a través de los alias. Indiferentemente de si se ha usado un alias o no, el correo sera almacenado una única vez en el buzón del usuario. Sin embargo, no es posible usar un alias para autenticarse, se debe usar siempre la cuenta real. 128

135 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automáticamente una cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto > Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a través de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de grupo están sólo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo. Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias será retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas. Gestión de cola Desde Correo Gestión de cola podemos ver los correos que todavía no han sido enviados con la información acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). También hay dos botones que permiten borrar o reencolar todos los mensajes en la cola. 129

136 ebox 1.4 para Administradores de Redes Obtención de correo desde cuentas externas Se puede configurar ebox para recoger correo de cuentas externas y enviarlo a los buzones de los usuarios. Para ello, deberás activar en la sección Correo General Opciones del servidor de corre Servicios de obtención de correo. Una vez activado, los usuarios tendrán sus mensajes de correo de sus cuentas externas recogido en el buzón de su cuenta interna. Cada usuario puede configurar sus cuentas externas a través del rincón del usuario 5. El usuario debe tener una cuenta de correo para poder hacerlo. Los servidores externos son consultados periódicamente, así que la obtención del correo no es instantánea. Para configurar sus cuentas externas, un usuario debe entrar en el Rincón del Usuario y hacer clic en Recuperar correo de cuentas externas en el menú izquierdo. En la pagina se muestra la lista de cuentas de correo del usuario, el usuario puede añadir, borrar y editar cuentas. Cada cuenta tiene los siguientes parámetros: Cuenta externa: El nombre de usuario o dirección de correo requerida para identificarse en el servicio externo de recuperación de correo. Contraseña: Contraseña para autenticar la cuenta externa. Servidor de correo: Dirección del servidor de correo que hospeda a la cuenta externa. Protocolo: Protocolo de recuperación de correo usado por la cuenta externa, puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS. Puerto: Puerto usado para conectar al servidor de correo externo. Para obtener el correo externo, ebox usa el programa Fetchmail 6. 5 La configuración del rincón del usuario se explica en la sección Rincón del Usuario. 6 Fetchmail The Fetchmail Home Page 130

137 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Lenguaje Sieve y protocolo ManageSieve El lenguaje Sieve 7 permite el control al usuario de cómo su correo es recibido, permitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o el uso de un mensaje por ausencia prolongada (o vacaciones). ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo 8. Para usar ManageSieve en ebox, debes activar el servicio en Correo General Opciones de servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarios con cuenta de correo. Si ManageSieve está activado y el módulo de correo web 9 en uso, el interfaz de gestión para scripts Sieve estará disponible en el correo web. La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve está activado o no. Configuración del cliente de correo A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o a través de la aplicación de correo de groupware, deberán configurar su cliente de correo para usar el servidor de correo de ebox. El valor de los parámetros necesarios dependerán de la configuración del servicio de correo. Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nombres para estos parámetros, por lo que debido a la multitud de clientes existente esta sección es meramente orientativa Parámetros SMTP Servidor SMTP: Introducir la dirección del servidor ebox. La dirección puede ser descrita como una dirección IP o como nombre de dominio. Puerto SMTP: 25, si usas TLS puedes usar en su lugar el puerto Para mas información sobre Sieve 8 Para tener una lista de clientes Sieve 9 El módulo de correo web (webmail) se explica en el capítulo Servicio de correo web. 131

138 ebox 1.4 para Administradores de Redes Conexión segura: Seleccionar TLS si tienes activada la opción TLS para el servidor SMTP, en otro caso seleccionar ninguna. Si se usa TLS lee la advertencia aparece más adelante sobre TLS/SSL. Usuario SMTP: Como nombre de usuario se debe usar la dirección de correo completa del usuario, no uses su nombre de usuario o alguno de sus alias de correo. Esta opción sólo es obligatoria si está habilitado el parámetro Exigir autenticación. Contraseña SMTP: La contraseña del usuario Parámetros POP3 Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en ebox. Servidor POP3: Introducir la dirección de ebox de la misma manera que la sección de parámetros SMTP. Puerto POP3: 110 o 995 en el caso de usar POP3S. Conexión segura: Selecciona SSL en caso de que se use POP3S, ninguno si se usa POP3. Si se utiliza POP3S, ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL. Usuario POP3: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contraseña POP3: La contraseña del usuario Parámetros IMAP Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo. Servidor IMAP: Introducir la dirección de ebox de la misma manera que la sección de parámetros SMTP. Puerto IMAP: 443 o 993 en el caso de usar IMAPS. Conexión segura: Seleccionar SSL en caso de que se use IMAPS, ninguno si se utiliza IMAP. Si se usa IMAPS, leer la advertencia que aparece más adelante sobre TLS/SSL. Usuario IMAP: Dirección de correo completa del usuario, no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Contraseña IMAP: La contraseña del usuario. 132

139 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Warning: En las implementaciones de los clientes de correo a veces hay confusión sobre el uso de los protocolos SSL y TLS. Algunos clientes usan SSL para indicar que van a conectar con TLS, otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto tradicionalmente usado por las versiones del protocolo en claro. De hecho, en algunos clientes hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona correctamente. Tienes mas información sobre este asunto en el wiki de Dovecot, Parámetros para ManageSieve Para conectar a ManageSieve, se necesitan los siguientes parámetros: Servidor Sieve: El mismo que tu servidor IMAP o POP3. Puerto: 4190, hay que tener en cuenta que algunas aplicaciones usan, por error el puerto número 2000 como puerto por defecto para ManageSieve. Conexión segura: Activar esta opción. Nombre de usuario: Dirección de correo completa, como anteriormente evitar el nombre de usuario o cualquiera de sus alias de correo. Contraseña: Contraseña del usuario. Algunos clientes permiten indicar que se va a usar la misma autenticación que para IMAP o POP, si esto es posible, hay que seleccionar dicha opción. Cuenta para recoger todo el correo Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. En ebox se permite definir una de estas cuentas por cada dominio; para establecerla se debe ir a la pagina Correo Dominios Virtuales y después hacer clic en la celda Opciones. Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO ó BCC) a la dirección definida. Si la dirección rebota el correo, será devuelto al remitente. 133

140 ebox 1.4 para Administradores de Redes Ejemplo práctico Crear un dominio virtual para el correo. Crear una cuenta de usuario y una cuenta de correo en el dominio creado para dicho usuario. Configurar la retransmisión para el envío de correo. Enviar un correo de prueba con la cuenta creada a una cuenta externa. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activa el módulo Correo, para ello marca su casilla en la columna Estado. Habilitar primero los módulos Red y Usuarios y grupos si no se encuentran habilitados con anterioridad. Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Acceder al menú Correo Dominio Virtual, pulsar Añadir nuevo, introducir un nombre para el dominio y pulsar el botón Añadir. Efecto: ebox nos notifica de que debemos salvar los cambios para usar el dominio. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. Ahora ya podemos usar el dominio de correo que hemos añadido. 5. Acción: Acceder a Usuarios y Grupos Usuarios Añadir usuario, rellenar sus datos y pulsar el botón Crear. Efecto: El usuario se añade inmediatamente sin necesidad de salvar cambios. Aparece la pantalla de edición del usuario recién creado. 6. Acción: (Este paso sólo es necesario si has deshabilitado la opción de crear cuentas de correo automáticamente en Usuarios y Grupos > Plantilla de Usuario por defecto > Cuenta de correo). Escribir un nombre para la cuenta de correo del usuario en la sección Crear cuenta de correo y pulsar el botón Crear. Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella. 134

141 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS 7. Acción: Acceder al menú Objetos Añadir nuevo. Escribir un nombre para el objeto y pulsar Añadir. Pulsar el icono de Miembros del objeto creado. Escribir de nuevo un nombre para el miembro, introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar Añadir. Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz de ebox, pero no será persistente hasta que se guarden cambios. 8. Acción: Acceder a Correo General Política de reenvío sobre objetos. Seleccionar el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir reenvío y pulsar el botón Añadir. Efecto: El botón Guardar Cambios estará activado. 9. Acción: Guardar los cambios. Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado, que permitirá el envío de correos al exterior para ese origen. 10. Acción: Configurar el cliente de correo seleccionado para que use ebox como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa. Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el buzón de la cuenta externa. 11. Acción: Comprobar en el servidor de correo a través del fichero de registro /var/log/mail.log como el correo se ha enviado correctamente. 5.2 Servicio de correo web El servicio de correo web permite a los usuarios leer y enviar correo a través de un interfaz web ofrecida por el servidor de correo. Sus principales ventajas son que el usuario no tiene que configurar nada. Y que puede acceder a su correo desde cualquier navegador web que pueda alcanzar al servidor. Sus desventajas son que la experiencia de usuario suele ser más pobre que con un programa de correo de escritorio y que se debe permitir el acceso web al servidor de correo. Además, incrementa la carga del servidor para mostrar los mensajes de correo, este trabajo se realiza en el cliente con el software tradicional de gestión de correo electrónico. ebox usa Roundcube para implementar este servicio Roundcube webmail 135

142 ebox 1.4 para Administradores de Redes Configurando el correo web en ebox El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de ebox. Sin embargo, requiere que el módulo de correo esté configurado para usar IMAP, IMAPS o ambos además de tener el módulo webserver habilitado. Si no lo está, el servicio rehusará activarse. Opciones del correo web Podemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo. Se puede establecer el titulo que usará el correo web para identificarse, este titulo se mostrará en la pantalla de entrada y en los títulos HTML de pagina. Entrar en el correo web Para entrar en el correo web, primero necesitaremos que el tráfico HTTP desde la dirección usada para conectar esté permitido por el cortafuegos. La pantalla de entrada del correo web está disponible en del servidor]/webmail desde el navegador. A continuación, se debe introducir su dirección de correo y su contraseña. Los alias no funcionarán, por tanto se debe usar la dirección real. 136

143 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Filtros SIEVE El correo web también incluye una interfaz para administrar filtros SIEVE. Esta interfaz sólo está disponible si el protocolo ManageSIEVE está activo en el servicio de correo. 5.3 Servicio de mensajería instantánea (Jabber/XMPP) Las aplicaciones de mensajería instantánea permiten gestionar una lista de personas con las que uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicación asíncrona proporcionada por el correo electrónico en una comunicación síncrona en la que los participantes pueden comunicarse en tiempo real. Además de la conversación básica permite otras prestaciones como: Salas de conversación. Transferencia de ficheros. Actualizaciones de estado (por ejemplo: ocupado, al teléfono, ausente). Pizarra compartida que permite ver y mostrar dibujos a los contactos. Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción de mensajes). En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ, AIM, MSN o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y propietario. Sin embargo, también existe Jabber/XMPP que es un conjunto de protocolos y tecnologías que permiten el desarrollo de sistemas de mensajería distribuidos. Estos protocolos son públicos, abiertos, flexibles, extensibles, distribuidos y seguros. Aunque todavía sigue en proceso de estandarización, ha sido adoptado por Cisco o Google (para su servicio de mensajería Google Talk) entre otros. ebox usa Jabber/XMPP como protocolo de mensajería instantánea, integrando los usuarios con las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPP en ebox. 11 jabberd2 - servidor XMPP < 137

144 ebox 1.4 para Administradores de Redes Configuración de un servidor Jabber/XMPP con ebox Para configurar el servidor Jabber/XMPP en ebox, primero debemos comprobar en Estado del Módulo si el módulo Usuarios y Grupos está habilitado, ya que Jabber depende de él. Entonces marcaremos la casilla Jabber para habilitar el módulo de ebox de Jabber/XMPP. Figure 5.2: Configuración general del servicio Jabber Para configurar el servicio, accederemos a Jabber en el menú izquierdo, definiendo los siguientes parámetros: Nombre de dominio: Especifica el nombre de dominio del servidor. Esto hará que las cuentas de los usuarios sean de la forma usuario@dominio. Tip: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes. Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. Si por el contrario queremos un servidor privado, sólo para nuestra red interna, deberá dejarse desmarcada. Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para más de dos usuarios). Tip: las salas de conferencias residen bajo el dominio conference.dominio que como el Nombre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes también. 138

145 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Soporte SSL: Especifica si las comunicaciones (autentificación y mensajes) con el servidor serán cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se especifique si se quiere usar SSL. Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Añadir usuario si queremos crear una nueva cuenta o a Usuarios Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente. Figure 5.3: Configuración de cuenta Jabber de un usuario Como se puede ver, aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar si la cuenta está activada o desactivada. Además, podemos especificar si el usuario en cuestión tendrá privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un anuncio a todos los usuarios conectados (broadcast) Configuración de un cliente Jabber Para ilustrar la configuración de un cliente Jabber, vamos a usar Pidgin y Psi, aunque en caso de utilizar otro cliente distinto, los pasos a seguir serían muy similares. Pidgin Pidgin 12 es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. Además de Jabber/XMPP, Pidgin soporta muchos otros protocolos como IRC, ICQ, AIM, MSN y Yahoo!. 12 Pidgin, the universal chat client < 139

146 ebox 1.4 para Administradores de Redes Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic, pero todavía sigue siendo el cliente de mensajería más popular. Lo podemos encontrar en Internet Cliente de mensajería Internet Pidgin. Al arrancar Pidgin, si no tenemos ninguna cuenta configurada, nos aparecerá la ventana de gestión de cuentas tal como aparece en la imagen. Desde esta ventana podemos tanto añadir cuentas, como modificar y borrar las cuentas existentes. Pulsando el botón Añadir, aparecerán dos pestañas de configuración básica y avanzada. Para la configuración Básica de la cuenta Jabber, deberemos seleccionar en primer lugar el protocolo XMPP. El Nombre de usuario y Contraseña deberán ser los mismos que la cuenta Jabber tiene en ebox. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de ebox. Opcionalmente, en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros contactos. 140

147 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está marcado, así que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir autentificación en texto plano sobre hilos no cifrados. 141

148 ebox 1.4 para Administradores de Redes Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos aceptarlo o no. 142

149 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Psi Psi 13 es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero, Psi es código abierto y compatible con Windows, Linux y Mac OS X. Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen. Seleccionaremos Usar una cuenta existente. En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que es usuario@dominio y la Contraseña. Este usuario y contraseña deberán ser los mismos que la cuenta Jabber tiene en ebox. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de ebox. 13 Psi, The Cross-Platform Jabber/XMPP Client For Power Users < 143

150 ebox 1.4 para Administradores de Redes En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en ebox el Soporte SSL debemos cambiar Permitir autentificación en claro a Siempre. Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en el anterior paso. La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemos publicado nuestra información personal en el servidor. 144

151 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Opcionalmente, podremos publicar información sobre nosotros aquí. Una vez publicada, este error no aparecerá de nuevo Configurando salas de conferencia Jabber El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar mensajes en el contexto de una sala. Funcionalidades como asuntos, invitaciones, posibilidad de expulsar y prohibir la entrada a usuarios, requerir contraseña y muchas más están disponibles en las salas de Jabber. Para una especificación completa, comprueba el borrador XEP Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber del menú de ebox, el resto de la configuración se realiza desde los clientes Jabber. 14 La especificación de las salas de conversación Jabber/XMPP está disponible en < html>. 145

152 ebox 1.4 para Administradores de Redes Todo el mundo puede crear una sala en el servidor Jabber/XMPP de ebox y el usuario que la crea se convierte en el administrador para esa sala. Este administrador puede definir todos los parámetros de configuración, añadir otros usuarios como moderadores o administradores y destruir la sala. Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente. Por omisión, todas las salas se destruyen al poco después de que su último participante salga. Estas son llamadas salas dinámicas y es el método preferido para conversaciones de varios usuarios. Por otra parte, las salas persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos. En Pidgin para entrar en una sala hay que ir a Contactos > Entrar en una Sala... Aparecerá una ventana de Entrar en una Sala preguntando alguna información como el Nombre de la sala, el Servidor que debería ser conference.dominio, el Usuario y la Contraseña en caso de ser necesaria. El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar la Sala o Aceptar la Configuración por Omisión. En Configuración de la Sala podremos configurar todos los parámetros de la sala. Esta ventana de configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación. 146

153 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada estando la sala lista para su uso. En Psi para entrar en una sala deberemos ir a General > Entrar en una Sala. Una ventana de Entrar en una Sala aparecerá preguntando alguna información como el Servidor que deberá ser conference.dominio, el Nombre de la Sala, el Nombre de Usuario y la Contraseña en caso de ser necesaria. 147

154 ebox 1.4 para Administradores de Redes El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la configure. En la esquina superior derecha hay un botón que despliega un menú contextual dónde aparece la opción Configurar Sala. En Configuración de la Sala podremos configurar todos los parámetros de la sala. 148

155 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada estando la sala lista para su uso Ejemplo práctico Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que ebox y los clientes sean capaces de resolver. 1. Acción: Acceder a ebox, entrar en Estado del Módulo y activar el módulo Jabber. Cuando nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Añadir un dominio con el nombre que hayamos elegido y cuya dirección IP sea la de la máquina ebox, de la misma forma que se hizo en Ejemplo práctico B. Efecto: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP. 3. Acción: Acceder al menú Jabber. En el campo Nombre de dominio, escribir el nombre del dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios. Efecto: Se ha activado el botón Guardar Cambios. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servicio Jabber/XMPP ha quedado listo para ser usado. 149

156 ebox 1.4 para Administradores de Redes 5.4 Servicio de Voz sobre IP La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de protocolos para enviar la señal digital en paquetes en lugar de enviarla a través de circuitos analógicos conectados. Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes públicas como Internet. Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y datos, sin escatimar en calidad o fiabilidad. Los principales problemas que se encuentra la Voz IP en su despliegue sobre las redes de datos son el NAT 15 y las dificultades que tienen los protocolos para gestionarlo, y el QoS 16, la necesidad de ofrecer un servicio de calidad en tiempo real, considerando la latencia (tiempo que se tarda en llegar al destino), el jitter (la variación de la latencia) y el ancho de banda Protocolos Son varios los protocolos involucrados en la transmisión de voz, desde los protocolos de red como IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su transporte como para su señalización. Los protocolos de señalización en Voz IP desempeñan las tareas de establecimiento y control de la llamada. SIP, IAX2 y H.323 son protocolos de señalización. El protocolo de transporte de voz más utilizado es RTP (Realtime Transport Protocol) y su tarea es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha una vez establecida la llamada por los protocolos de señalización. SIP SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF 17 para la iniciación, modificación y finalización de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP. SIP solamente se encarga de la señalización funcionando sobre el puerto UDP/5060. La transmisión multimedia se realiza con RTP sobre el rango de puertos UDP/ Concepto que se explica en la sección Cortafuegos. 16 Concepto que se explica en la sección Moldeado de tráfico. 17 Internet Engineering Task Force desarrolla y promociona estándares de comunicaciones usados en Internet. 150

157 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS IAX2 IAX2 es la versión 2 del protocolo Inter Asterisk exchange creado para la interconexión de centralitas Asterisk 18. Las características más importantes de este protocolo es que la voz y la señalización va por el mismo flujo de datos y además éste puede ser cifrado. Esto tiene la ventaja directa de poder atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de comunicación simultáneos entre servidores. IAX2 funciona sobre el puerto UDP/ Códecs Un códec es un algoritmo que adapta (codificando en origen y descodificando en destino) una información digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y recuperándose de los errores en la transmisión. G.711, G.729, GSM y speex son códecs habituales dentro de la Voz IP. G.711: Es uno de los códecs más utilizados, con dos versiones, una americana (ulaw) y otra europea (alaw). Este códec ofrece buena calidad pero su consumo de ancho de banda es bastante significativo con 64kbps. Es el más habitual para la comunicación por voz en redes locales. G.729: Tiene una compresión mucho mayor usando solamente 8kbps siendo ideal para las comunicaciones a través de Internet. El inconveniente es que tiene algunas restricciones en su uso. GSM: Es el mismo códec que el usado en las redes de telefonía celular. La calidad de voz no es muy buena y usa 13kbps aproximadamente. speex: Es un códec libre de patentes diseñado para voz. Es muy flexible a pesar de consumir más tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz, 16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps Despliegue Veamos los elementos implicados en el despliegue de Voz IP: 18 Asterisk es un software para centralitas telefónicas que ebox usa para implementar el módulo de Voz IP < 151

158 ebox 1.4 para Administradores de Redes Teléfonos IP Son teléfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo a una red Ethernet en lugar del habitual RJ11 de las redes telefónicas. Introducen características nuevas como acceso a la agenda de direcciones, automatización de llamadas, etc. no presentes en los teléfonos analógicos convencionales. 152

159 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Adaptadores Analógicos También conocidos como adaptadores ATA (Analog Telephony Adapter), permiten conectar un teléfono analógico convencional a una red de datos IP y hacer que este funcione como un teléfono IP. Para ello dispone de un puerto de red de datos RJ45 y uno o más puertos telefónicos RJ11. Softphones Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin más hardware adicional que los propios altavoces y micrófono del ordenador. Existen multitud de aplicaciones para este propósito, para todas las plataformas y sistemas operativos. X-Lite y QuteCom (Wengo- Phone) están disponibles tanto para Windows y OSX como para GNU/Linux. Ekiga (GnomeMeeting) o Twinkle son nativas de este último. Centralitas IP A diferencia de la telefonía tradicional, dónde las llamadas pasaban siempre por la centralita, en la Voz IP los clientes (teléfonos IP o softphones) se registran en el servidor, el emisor pregunta por los datos del receptor al servidor, y entonces el primero realiza una llamada al receptor. En el establecimiento de la llamada negocian un códec común para la transmisión de la voz. Asterisk es una aplicación exclusivamente software que funciona sobre cualquier servidor habitual proporcionando las funcionalidades de una centralita o PBX (Private Branch exchange): conectar entre sí distintos teléfonos, a un proveedor de Voz IP, o bien a la red telefónica. También ofrece servicios como buzón de voz, conferencias, respuesta interactiva de voz, etc. 153

160 ebox 1.4 para Administradores de Redes Figure 5.4: Qutecom Figure 5.5: Twinkle 154

161 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Para conectar el servidor de la centralita Asterisk a la red telefónica analógica se usan unas tarjetas llamadas FXO (Foreign exchange Office) que permiten a Asterisk funcionar como si fuera un teléfono convencional y redirigir las llamadas a través de la red telefónica. Para conectar un teléfono analógico al servidor se debe usar una tarjeta FXS (Foreign exchange Station) así se pueden adaptar los terminales existentes a una nueva red de telefonía IP. Figure 5.6: Digium TDM422E FXO and FXS card Configuración de un servidor Asterisk con ebox El módulo de Voz IP de ebox permite gestionar un servidor Asterisk con los usuarios ya existentes en el servidor LDAP del sistema y con las funcionalidades más habituales configuradas de una forma sencilla. Como ya es habitual, en primer lugar deberemos habilitar el módulo. Iremos a la sección Estado del Módulo del menú de ebox y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el módulo Usuarios y Grupos deberá ser habilitado previamente ya que depende de él. A la configuración general del servidor se accede a través del menú Voz IP General, una vez allí sólo necesitamos configurar los siguientes parámetros generales: 155

162 ebox 1.4 para Administradores de Redes Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensión 400 podremos escuchar la música de espera, llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensión 600 se dispone de una prueba de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones nos permiten comprobar que nuestro cliente esta correctamente configurado. Habilitar llamadas salientes: Habilita las llamadas salientes a través del proveedor SIP que tengamos configurado para llamar a teléfonos convencionales. Para realizar llamadas a través del proveedor SIP tendremos que añadir un cero adicional antes del número a llamar, por ejemplo si queremos llamar a las oficinas de ebox Technologies ( , o mejor ), pulsaríamos Extensión de buzón de voz: Es la extensión donde podemos consultar nuestro buzón de voz. El usuario y la contraseña es la extensión adjudicada por ebox al crear el usuario o al asignársela por primera vez. Recomendamos cambiar la contraseña inmediatamente desde el Rincón del Usuario 19. La aplicación que reside en esta extensión nos permite cambiar el mensaje de bienvenida a nuestro buzón, escuchar los mensajes en él y borrarlos. Esta extensión solamente es accesible por los usuarios de nuestro servidor, no aceptará llamadas entrantes de otros servidores por seguridad. Dominio Voz IP: Es el dominio que se asignará a las direcciones de nuestros usuarios. Así pues un usuario usuario, que tenga una extensión 1122 podrá ser llamado a usuario@dominio.tld o 1122@dominio.tld. 19 El Rincón del Usuario se explica en la sección Rincón del Usuario. 156

163 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS En la sección de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor SIP para que ebox pueda redirigir las llamadas a través de él: Proveedor: Si estamos usando ebox VoIP Credit 20, seleccionaremos esta opción que preconfigurará el nombre del proveedor y el servidor. En otro caso usaremos Personalizado. Nombre: Es el identificador que se da al proveedor dentro de ebox. Nombre de usuario: Es el nombre de usuario del proveedor. Contraseña: Es la contraseña de usuario del proveedor. Servidor: Es el nombre de dominio del servidor del proveedor. Destino de las llamadas entrantes: Es la extensión interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor. En la sección de Configuración NAT definiremos la posición en la red de nuestra máquina ebox. Si tiene una IP pública la opción por defecto ebox está tras NAT: No es correcta. Si tiene una IP privada deberemos indicar a Asterisk cuál es la IP pública que obtenemos al salir a Internet. En caso de tener una IP pública fija simplemente la introduciremos en Dirección IP fija; si nuestra IP pública es dinámica tendremos que configurar el servicio de DNS dinámico (DynDNS) de ebox disponible en Red DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre de máquina dinámico. En la sección de Redes locales podremos añadir las redes locales a las que accedemos desde ebox sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados desde ebox como pudiera ser una red wireless. Esto es necesario debido al comportamiento del protocolo SIP en entornos con NAT. A la configuración de las conferencias se accede a través Voz IP Conferencias. Aquí podemos configurar salas de reunión multiconferencia. La extensión de estas salas deberá residir en el rango y podrán tener opcionalmente una contraseña de entrada, una contraseña administrativa y una descripción. A estas extensiones se podrá acceder desde cualquier servidor simplemente marcando extension@dominio.tld. Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de VozIP de este usuario y cambiar su extensión. Hay que tener en cuenta que una extensión sólamente puede asignarse a un usuario y no a más, si necesitas llamar a más de un usuario desde una extensión será necesario utilizar colas. 20 Puedes comprar ebox VoIP credit en nuestra tienda si tienes Professional o Enterprise Server Subscriptions. 157

164 158 ebox 1.4 para Administradores de Redes

165 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola es una extensión dónde al recibir una llamada, se llama a todos los usuarios que pertenecen a este grupo. Si queremos configurar la música de espera, colocaremos las canciones en formato MP3 en /var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg Configurando un softphone para conectar a ebox Ekiga (Gnome) Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome. Al lanzarlo por primera vez presenta un asistente para configurar datos personales del usuario, dispositivos de sonido y vídeo, la conexión a Internet y los servicios de Ekiga.net. Podemos omitir la configuración tanto de la cuenta en Ekiga.net como de Ekiga Call Out. 21 Ekiga: Free your speech < 159

166 ebox 1.4 para Administradores de Redes Desde Editar > Cuentas, seleccionando Cuentas > Añadir una cuenta SIP podremos configurar la cuenta de Voz IP de ebox Platform. Nombre: Es el identificador de la cuenta dentro de Ekiga. Servidor de registro: Es el nombre de dominio del servidor de Voz IP de ebox. Usuario y Usuario para autenticación: Son el nombre de usuario de ebox. Contraseña: Es la contraseña de usuario de ebox. Tras configurar la cuenta se intentará registrar en el servidor. Para realizar una llamada tan sólo hay que escribir el número o dirección SIP en la barra superior y llamar usando el icono del teléfono verde a la derecha. Para colgar se usa el icono del teléfono rojo a la derecha también. 160

167 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Qutecom (Multiplataforma) Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que está disponible en las tres plataformas más extendidas: Linux, OSX y Windows. También al lanzarlo por primera vez nos presentará un asistente para configurar la cuenta de Voz IP. Tenemos un teclado numérico o una lista de contactos para realizar llamadas. botones verde / rojo en la parte inferior para llamar y colgar. Se usan los 22 QuteCom: Free VOIP Softphone 161

168 ebox 1.4 para Administradores de Redes Usando las funcionalidades de ebox Voz IP Transferencia de llamadas La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversación, pulsando # y después introduciendo la extensión a dónde queremos reenviar la llamada podremos realizar una transferencia. En ese momento, podremos colgar ya que esta llamada estará marcando la extensión a donde ha sido transferida. Aparcamiento de llamadas El aparcamiento de llamadas se realiza sobre la extensión 700. Durante el transcurso de una conversación, pulsaremos # y después marcaremos 700. La extensión donde la llamada ha sido aparcada será anunciada a la parte llamada y quien estaba llamando comenzará a escuchar la música de espera, si está configurada. Podremos colgar en ese momento. Desde un teléfono distinto u otro usuario distinto marcando la extensión anunciada podremos recoger la llamada aparcada y restablecer la conversación. En ebox, el aparcamiento de llamadas soporta 20 conversaciones y el periodo máximo que una llamada puede esperar son 300 segundos. 162

169 CHAPTER 5. EBOX UNIFIED COMMUNICATIONS Ejemplo práctico Crear un usuario que tenga una cuenta de Voz IP. Cambiarle la extensión a Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo Voz IP marcando la casilla correspondiente en la columna Estado. Si Usuarios y Grupos no está activado deberemos activarlo previamente pues depende de él. Entonces se informa sobre los cambios que se van a realizar en el sistema. Permitiremos la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Acceder al menú Voz IP. En el campo Dominio Voz IP escribir el nombre de dominio que corresponda a esta máquina. Este dominio deberá poder resolverse desde las máquinas de los clientes del servicio. Pulsar el botón Cambiar. 3. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servicio de Voz IP está preparado para usarse. 4. Acción: Acceder al menú Usuarios y Grupos Usuarios Añadir Usuario. Completar la información del formulario para crear un nuevo usuario. Pulsar el botón Crear Usuario. Efecto: ebox crea un nuevo usuario y nos muestra el perfil con las opciones de este. 5. Acción: En la sección Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o desactivada y la extensión que tiene asignada. Cerciorarse de que la cuenta está activada, ya que todos los usuarios creados mientras el módulo de Voz IP está habilitado tienen la cuenta activada. Por último, cambiar la extensión asignada por defecto, que es la primera libre del rango de extensiones de usuarios, a la extensión 1500 que deseábamos. Pulsar el botón Aplicar cambios de la sección Cuenta de Voz IP. Efecto: ebox aplica los cambios realizados inmediatamente, el usuario ya puede recibir llamadas sobre esa extensión. 163

170 164 ebox 1.4 para Administradores de Redes

171 Chapter 6 ebox Unified Threat Manager En este apartado se verán diferentes técnicas para proteger la red más allá de un simple cortafuegos, evitando ataques externos, y detectando posibles intrusiones hacia servicios de red que se usen. El correo electrónico sin un buen filtrado de correo no funciona correctamente, en este tema se verán diferentes técnicas para evitar el correo basura (spam) y los virus en el correo electrónico con ebox. El tráfico Web también puede traer problemas dependiendo de los lugares que se visiten. Por ello, en este tema se explicará la integración del filtrado de contenidos del proxy HTTP con un antivirus y diversas configuraciones más avanzadas para dar mayor seguridad a la navegación por Internet de los usuarios de la red. En este apartado, se explicará como conectar de manera segura a los empleados fuera de la oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales, para ello se definirán las bases que sigue la seguridad en la red. Finalmente, la detección de intrusos a través de reglas de ataque se verán también en este apartado. De una forma sencilla, podemos recibir notificaciones de ataques y analizar los daños que hayan podido causar. 6.1 Filtrado de correo electrónico Los principales problemas en el sistema de correo electrónico son el spam y los virus. 165

172 ebox 1.4 para Administradores de Redes El spam, o correo electrónico no deseado, distrae la atención del usuario que tiene que bucear en su bandeja de entrada para encontrar los correos legítimos. También genera una gran cantidad de tráfico que puede afectar al funcionamiento normal de la red y del servicio de correo. Aunque los virus informáticos no afectan al sistema en el que está instalado ebox, un correo electrónico que contenga un virus puede infectar otras máquinas clientes de la red Esquema del filtrado de correo de ebox Para defendernos de estas amenazas, ebox dispone de un filtrado de correo bastante potente y flexible. Figure 6.1: Esquema del filtrado de correo en ebox En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es válido o no. En primer lugar, el servidor de correo envía el correo al gestor de políticas de listas grises. Si el correo supera este filtro, pasará al filtro de correo donde se examinarán una serie de características del correo, para ver si contiene virus o si se trata de correo basura, utilizando para ello un filtro estadístico. Si supera todos esos filtros, entonces se determina que el correo es válido y se emite a su receptor o se almacena en un buzón del servidor. En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo se configuran en ebox. 166

173 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Lista gris Una greylist (lista gris) 1 es un método de defensa contra el spam que no descarta correos, sólo le pone más difícil el trabajo a un servidor de correo que actúa como spammer (emisor de correo spam o basura). En el caso de ebox, la estrategia utilizada es fingir estar fuera de servicio. Cuando un servidor nuevo quiere enviarle un correo, ebox le dice Estoy fuera de servicio en este momento, inténtalo en 300 segundos. 2, si el servidor remitente cumple la especificación reenviará el correo pasado ese tiempo y ebox lo apuntará como un servidor correcto. En ebox, la lista gris exime al correo enviado desde redes internas, al enviado desde objetos con política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la lista blanca del antispam. Sin embargo, los servidores que envían Spam no suelen seguir el estándar y no reenviarán el correo. Así habríamos evitado los mensajes de Spam. Figure 6.2: Esquema del funcionamiento de una lista gris El Greylist se configura desde Correo Lista gris con las siguientes opciones: 1 ebox usa postgrey como gestor de esta política en postfix. 2 Realmente el servidor de correo envía como respuesta Greylisted, es decir, puesto en la lista gris en espera de permitir el envío de correo o no pasado el tiempo configurado. 167

174 ebox 1.4 para Administradores de Redes Habilitado: Marcar para activar el greylisting. Duración de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de reenviar el correo. Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar correos. Si el servidor ha enviado algún correo durante ese tiempo, dicho servidor pasará a la lista gris. En una lista gris, el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. Tiempo de vida de las entradas (días): Días que se almacenarán los datos de los servidores evaluados en la lista gris. Si pasan más de los días configurados, cuando el servidor quiera volver a enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente. Verificadores de contenidos El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam. Para realizar esta tarea ebox usa un interfaz entre el MTA (postfix) y dichos programas. Para ello, se usa el programa amavisd-new 3 que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Adicionalmente, esta interfaz realiza las siguientes comprobaciones: Listas blancas y negras de ficheros y extensiones. Filtrado de correos con cabeceras mal-formadas. 3 Amavisd-new: 168

175 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Antivirus El antivirus que usa ebox es ClamAV 4, el cual es un conjunto de herramientas antivirus para UNIX especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a través del programa freshclam. Dicha base de datos se actualiza diariamente con los nuevos virus que se van encontrando. Además, el antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo Zip, BinHex, PDF, etc. En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema. Se puede actualizar desde Gestión de Software, como veremos en Actualización de software. Si el antivirus está instalado y actualizado, ebox lo tendrá en cuenta dependiendo de la configuración del filtro SMTP, el proxy POP, el proxy HTTP o incluso podría funcionar para la compartición de ficheros. Antispam El filtro antispam asigna a cada correo un puntuación de spam, si el correo alcanza la puntuación umbral de spam es considerado correo basura, si no es considerado correo legítimo. A este último tipo de correo se le suele denominar ham. El detector de spam usa las siguientes técnicas para asignar la puntuación: Listas negras publicadas vía DNS (DNSBL). Listas negras de URI que siguen los sitios Web de Spam. Filtros basados en el checksum de los mensajes. Entorno de política de emisor (Sender Policy Framework o SPF) RFC DomainKeys Identified Mail (DKIM) 4 Clam Antivirus: 169

176 ebox 1.4 para Administradores de Redes Filtro bayesiano Reglas estáticas Otros. 5 Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento. Este tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la probabilidad de que el mensaje sea spam. Sin embargo, el análisis no se hace contra un conjunto estático de reglas sino contra un conjunto dinámico, que es creado suministrando mensajes ham y spam al filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo. La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam, las desventajas es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del entrenamiento recibido. ebox usa Spamassassin 6 como detector de spam. La configuración general del filtro se realiza desde Filtro de correo Antispam: 5 Existe una lista muy larga de técnicas antispam que se puede consultar en 6 The Powerful #1 Open-Source Spam Filter 170

177 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Umbral de Spam: Puntuación a partir de la cual un correo se considera como Spam. Etiqueta de asunto Spam: Etiqueta para añadir al asunto del correo en caso de que sea Spam. Usar clasificador bayesiano: Si está marcado se empleará el filtro bayesiano, si no será ignorado. Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. Esto es, si el remitente ha enviado mucho correo como ham es altamente probable que el próximo correo que envíe sea ham y no spam. Auto-aprendizaje: Si está marcado, el filtro aprenderá de los mensajes recibidos, cuya puntuación traspase los umbrales de auto-aprendizaje. Umbral de auto-aprendizaje de spam: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como spam. No es conveniente poner un valor bajo, ya que puede provocar posteriormente falsos positivos. Su valor debe ser mayor que Umbral de spam. 171

178 ebox 1.4 para Administradores de Redes Umbral de auto-aprendizaje de ham: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como ham. No es conveniente poner un valor alto, ya que puede provocar falsos negativos. Su valor debería ser menor que 0. Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist), para que siempre se marquen como spam (blacklist) o que siempre los procese el filtro antispam (procesar). Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un buzón de correo en formato Mbox 7 que únicamente contenga spam o ham. Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano, pero suele ser más exacto entrenarlo con correo recibido en los sitios a filtrar. Conforme más entrenado esté el filtro, mejor será el resultado de la decisión de tomar un correo como basura o no. Listas de control basadas en ficheros Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo ACL por fichero (File Access Control Lists). Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sus tipos MIME. 7 Mbox y maildir son formatos de almacenamiento de correos electrónicos y es dependiente del cliente de correo electrónico. En el primero todos los correos se almacenan en un único fichero y con el segundo formato, se almacenan en ficheros separados diferentes dentro de un directorio. 172

179 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Filtrado de Correo SMTP Desde Filtro de correo Filtro de correo SMTP se puede configurar el comportamiento de los filtros anteriores cuando ebox reciba correo por SMTP. Desde General podemos configurar el comportamiento general para todo el correo entrante: 173

180 ebox 1.4 para Administradores de Redes Habilitado: Marcar para activar el filtro SMTP. Antivirus habilitado: Marcar para que el filtro busque virus. Antispam habilitado: Marcar para que el filtro busque spam. Puerto de servicio: Puerto que ocupará el filtro SMTP. Notificar los mensajes problemáticos que no son spam: Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos problemáticos que no son spam, por ejemplo con virus. Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo. Por cada tipo de correo problemático, se pueden realizar las siguientes acciones: Aprobar: No hacer nada, dejar pasar el correo a su destinatario. Rechazar: Descartar el mensaje antes de que llegue al destinatario, avisando al remitente de que el mensaje ha sido descartado. Rebotar: Igual que Rechazar, pero adjuntando una copia del mensaje en la notificación. Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente. Desde Filtro de correo Filtro de correo SMTP Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales de correo. Estas configuraciones sobreescriben las configuraciones generales definidas previamente. Para personalizar la configuración de un dominio virtual de correo, pulsamos sobre Añadir nuevo. 174

181 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Los parámetros que se pueden sobreescribir son los siguientes: Dominio: Dominio virtual que queremos personalizar. Tendremos disponibles aquellos que se hayan configurado en Correo Dominio Virtual. Usar filtrado de virus / spam: Si están activados se filtrarán los correos recibidos en ese dominio en busca de virus o spam respectivamente. Umbral de spam: Se puede usar la puntuación por defecto de corte para los correos Spam, o un valor personalizado. Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado, cuando mensajes de correo se coloquen en la carpeta de Spam serán aprendidos por el filtro como spam. De manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal, sera aprendido como ham. Cuenta de aprendizaje de ham / spam: Si están activados se crearán las cuentas ham@dominio y spam@dominio respectivamente. Los usuarios pueden enviar correos a estas cuentas para entrenar al filtro. Todo el correo enviado a ham@dominio será aprendido como correo no spam, mientras que el correo enviado a spam@dominio será aprendido como spam. Una vez añadido el dominio, se pueden añadir direcciones a su lista blanca, lista negra o que sea obligatorio procesar desde Política antispam para el emisor Listas de control de conexiones externas Desde Filtro de correo Filtro de correo SMTP Conexiones externas se pueden configurar las conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de correo que se ha configurado usando ebox. De la misma manera, se puede permitir a esos MTAs externos filtrar correo de aquellos dominios virtuales externos a ebox que se permitan a través de su 175

182 ebox 1.4 para Administradores de Redes configuración en esta sección. De esta manera, ebox puede distribuir su carga en dos máquinas, una actuando como servidor de correo y otra como servidor para filtrar correo Proxy transparente para buzones de correo POP3 Si ebox está configurado como un proxy transparente, puede filtrar el correo POP. La máquina ebox se colocará entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los servidores de correo (MTA). Para ello, ebox usa p3scan 8. Desde Filtro de correo Proxy transparente POP se puede configurar el comportamiento del filtrado: Habilitado: Si está marcada, se filtrará el correo POP. 8 Transparent POP proxy 176

183 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Filtrar virus: Si está marcada, se filtrará el correo POP en busca de virus. Filtrar spam: Si está marcada, se filtrará el correo POP en busca de spam. Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera, poniéndola aquí avisaremos al filtro para que tome los correos con esa cabecera como spam. Ejemplo práctico Activar el filtro de correo y el antivirus. Enviar un correo con virus. Comprobar que el filtro surte efecto. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo filtro de correo, para ello marcar su casilla en la columna Estado. Habilitar primero los módulos red y cortafuegos si no se encuentran habilitados con anterioridad. Efecto: ebox solicita permiso para sobreescribir algunos ficheros. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a ebox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Acceder al menú Filtro de Correo Filtro de correo SMTP, marcar las casillas Habilitado y Antivirus habilitado y pulsar el botón Cambiar. Efecto: ebox nos avisa de que hemos modificado satisfactoriamente las opciones mediante el mensaje Hecho. 4. Acción: Acceder a Correo General Opciones de Filtrado de Correo y seleccionar Filtro de correo interno de ebox. Efecto: ebox usará su propio sistema de filtrado. 5. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El filtro de correo ha sido activado con la opción de antivirus. 6. Acción: Descargar el fichero que contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de ebox. Efecto: El correo nunca llegará a su destino porque el antivirus lo habrá descartado. 177

184 ebox 1.4 para Administradores de Redes 7. Acción: Acceder a la consola de la máquina ebox y examinar las últimas líneas del fichero /var/log/mail.log, por ejemplo mediante el uso del comando tail. Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado, especificándonos el nombre del virus: Blocked INFECTED (Eicar-Test-Signature) 6.2 Configuración Avanzada para el proxy HTTP Configuración de perfiles de filtrado La configuración de perfiles de filtrado se realiza en la sección Proxy HTTP Perfiles de Filtrado. Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u objetos de red. Las opciones de configuración son idénticas a las explicadas en la configuración del perfil por defecto, con una importante salvedad: es posible usar la misma configuración del perfil por defecto en las distintas áreas de configuración. Para ello basta con marcar la opción Usar configuración por defecto Perfil de filtrado por objeto Se puede seleccionar un perfil de filtrado para un objeto origen. Las peticiones que procedan de este objeto usaran el perfil seleccionado en vez del perfil por defecto. 178

185 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Para ello, hay que acceder a la sección Proxy HTTP Política de objetos y cambiar el perfil de filtrado en la linea correspondiente al objeto. Esta opción requiere que la política del objeto este establecida a Filtrar Filtrado basado en grupos de usuarios Es posible usar los grupos de usuarios en el control de acceso y en el filtrado. Para ello primero debemos usar como política global o del objeto de red desde el cuál accedemos al proxy, una de las siguientes: Autorizar y permitir todo, Autorizar y denegar todo o Autorizar y filtrar. Estas políticas hacen que el proxy pida identificación de usuario y de no ser satisfactoria se bloqueará el acceso. Warning: Hay que tener en cuenta que, por una limitación técnica de la autenticación HTTP, las políticas con autenticación son incompatibles con el modo transparente. Si tenemos establecida una política global con autorización podremos también establecer políticas globales de grupo, la política nos permitirá controlar el acceso a los miembros del grupo y asignarle un perfil de filtrado distinto del perfil por defecto. Las políticas de grupo se gestionan en la sección Proxy HTTP Política de Grupo. El acceso del grupo puede ser permitir o denegar. Esto sólo afecta al acceso a la web, la activación del filtrado de contenidos no depende de esto sino de que tengamos una política global o de objeto de filtrar. A la política de grupo se le puede asignar un horario, fuera del horario el acceso será denegado. Cada política de grupo tiene una prioridad reflejada en su posición en la lista (primero en la lista, mayor prioridad). La prioridad es importante ya que hay usuarios que pueden pertenecer a varios grupos, en cuyo caso le afectarán únicamente las políticas adoptadas al grupo de mayor prioridad. También aquí se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de contenidos a miembros del grupo de usuarios. En la próxima sección se explica el uso de los perfiles de filtrado. 179

186 ebox 1.4 para Administradores de Redes Filtrado basado en grupos de usuarios para objetos Recordamos que es posible configurar políticas por objeto de red. Dichas políticas tienen prioridad sobre la política general del proxy y sobre las políticas globales de grupo. Además en caso de que hayamos elegido una política con autorización, es posible también definir políticas por grupo. Las políticas de grupo en este caso sólo influyen en el acceso y no en el filtrado que vendrá determinado por la política de objeto. Al igual que en la política general, las políticas con autorización son incompatibles con el filtrado transparente. Por último, cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las políticas de objeto. Por tanto, un grupo usará el perfil de filtrado establecido en su política global de grupo, sea cual sea el objeto de red desde el que se acceda al proxy. Ejemplo práctico Tenemos que crear una política de acceso para dos grupos: IT y Contabilidad. Los miembros del grupo de contabilidad sólo podrán acceder en horario de trabajo y tendrán el contenido filtrado con mayor umbral que el resto de la empresa. Los miembros de IT podrán entrar a cualquier hora, no tendrán filtrado pero tendrán denegada la misma listas de dominios que el resto de la empresa. Asumimos que los grupos y sus usuarios ya están creados. Para ello, podemos seguir estos pasos: 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo Proxy, para ello marcar su casilla en la columna Estado. Efecto: Una vez los cambios guardados, se pedirá autenticación a todo el que trate de acceder al contenido web y de acceder el filtrado de contenidos estará activado. 180

187 CHAPTER 6. EBOX UNIFIED THREAT MANAGER 2. Acción: Entrar a la gestión de perfiles de filtrado, situada en Proxy HTTP Perfiles de Filtrado. Primero, agregar al perfil por defecto la lista de dominios prohibidos por la empresa. Entrar por medio del icono en la columna de Configuración a los parámetros del perfil por defecto. Seleccionar la pestaña Filtrado de dominios y en la lista de dominios añadir marca.es y youtube.com. A continuación, volver a Proxy HTTP Perfiles de Filtrado, y crear dos nuevos perfiles de filtrado para nuestros grupos, con los nombres Perfil IT y Perfil contabilidad. Seguidamente configuraremos ambos. El Perfil contabilidad tan sólo debe distinguirse por la poca tolerancia de su umbral, así que en umbral de filtrado lo estableceremos al valor muy estricto, el resto de configuración debe seguir la política por defecto de la empresa así que tanto en Filtro de dominios, como en Filtro de extensiones de fichero y en Filtro de tipos MIME marcaremos la opción Usar configuración por defecto asegurándonos así que el comportamiento para estos elementos no diferirá de la política por defecto. En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos, para los que debemos seguir la política habitual. En consecuencia iremos a Filtro de dominios y marcaremos la opción Usar configuración por defecto, el nivel de umbral lo dejaremos en Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME, vacías. Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuarios. 3. Acción: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos. Para ello entraremos en Proxy HTTP Política de grupo. Pulsaremos sobre Añadir nueva, seleccionaremos Contabilidad como grupo, estableceremos el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de contabilidad. De igual manera crearemos una política para el grupo IT. Para este grupo seleccionaremos el Perfil IT y no pondremos ninguna restricción en cuanto horario. Efecto: Una vez guardados los cambios, habremos finalizado la configuración para este caso. Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las dos políticas. Algunas cosas que podemos comprobar: Entrar como miembro de contabilidad en y comprobar que es denegada por el análisis de contenidos. A continuación entrar como miembro de IT y comprobar que el análisis esta desactivado entrando en dicha página. 181

188 ebox 1.4 para Administradores de Redes Tratar de entrar en alguno de los dominios prohibidos, comprobando que la lista está en vigor para ambos grupos. Cambiar la fecha a un día no laborable, comprobar que los miembros de IT pueden acceder pero los de Contabilidad, no. 6.3 Interconexión segura entre redes locales Redes privadas virtuales (VPN) Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios remotos a través de Internet como para unir redes dispersas geográficamente. Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red, pero que dichos usuarios, al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a ella. La solución obvia es permitir la conexión a través de Internet. Esto nos puede crear problemas de seguridad y configuración, los cuales se tratan de resolver mediante el uso de las redes privadas virtuales. La solución que ofrece una VPN (Virtual Private Network) a este problema es el uso de cifrado para permitir sólo el acceso a los usuarios autorizados (de ahí el adjetivo privada). Para facilitar el uso y la configuración, las conexiones aparecen como si existiese una red entre los usuarios (de ahí lo de virtual). La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organización puede desear conectar entre sí redes que se encuentran en sitios distintos. Por ejemplo, oficinas en distintas ciudades. Antes, la solución a este problema estaba en la contratación de líneas dedicadas para conectar dichas redes, este servicio es costoso y lento de desplegar. Sin embargo, el avance de Internet proporcionó un medio barato y ubicuo, pero inseguro. De nuevo las características de autorización y virtualización de las VPN resultaron la respuesta adecuada a dicho problema. A este respecto, ebox ofrece dos modos de funcionamiento. Permite funcionar como servidor para usuarios individuales y también como conexión entre dos o más redes gestionadas con ebox. 182

189 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) La VPN que usa ebox para garantizar la privacidad e integridad de los datos transmitidos utiliza cifrado proporcionado por tecnología SSL. La tecnología SSL está extendida y lleva largo tiempo en uso, así que podemos estar razonablemente seguros de su eficacia. Sin embargo, todo mecanismo de cifrado tiene el problema de cómo distribuir las claves necesarias a los usuarios, sin que estas puedan ser interceptadas por terceros. En el caso de las VPN, este paso es necesario cuando un nuevo participante ingresa en la red privada virtual. La solución adoptada es el uso de una infraestructura de clave pública (Public Key Infraestructure - PKI). Esta tecnología nos permite la utilización de claves en un medio inseguro, como es el caso de Internet, sin que sea posible la interceptación de la clave por observadores de la comunicación. La PKI se basa en que cada participante genera un par de claves: una pública y una privada. La pública es distribuida y la privada guardada en secreto. Cualquier participante que quiera cifrar un mensaje puede hacerlo con la clave pública del destinatario, pero el mensaje sólo puede ser descifrado con la clave privada del mismo. Como esta última no debe ser comunicada a nadie nos aseguramos que el mensaje sólo pueda ser descifrado por el destinatario. No obstante, esta solución engendra un nuevo problema. Si cualquiera puede presentar una clave pública, cómo garantizamos que un participante es realmente quien dice ser y no está suplantando una identidad que no le corresponde?. Para resolver este problema, se crearon los certificados. 9 Figure 6.3: Cifrado con clave pública Los certificados aprovechan otra capacidad de la PKI: la posibilidad de firmar ficheros. Para firmar ficheros se usa la propia clave privada del firmante y para verificar la firma cualquiera puede 9 Existe mucha documentación sobre el cifrado basado en clave pública. Este enlace puede ser un comienzo: 183

190 ebox 1.4 para Administradores de Redes Figure 6.4: Firmado con clave pública usar la clave pública. Un certificado es un fichero que contiene una clave pública, firmada por un participante en el que confiamos. A este participante en el que depositamos la confianza de verificar las identidades se le denomina autoridad de certificación (Certification Authority - CA). Figure 6.5: Expedición de un certificado Configuración de una Autoridad de Certificación con ebox ebox tiene integrada la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados expedidos por esta para tu organización. Utiliza las herramienta de consola OpenSSL 10 para este 10 OpenSSL - The open source toolkit for SSL/TLS < 184

191 CHAPTER 6. EBOX UNIFIED THREAT MANAGER servicio. Primero, es necesario generar las claves y expedir el certificado de la CA. Este paso es necesario para firmar nuevos certificados, así que el resto de funcionalidades del módulo no estarán disponibles hasta que las claves de la CA se generen y su certificado, que es auto firmado, sea expedido. Téngase en cuenta que este módulo es independiente y no necesita ser activado en Estado del Módulo. Accederemos a Autoridad de Certificación General y nos encontraremos ante el formulario para expedir el certificado de la CA tras generar automáticamente el par de claves. Se requerirá el Nombre de la Organización y el Número de Días para Expirar. A la hora de establecer la duración hay que tener en cuenta que su expiración revocará todos los certificados expedidos por esta CA, provocando la parada de todos los servicios que dependan de estos certificados. También es posible dar los siguientes datos de manera opcional: Código del País Un acrónimo de dos letras que sigue el estándar ISO Ciudad Estado o Región 185

192 ebox 1.4 para Administradores de Redes Una vez que la CA ha sido creada, seremos capaces de expedir certificados firmados por esta CA. Para hacer esto, usaremos el formulario que aparece ahora en Autoridad de Certificación General. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio del servidor. De todas maneras, se puede poner cualquier número de Nombres alternativos para el sujeto 11 para el certificado para, por ejemplo, establecer otro nombre común a un dominio virtual HTTP 12 o una dirección IP o incluso una dirección de correo para firmar los mensajes de correo electrónico. Una vez el certificado haya sido creado, aparecerá en la lista de certificados y estará disponible para los módulos de ebox que usen certificados y para las demás aplicaciones externas. Además, a través de la lista de certificados podemos realizar distintas acciones con ellos: Descargar las claves pública, privada y el certificado. Renovar un certificado. 11 Para tener más información sobre los nombres alternativos para un sujeto, visita 12 Para más información sobre los dominios virtuales en HTTP, investiga en la sección Dominios virtuales para obtener más detalles. 186

193 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Revocar un certificado. Si renovamos un certificado, el certificado actual será revocado y uno nuevo con la nueva fecha de expiración será expedido junto al par de claves. Si revocamos un certificado no podremos utilizarlo más ya que esta acción es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo: unspecified Motivo no especificado keycompromise La clave privada ha sido comprometida CACompromise La clave privada de la autoridad de certificación ha sido comprometida affilliationchanged Se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización. superseded El certificado ha sido renovado y por tanto reemplaza al emitido. cessationofoperation Cese de operaciones de la entidad certificada. certificatehold Certificado suspendido. removefromcrl Actualmente sin implementar da soporte a los CRLs delta o diferenciales. Si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración, si esto no es posible debido a que es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de la CA. 187

194 ebox 1.4 para Administradores de Redes Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados. Certificados de Servicios En Autoridad de Certificación Certificados de Servicios podemos encontrar la lista de módulos de ebox usando certificados para sus servicios. Por omisión estos son generados por cada módulo, pero si estamos usando la CA podemos remplazar estos certificados auto firmados por uno expedido por la CA de nuestra organización. Para cada servicio podemos definir el Nombre Común del certificado y si no hay un certificado con ese Nombre Común, la CA expedirá uno. Para ofrecer este par de claves y el certificado firmado al servicio deberemos Activar el certificado para ese servicio. Cada vez que un certificado se renueva se ofrece de nuevo al módulo de ebox pero es necesario reiniciar ese servicio para forzarlo a usar el nuevo certificado. Ejemplo práctico A Crear una autoridad de certificación (CA) válida durante un año, después crear un certificado llamado servidor y crear dos certificados para clientes llamados cliente1 y cliente2. 1. Acción: En Autoridad de Certificación General, en el formulario Expedir el Certificado de la Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días para Expirar con valores razonables. Pulsamos Expedir para generar la Autoridad de Certificación. Efecto: El par de claves de la Autoridad de Certificación es generados y su certificado expedido. La nueva CA se mostrará en el listado de certificados. El formulario para crear la Autoridad de Certificación será sustituido por uno para expedir certificados normales. 188

195 CHAPTER 6. EBOX UNIFIED THREAT MANAGER 2. Acción: Usando el formulario Expedir un Nuevo Certificado para expedir certificados, escribiremos servidor en Nombre Común y en Días para Expirar un número de días menor o igual que el puesto en el certificado de la CA. Repetiremos estos pasos con los nombres cliente1 y cliente2. Efecto: Los nuevos certificados aparecerán en el listado de certificados, listos para ser usados Configuración de una VPN con ebox El producto seleccionado por ebox para crear las VPN es OpenVPN 13. OpenVPN posee las siguientes ventajas: Autenticación mediante infraestructura de clave pública. Cifrado basado en tecnología SSL. Clientes disponibles para Windows, MacOS y Linux. Código que se ejecuta en espacio de usuario, no hace falta modificación de la pila de red (al contrario que con IPSec). Posibilidad de usar programas de red de forma transparente. Cliente remoto con VPN Se puede configurar ebox para dar soporte a clientes remotos (conocidos familiarmente como Road Warriors). Esto es, una máquina ebox trabajando como puerta de enlace y como servidor OpenVPN, que tiene una red de área local (LAN) detrás, permitiendo a clientes en Internet (los road warriors) conectarse a dicha red local vía servicio VPN. La siguiente figura puede dar una visión más ajustada: Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimos entre sí. Para ello, necesitamos crear una Autoridad de Certificación y certificados para los dos clientes remotos. Tenga en cuenta que también se necesita un certificado para el servidor OpenVPN. Sin embargo, ebox creará este certificado automáticamente cuando cree un nuevo servidor OpenVPN. En este escenario, ebox actúa como una Autoridad de Certificación. 13 OpenVPN: An open source SSL VPN Solution by James Yonan 189

196 ebox 1.4 para Administradores de Redes Figure 6.6: ebox y clientes remotos de VPN Una vez tenemos los certificados, deberíamos poner a punto el servidor OpenVPN en ebox mediante Crear un nuevo servidor. El único parámetro que necesitamos introducir para crear un servidor es el nombre. ebox hace que la tarea de configurar un servidor OpenVPN sea sencilla, ya que establece valores de forma automática. Los siguientes parámetros de configuración son añadidos automáticamente por ebox, y pueden ser modificados si es necesario: una pareja de puerto/protocolo, un certificado (ebox creará uno automáticamente usando el nombre del servidor OpenVPN) y una dirección de red. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. Si se necesita cambiar la dirección de red nos deberemos asegurar que no entra en conflicto con una red local. Además, las redes locales, es decir, las redes conectadas directamente a los interfaces de red de la máquina, se anunciarán automáticamente a través de la red privada. Como vemos, el servidor OpenVPN estará escuchando en todas las interfaces externas. Por tanto, debemos poner al menos una de nuestras interfaces como externa vía Red Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para la LAN y otra externa para el lado colocado hacia Internet. Es posible configurar nuestro servidor para escuchar en las interfaces internas, activando la opción de Network Address Translation (NAT), pero de momento la vamos a ignorar. Si queremos que los clientes puedan conectarse entre sí usando su dirección de VPN, debemos activar la opción Permitir conexiones entre clientes. El resto de opciones de configuración las podemos dejar con sus valores por defecto. 190

197 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Tras crear el servidor OpenVPN, debemos habilitar el servicio y guardar los cambios. Posteriormente, se debe comprobar en Dashboard que un servidor OpenVPN está funcionando. Tras ello, debemos anunciar redes, dichas redes serán accesibles por los clientes OpenVPN autorizados. Hay que tener en cuenta que ebox anunciará todas las redes internas automáticamente. Por supuesto, podemos añadir o eliminar las rutas que necesitemos. En nuestro escenario, se habrá añadido automáticamente la red local para hacer visible el cliente 3 a los otros dos clientes. Una vez hecho esto, es momento de configurar los clientes. La forma más sencilla de configurar un cliente OpenVPN es utilizando nuestros bundles. Estos están disponibles en la tabla que aparece en VPN Servidores, pulsando el icono de la columna Descargar bundle del cliente. Se han creado dos bundles para dos tipos de sistema operativo. Si se usa un entorno como MacOS o GNU/Linux, se debe elegir el sistema Linux. Al crear un bundle se seleccionan aquellos certificados que se van dar al cliente y se establece la dirección IP externa a la cual los clientes VPN se deben conectar. Si el sistema seleccionado es Windows, se incluye también un instalador de OpenVPN para Win32. Los bundles de configuración los descargará el administrador de ebox para distribuirlos a los clientes de la manera que crea más oportuna. 191

198 ebox 1.4 para Administradores de Redes Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN. Por ejemplo, en Linux, simplemente se descomprime el archivo y se ejecuta, dentro del recientemente creado directorio, el siguiente comando: openvpn --config filename Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Hay que tener en cuenta que el servicio local de DNS de ebox no funciona a través de la red privada a no ser que se configuren los clientes remotos para que usen ebox como servidor de nombres. Es por ello que no podremos acceder a los servicios de las máquinas de la LAN por nombre, únicamente podremos hacerlo por dirección IP. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos por Windows, para navegar en los recursos compartidos desde la VPN se deben explícitamente permitir el tráfico de difusión del servidor SMB/CIFS. Para conectar entre sí los clientes remotos, necesitamos activar la opción Permitir conexiones cliente-a-cliente dentro de la configuración del servidor OpenVPN. Para comprobar que la configuración es correcta, observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se han añadido al interfaz virtual tapx. Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de ebox. Ejemplo práctico B En este ejercicio vamos a configurar un servidor de VPN. Configuraremos un cliente en un ordenador residente en una red externa, conectaremos a la VPN y a través de ella accederemos a una máquina residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna. 14 Para más información sobre compartición de ficheros ir a la sección Servicio de compartición de ficheros y de autenticación 192

199 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Para ello: 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo OpenVPN, para ello marcar su casilla en la columna Estado. Efecto: ebox solicita permiso para realizar algunas acciones. 2. Acción: Leer las acciones que se van a realizar y otorgar permiso a ebox para hacerlo. Efecto: Se ha activado el botón Guardar cambios. 3. Acción: Acceder a la interfaz de ebox, entrar en la sección VPN Servidores, pulsar sobre Añadir nuevo, aparecerá un formulario con los campos Habilitado y Nombre. Introduciremos un nombre para el servidor. Efecto: El nuevo servidor aparecerá en la lista de servidores. 4. Acción: Pulsar en Guardar cambios y aceptar todos los cambios. Efecto: El servidor está activo, podemos comprobar su estado en la sección Dashboard. 5. Acción: Para facilitar la configuración del cliente, descargar el bundle de configuración para el cliente. Para ello, pulsar en el icono de la columna Descargar bundle de cliente y rellenar el formulario de configuración. Introducir las siguientes opciones: Tipo de cliente: seleccionar Linux, ya que es el SO del cliente. Certificado del cliente: elegir cliente1. Si no está creado este certificado, crearlo siguiendo las instrucciones del ejercicio anterior. Dirección del servidor: aquí introducir la dirección por la que el cliente puede alcanzar al servidor VPN. En nuestro escenario coincide con la dirección de la interfaz externa conectada a la misma red que el ordenador cliente. Efecto: Al cumplimentar el formulario, bajaremos un archivo con el bundle para el cliente. Será un archivo en formato comprimido.tar.gz. 6. Acción: Configurar el ordenador del cliente. Para ello descomprimir el bundle en un directorio. Observar que el bundle contenía los ficheros con los certificados necesarios y un fichero de configuración con la extensión.conf. Si no han existido equivocaciones en los pasos anteriores ya tenemos toda la configuración necesaria y no nos queda más que lanzar el programa. Para lanzar el cliente ejecutar el siguiente comando dentro del directorio: 193

200 ebox 1.4 para Administradores de Redes openvpn --config [ nombre_del_fichero.conf ] Efecto: Al lanzar el comando en la ventana de terminal se irán imprimiendo las acciones realizadas por el programa. Si todo es correcto, cuando la conexión esté lista se leerá en la pantalla Initialization Sequence Completed; en caso contrario se leerán mensajes de error que ayudarán a diagnosticar el problema. 7. Acción: Antes de comprobar que existe conexión entre el cliente y el ordenador de la red privada, debemos estar seguros que este último tiene ruta de retorno al cliente VPN. Si estamos usando ebox como puerta de enlace por defecto, no habrá problema, en caso contrario necesitaremos añadir una ruta al cliente. Primero comprobaremos que existe la conexión con el comando ping, para ello ejecutaremos el siguiente comando: ping -c 3 [ dirección_ip_del_otro_ordenador ] Para comprobar que no sólo hay comunicación sino que podemos acceder a los recursos del otro ordenador, iniciar una sesión de consola remota, para ello usamos el siguiente comando desde el ordenador del cliente: ssh [ dirección_ip_del_otro_ordenador ] Después de aceptar la identidad del ordenador e introducir usuario y contraseña, accederemos a la consola del otro ordenador. Cliente remoto NAT con VPN Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local, es decir, la máquina no posee interfaces externos, entonces necesitaremos activar la opción de Network Address Translation. Como es una opción del cortafuegos, tendremos que asegurarnos que el módulo de cortafuegos está activo, de lo contrario no podremos activar esta opción. Con dicha opción, el servidor VPN se encargará de actuar como representante de los clientes VPN dentro de la red local. En realidad, lo será de todas las redes anunciadas, para asegurarse que recibe los paquetes de respuesta que posteriormente reenviará a través de la red privada a sus clientes. Esta situación se explica mejor con el siguiente gráfico: 194

201 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Figure 6.7: Conexión desde un cliente VPN a la LAN con VPN usando NAT Interconexión segura entre redes locales En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a través de una red privada. Para hacerlo, usaremos ebox en ambas como puertas de enlace. Una actuará como cliente OpenVPN y otra como servidora. La siguiente imagen trata de aclarar la situación: Figure 6.8: ebox como servidor OpenVPN vs. ebox como cliente OpenVPN Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local. Por tanto, debemos configurar un servidor OpenVPN como hacemos en el Ejemplo práctico B. Sin embargo, se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles ebox a ebox para intercambiar rutas entre máquinas ebox y contraseña túnel ebox a ebox para establecer la conexión en un entorno más seguro entre las dos oficinas. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redes anunciadas. 195

202 ebox 1.4 para Administradores de Redes Para configurar ebox como un cliente OpenVPN, podemos hacerlo a través de VPN Clientes. Debes dar un nombre al cliente y activar el servicio. Se puede establecer la configuración del cliente manualmente o automáticamente usando el bundle dado por el servidor VPN, como hemos hecho en el Ejemplo práctico B. Si no se usa el bundle, se tendrá que dar la dirección IP y el par protocolopuerto donde estará aceptando peticiones el servidor. También será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos certificados deberán haber sido creados por la misma autoridad de certificación que use el servidor. Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonio OpenVPN en la red 2 ejecutándose como cliente con la conexión objetivo dirigida a la otra ebox dentro de la LAN 1. Cuando la conexión esté completa, la máquina que tiene el papel de servidor tendrá acceso a todas las rutas de las maquinas clientes a través de la VPN. Sin embargo, aquellas cuyo papel sea de 196

203 CHAPTER 6. EBOX UNIFIED THREAT MANAGER cliente sólo tendrán acceso a aquellas rutas que el servidor haya anunciado explícitamente. Ejemplo práctico C El objetivo de este ejercicio es montar un túnel entre dos redes que usan servidores ebox como puerta de enlace hacia una red externa, de forma que los miembros de ambas redes se puedan conectar entre sí. 1. Acción: Acceder a la interfaz Web de ebox que va a tener el papel de servidor en el túnel. Asegurarse de que el módulo de VPN está activado y activarlo si es necesario. Una vez en la sección VPN Servidores, crear un nuevo servidor. Usar los siguientes parámetros de configuración: Puerto: elegir un puerto que no esté en uso, como el Dirección de VPN: introducir una dirección privada de red que no esté en uso en ninguna parte de nuestra infraestructura, por ejemplo /24. Habilitar Permitir túneles ebox-a-ebox. Esta es la opción que indica que va a ser un servidor de túneles. Introducir una contraseña para túneles ebox-a-ebox. Finalmente, desde la selección de Interfaces donde escuchará el servidor, elegir la interfaz externa con la que podrá conectar la ebox cliente. Para concluir la configuración del servidor se deben anunciar redes siguiendo los mismos pasos que en ejemplos anteriores. Anunciar la red privada a la que se quiere que tenga acceso el cliente. Conviene recordar que este paso no va a ser necesario en el cliente, el cliente suministrará todas sus rutas automáticamente al servidor. Nos resta habilitar el servidor y guardar cambios. Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo, podemos comprobar su estado en el Dashboard. 2. Acción: Para facilitar el proceso de configuración del cliente, obtener un bundle de configuración del cliente, descargándolo del servidor. Para descargarlo, acceder de nuevo a la interfaz Web de ebox y en la sección VPN Servidores, pulsar en Descargar bundle de configuración del cliente en nuestro servidor. Antes de poder descargar el bundle se deben establecer algunos parámetros en el formulario de descarga: Tipo de cliente: elegir Túnel ebox a ebox. 197

204 ebox 1.4 para Administradores de Redes Certificado del cliente: elegir un certificado que no sea el del servidor ni esté en uso por ningún cliente más. Sino se tienen suficientes certificados, seguir los pasos de ejercicios anteriores para crear un certificado que pueda usar el cliente. Dirección del servidor: aquí se debe introducir la dirección por la que el cliente pueda conectar con el servidor, en nuestro escenario la dirección de la interfaz externa conectada a la red visible tanto por el servidor como el cliente será la dirección adecuada. Una vez introducidos todos los datos pulsamos el botón de Descargar. Efecto: Descargamos un archivo tar.gz con los datos de configuración necesarios para el cliente. 3. Acción: Acceder a la interfaz Web del servidor ebox que va a tener el papel de cliente. Comprobar que el módulo VPN está activo, ir a la sección VPN Clientes. En esta sección se ve una lista vacía de clientes, para crear uno pulsar sobre Añadir cliente e introducir un nombre para él. Como no está configurado no se podrá habilitar, así que se debe volver a la lista de clientes y pulsar en el apartado de configuración correspondiente a nuestro cliente. Dado que se tiene un bundle de configuración de cliente, no se necesita rellenar las secciones a mano. Usaremos la opción Subir bundle de configuración del cliente, seleccionar el archivo obtenido en el paso anterior y pulsar sobre Cambiar. Una vez cargada la configuración, se puede retornar a la lista de clientes y habilitar nuestro cliente. Para habilitarlo, pulsar en el icono de Editar, que se encuentra en la columna de Acciones. Aparecerá un formulario donde podremos marcar la opción de Habilitado. Ahora tenemos el cliente totalmente configurado y sólo nos resta guardar los cambios. Efecto: Una vez guardados los cambios, tendremos el cliente activo como podremos comprobar en el Dashboard. Si tanto la configuración del servidor como del cliente son correctas, el cliente iniciará la conexión y en un instante tendremos el túnel listo. 4. Acción: Ahora se comprobará que los ordenadores en las redes internas del servidor y del cliente pueden verse entre sí. Además de la existencia del túnel serán necesarios los siguientes requisitos: Los ordenadores deberán conocer la ruta de retorno a la otra red privada. Si, como en nuestro escenario, ebox está siendo utilizado como puerta de enlace no habrá necesidad de introducir rutas adicionales. El cortafuegos deberá permitir conexiones entre las rutas para los servicios que utilicemos. 198

205 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Una vez comprobados estos requisitos podremos pasar a comprobar la conexión, para ello entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las siguientes comprobaciones: Ping a un ordenador en la red del cliente VPN. Tratar de iniciar una sesión SSH en un ordenador de la red del cliente VPN. Terminadas estas comprobaciones, las repetiremos desde un ordenador de la red del cliente VPN, eligiendo como objetivo un ordenador residente en la red del servidor VPN. 6.4 Sistema de Detección de Intrusos (IDS) Un Sistema de Detección de Intrusos (IDS) es una aplicación diseñada para evitar accesos no deseados a nuestras máquinas, principalmente ataques provenientes de Internet. Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones, lo cual se realiza mediante un conjunto de reglas que se aplican sobre los paquetes del tráfico entrante. Además de registrar todos los eventos sospechosos, añadiendo información útil (como puede ser la dirección IP de origen del ataque), a una base de datos o fichero de registro; algunos IDS combinados con el cortafuegos también son capaces de bloquear los intentos de intrusión. Existen distintos tipos de IDS, el más común de ellos es el Sistema de Detección de Intrusos de Red (NIDS), se encarga de examinar todo el tráfico de una red local. Uno de los NIDS más populares es Snort 15, que es la herramienta que integra ebox para realizar dicha tarea Configuración de un IDS con ebox La configuración del Sistema de Detección de Intrusos en ebox es muy sencilla. Solamente necesitamos activar o desactivar una serie de elementos. En primer lugar, tendremos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. Tras ello, podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados, con el objetivo de disparar alertas en caso de resultados positivos. A ambas opciones de configuración se accede a través del menú IDS. En la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. Por defecto, todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU 15 Snort: A free lightweight network intrusion detection system for UNIX and Windows 199

206 ebox 1.4 para Administradores de Redes que genera la inspección de tráfico. Sin embargo, puedes habilitar cualquiera de ellas pinchando en la casilla de selección. En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules). Por defecto, se encuentra habilitado un conjunto típico de reglas. Podemos ahorrar tiempo de CPU desactivando aquellas que no nos interesen, por ejemplo, las relativas a servicios que no existen en nuestra red. Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que nos puedan interesar. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces. 200

207 CHAPTER 6. EBOX UNIFIED THREAT MANAGER Alertas del IDS Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS, pero su única utilidad sería que podríamos observar manualmente las distintas alertas en el fichero /var/log/snort/alert. Como vamos a ver, gracias al sistema de registros y eventos de ebox podemos hacer que esta tarea sea más sencilla y eficiente. El módulo IDS se encuentra integrado con el módulo de registros de ebox, así que si este último se encuentra habilitado, podremos consultar las distintas alertas del IDS mediante el procedimiento habitual. Así mismo, podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles. Para más información al respecto, consultar el capítulo Registros. Ejemplo práctico Habilitar módulo IDS y lanzar un ataque basado en el escaneo de puertos contra la máquina ebox. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo IDS, para ello marcar su casilla en la columna Estado. Nos informa de que se modificará la configuración de Snort. Permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Del mismo modo, activar el módulo registros, en caso de que no se encontrase activado previamente. Efecto: Cuando el IDS entre en funcionamiento podrá registrar sus alertas. 3. Acción: Acceder al menú IDS y en la pestaña Interfaces activar una interfaz que sea alcanzable desde la máquina en la que lanzaremos el ataque. Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora el IDS se encuentra analizando el tráfico de la interfaz seleccionada. 5. Acción: Instalar el paquete nmap en otra máquina mediante el comando aptitude install nmap. 201

208 ebox 1.4 para Administradores de Redes Efecto: La herramienta nmap se encuentra instalada en el sistema. 6. Acción: Desde la misma máquina ejecutar el comando nmap pasándole como único argumento de línea de comandos la dirección IP de la interfaz de ebox seleccionada anteriormente. Efecto: Se efectuarán intentos de conexión a distintos puertos de la máquina ebox. Se puede interrumpir el proceso pulsando Ctrl-c. 7. Acción: Acceder a Registros Consulta Registros y seleccionar Informe completo para el dominio IDS. Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar. 202

209 Chapter 7 ebox Core En ebox no sólo se configuran los servicios de red de manera integrada. Sino que además ofrece una serie de características que facilitan y hacen más eficiente la administración de ebox. Este conjunto de características es lo que denominamos el núcleo del sistema ebox. Las copias de seguridad para restaurar un estado anterior, registros de los servicios para saber qué ha pasado y cuándo, notificaciones ante incidencias o determinados eventos, monitorización de la máquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en este apartado. 7.1 Registros ebox proporciona una infraestructura para que sus módulos puedan registrar todo tipo de eventos que puedan ser útiles para el administrador. Estos registros se pueden consultar a través de la interfaz de ebox de manera común. Estos registros se almacenan en una base de datos para hacer la consulta, los informes y las actualizaciones de manera más sencilla y eficiente. El gestor de base de datos que se usa es PostgreSQL 1. Además podemos configurar distintos manejadores para los eventos, de forma que el administrador pueda ser notificado por distintos medios (Correo, Jabber o RSS 2 ). Disponemos de registros para los siguientes servicios: 1 PostgreSQL The world s most advanced open source database 2 RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas 203

210 ebox 1.4 para Administradores de Redes OpenVPN (Redes privadas virtuales (VPN)) SMTP Filter (Filtrado de Correo SMTP) POP3 proxy (Proxy transparente para buzones de correo POP3) Impresoras (Servicio de compartición de impresoras) Cortafuegos (Cortafuegos) DHCP (Servicio de configuración de red (DHCP)) Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)) Proxy HTTP (Servicio Proxy HTTP) Ficheros compartidos (Servicio de compartición de ficheros y de autenticación) IDS (Sistema de Detección de Intrusos (IDS)) Así mismo, podemos recibir notificaciones de los siguientes eventos: Valores específicos de los registros. Estado de salud de ebox. Estado de los servicios. Eventos del subsistema RAID por software Espacio libre en disco. Problemas con los routers de salida a Internet. Finalización de una copia completa de datos. En primer lugar, para que funcionen los registros, al igual que con el resto de módulos de ebox, debemos asegurarnos de que este se encuentre habilitado. Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. Para obtener informes de los registros existentes, podemos acceder a la sección Registros Consultar registros del menú de ebox. Podemos obtener un Informe completo de todos los dominios de registro. Además, algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visión global del funcionamiento del servicio durante un periodo de tiempo. En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. La información proporcionada es dependiente de cada dominio. Por ejemplo, 204

211 CHAPTER 7. EBOX CORE Figure 7.1: Pantalla de consulta de registros para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un certificado concreto, o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qué páginas se le ha denegado el acceso. Por tanto, podemos realizar una consulta personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. Dicha búsqueda podemos almacenarla en forma de evento para que nos avise cuando ocurra alguna coincidencia. Además, si la consulta se realiza hasta el momento actual, el resultado se irá refrescando con nuevos datos. El Informe resumido nos permite seleccionar el periodo del informe, que puede ser de un día, una hora, una semana o un mes. La información que obtenemos es una o varias gráficas, acompañadas de una tabla-resumen con valores totales de distintos datos. En la imagen podemos ver, como ejemplo, las estadísticas de peticiones y tráfico del proxy HTTP al día Configuración de registros Una vez que hemos visto como podemos consultar los registros, es importante también saber que podemos configurarlos en la sección Registros Configurar los registros del menú de ebox. Los valores configurables para cada dominio instalado son: Habilitado: Si esta opción no está activada no se escribirán los registros de ese dominio. Purgar registros anteriores a: Establece el tiempo máximo que se guardarán los registros. Todos aquellos valores cuya antigüedad supere el periodo especificado, serán desechados. 205

212 ebox 1.4 para Administradores de Redes Figure 7.2: Pantalla de informe completo Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determinado periodo. Esto lo hacemos mediante el botón Purgar de la sección Forzar la purga de registros, que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 días. Ejemplo práctico Habilitar el módulo de registros. Usar el Ejemplo práctico como referencia para generar tráfico de correo electrónico conteniendo virus, spam, remitentes prohibidos y ficheros prohibidos. Observar los resultados en Registros Consulta Registros Informe completo. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activa el módulo registros, para ello marcar su casilla en la columna Estado. Nos informa de que se creará una base de datos para guardar los registros. Permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Acceder al menú Registros Configurar registros y comprobar que los registros para el dominio Correo se encuentran habilitados. Efecto: Hemos habilitado el módulo registros y nos hemos asegurado de tener activados los registros para el correo. 206

213 CHAPTER 7. EBOX CORE Figure 7.3: Pantalla de informe resumido 207

214 ebox 1.4 para Administradores de Redes Figure 7.4: Pantalla de configurar registros 3. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. A partir de ahora quedarán registrados todos los correos que enviemos. 4. Acción: Volver a enviar unos cuantos correos problemáticos (con spam o virus) como se hizo en el tema correspondiente. Efecto: Como ahora el módulo registros está habilitado, los correos han quedado registrados, a diferencia de lo que ocurrió cuando los enviamos por primera vez. 5. Acción: Acceder a Registros Consulta Registros y seleccionar Informe completo para el dominio Correo. Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando distintas informaciones de cada uno. 208

215 CHAPTER 7. EBOX CORE 7.2 Monitorización El módulo de monitorización permite al administrador conocer el estado del uso de los recursos del servidor ebox. Esta información es esencial tanto para diagnosticar problemas como para planificar los recursos necesarios con el objetivo de evitar problemas. Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos valores son normales o están fuera del rango común de valores, tanto en su valor inferior como superior. El principal problema de la monitorización es la selección de aquellos valores significativos del sistema. Para cada una de las máquinas esos valores pueden ser diferentes. Por ejemplo, en un servidor de ficheros el espacio libre de disco duro es importante. Sin embargo, para un encaminador la memoria disponible y la carga son valores mucho más significativos para conocer el estado del servicio ofrecido. Es conveniente evitar la obtención de muchos valores sin ningún objetivo concreto. Es por ello que las métricas que monitoriza ebox son relativamente limitadas. Estas son: carga del sistema, uso de CPU, uso de memoria y uso del sistema de ficheros. La monitorización se hace mediante gráficas que permiten hacerse fácilmente una idea de la evolución del uso de recursos. Para acceder a las gráficas se hace a través de la entrada Monitorización. Ahí se muestran las gráficas de las medidas monitorizadas. Colocando el cursor encima de algún punto de la línea de la gráfica en el que estemos interesados podremos saber el valor exacto para ese momento. Podemos elegir la escala temporal de las gráficas entre una hora, un día, un mes o un año. Para ello simplemente pulsaremos sobre la pestaña correspondiente. 209

216 ebox 1.4 para Administradores de Redes Métricas Carga del sistema La carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por el computador. Esta métrica se calcula usando el número de tareas ejecutables en la cola de ejecución y es ofrecida por muchos sistemas operativos en forma de media de uno, cinco y quince minutos. La interpretación de esta métrica es la capacidad de la CPU usada en el periodo elegido. Así, una carga de 1 significaría que esta operando a plena capacidad. Un valor de 0.5 significaría que podría llegar a soportar el doble de trabajo. Y siguiendo la misma proporción, un valor de 2 se interpretaría como que le estamos exigiendo el doble del trabajo que puede realizar. Hay que tener en cuenta que los procesos que están interrumpidos por motivos de lectura/escritura en almacenamiento también contribuyen a la métrica de carga. En estos casos no se correspondería bien con el uso de la CPU, pero seguiría siendo útil para estimar la relación entre la demanda y la capacidad de trabajo. 210

217 CHAPTER 7. EBOX CORE Uso de la CPU Con esta gráfica tendremos una información detallada del uso de la CPU. En caso de que dispongamos de una maquina con múltiples CPUs tendremos una gráfica para cada una de ellas. En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados, ejecutando código de usuario, código del sistema, estamos inactivo, en espera de una operación de entrada/salida, entre otros valores. Ese tiempo no es un porcentaje sino unidades de scheduling conocidos como jiffies. En la mayoría de sistemas Linux ese valor es 100 por segundo pero no hay ninguna limitación o posibilidad que dicho valor sea diferente. 211

218 ebox 1.4 para Administradores de Redes Uso de la memoria La gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables: Memoria libre: Cantidad de memoria no usada Caché de pagina: Cantidad destinada a la caché del sistema de ficheros Buffer cache: Cantidad destinada a la caché de los procesos Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachés. Uso del sistema de ficheros Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje. 212

219 CHAPTER 7. EBOX CORE Temperatura Con esta gráfica es posible leer la información disponible sobre la temperatura del sistema en grados centígrados usando el sistema ACPI 3. Para tener activada esta métrica, es necesario que existan datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone. 3 La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la configuración de dispositivos centrada en sistemas operativos y en la gestión de energía del computador

220 ebox 1.4 para Administradores de Redes Alertas Las gráficas no tendrían ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos valores de la monitorización. De esta manera, podemos saber cuando la máquina está sufriendo una carga inusual o está llegando a su máxima capacidad. Las alertas de monitorización deben configurarse en el módulo de eventos. Entrando en Eventos Configurar eventos, podemos ver la lista de eventos disponibles, los eventos de monitorización están agrupados en el vento Monitor. Pulsando en la celda de configuración, accederemos a la configuración de este evento. Podremos elegir cualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento. En cuanto a los umbrales tendremos de dos tipos, de advertencia y de fallo, pudiendo así discriminar entre la gravedad del evento. Tenemos la opción de invertir: que hará que los valores considerados correctos sean considerados fallos y a la inversa. Otra opción importante es la de persistente:. Dependiendo de la métrica también podremos elegir otros parámetros relacionados con 214

221 CHAPTER 7. EBOX CORE esta, por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre, o para la carga puede ser útil la carga a corto plazo, etc. Cada medida tiene una métrica que se describe como sigue: Carga del sistema: Los valores deben ser en número de tareas ejecutables media en la cola de ejecución. Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling. Uso de la memoria física: Los valores deben establecerse en bytes. Sistema de ficheros: Los valores deben establecerse en bytes. Temperatura: Los valores a establecer debe establecer en grados. Una vez configurado y activado el evento deberemos configurar al menos un observador para recibir las alertas. La configuración de los observadores es igual que la de cualquier evento, así que deberemos seguir las indicaciones contenida en el capítulo de Incidencias (eventos y alertas). 7.3 Incidencias (eventos y alertas) Aunque la posibilidad de hacer consultas personalizadas a los registros, o la visualización de los resúmenes son opciones muy útiles. Se complementan mejor todavía con las posibilidades de monitorización de eventos a través de la notificación. Disponemos de los siguientes mecanismos emisores para la notificación de incidencias: Correo 4 Jabber Registro RSS Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado. Para habilitarlo, como de costumbre, debemos ir a Estado del módulo y seleccionar la casilla eventos. A diferencia de los registros, que salvo en el caso del cortafuegos, se encuentran activados por defecto, para los eventos tendremos que activar explícitamente aquellos que nos interesen. 4 Teniendo instalado y configuración el módulo de correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)). 215

222 ebox 1.4 para Administradores de Redes Para activar cualquiera de ellos accederemos al menú Eventos Configurar eventos. Podemos editar el estado de cada uno mediante el icono del lápiz. Para ello marcaremos la casilla Habilitado y pulsaremos el botón Cambiar. Figure 7.5: Pantalla de configurar eventos Además, algunos eventos como el observador de registros o el observador de espacio restante en disco tienen sus propios parámetros de configuración. La configuración para el observador de espacio en disco libre es sencilla. Sólo debemos especificar el porcentaje mínimo de espacio libre con el que queremos ser notificados (cuando sea menor de ese valor). En el caso del observador de registros, podemos elegir en primer lugar qué dominios de registro queremos observar. Después, por cada uno de ellos, podemos añadir reglas de filtrado específicas dependientes del dominio. Por ejemplo: peticiones denegadas en el proxy HTTP, concesiones DHCP a una determinada IP, trabajos de cola de impresión cancelados, etc. La creación de alertas para monitorizar también se puede hacer mediante el botón Guardar como evento a través de Registros Consultar registros Informe completo. Respecto a la selección de medios para la notificación de los eventos, podemos seleccionar los emisores que deseemos en la pestaña Configurar emisores. 216

223 CHAPTER 7. EBOX CORE Figure 7.6: Pantalla de configurar observadores de registros Figure 7.7: Pantalla de configurar emisores 217

224 ebox 1.4 para Administradores de Redes De idéntica forma a la activación de eventos, debemos editarlos y seleccionar la casilla Habilitado. Excepto en el caso del fichero de registro (que escribirá implícitamente los eventos recibidos al fichero /var/log/ebox/ebox.log), el resto de emisores requieren una configuración adicional que detallamos a continuación: Correo: Debemos especificar la dirección de correo destino (típicamente la del administrador de ebox), además podemos personalizar el asunto de los mensajes. Jabber: Debemos especificar el nombre y puerto del servidor Jabber, el nombre de usuario y contraseña del usuario que nos notificará los eventos, y la cuenta Jabber del administrador que recibirá dichas notificaciones. RSS: Nos permite seleccionar una política de lectores permitidos, así como el enlace del canal. Podemos hacer que el canal sea público, que no sea accesible para nadie, o autorizar sólo a una dirección IP u objeto determinado Ejemplo práctico Usar el módulo eventos para hacer aparecer el mensaje ebox is up and running en el fichero /var/log/ebox/ebox.log. Dicho mensaje se generará cada vez que se reinicie el módulo de eventos. 1. Acción: Acceder a ebox, entrar en Estado del módulo y activar el módulo eventos, para ello marcar su casilla en la columna Estado. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Acceder al menú Eventos y a la pestaña Configurar eventos. Pulsar el icono del lápiz sobre la fila Estado. Marcar la casilla Habilitado y pulsar el botón Cambiar. Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado. 3. Acción: Acceder a la pestaña Configurar emisores. Pulsar el icono del lápiz sobre la fila Registro. Marcar la casilla Habilitado y pulsar el botón Cambiar. Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro. 4. Acción: Guardar los cambios. Efecto: ebox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. En el fichero de registro /var/log/ebox/ebox.log aparecerá un evento con el mensaje ebox is up and running. 218

225 CHAPTER 7. EBOX CORE 5. Acción: Desde la consola de la máquina ebox, ejecutar el comando sudo /etc/init.d/ebox events restart. Efecto: En el fichero de registro /var/log/ebox/ebox.log volverá a aparecer un nuevo evento con el mensaje ebox is up and running. 7.4 Copias de seguridad Diseño de un sistema de copias de seguridad La pérdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos. Fallos de hardware, fallos de software o un error humano pueden provocar un daño irreparable en el sistema o la pérdida de datos importantes. Es por tanto imprescindible diseñar un correcto procedimiento para realizar, comprobar y restaurar copias de seguridad o respaldo del sistema, tanto de configuración como de datos. Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas, es decir, una copia total de todos los datos, o copias incrementales, esto es, a partir de una primera copia completa copiar solamente las diferencias. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lógica adicional para la restauración de la copia de seguridad. La decisión más habitual es realizar copias incrementales y de vez en cuando hacer una copia completa a otro medio, pero esto dependerá de nuestras necesidades y recursos de almacenamiento disponibles. Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma máquina o a otra remota. El uso de una máquina remota ofrece un nivel de seguridad mayor debido a la separación física. Un fallo de hardware, un fallo de software, un error humano o una intrusión en el servidor principal no deberían de afectar la integridad de las copias de seguridad. Para minimizar este riesgo el servidor de copias debería ser exclusivamente dedicado para tal fin y no ofrecer otros servicios adicionales más allá de los requeridos para realizar las copias. Tener dos servidores no dedicados realizando copias uno del otro es definitivamente una mala idea, ya que un compromiso en uno lleva a un compromiso del otro. 219

226 ebox 1.4 para Administradores de Redes Configuración de las copias de seguridad con ebox En primer lugar, debemos decidir si almacenamos nuestras copias de seguridad local o remotamente. En caso de éste último, necesitaremos especificar que protocolo se usa para conectarse al servidor remoto. Figure 7.8: Configuración Método: Los distintos métodos que son soportados actualmente son FTP, Rsync, SCP y Sistema de ficheros. Debemos tener en cuenta que dependiendo del método que seleccione deberemos proporcionar más o menos información: dirección del servidor remoto, usuario o contraseña. Todos los métodos salvo Sistema de ficheros acceden servicios remotos. Ésto significa que proporcionaremos los credenciales adecuados para conectar con el servidor. Esto es, si se selecciona FTP, Rsync o SCP tendremos que introducir la dirección del servidor remoto. Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella del servidor remoto para añadirlo a la lista de servidores SSH conocidos. Si no se realiza esta operación, la copia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor. Servidor o destino: Para FTP, y SCP tenemos que proporcionar el nombre del servidor 220

227 CHAPTER 7. EBOX CORE remoto o su dirección IP. En caso de usar Sistema de ficheros, introduciremos la ruta de un directorio local. Usuario: Nombre de usuario para autenticarse en la máquina remota. Contraseña: Contraseña para autenticarse en la máquina remota. Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simétrica que se introduce en el formulario, o se puede seleccionar una clave GPG ya creada para dar cifrado asimétrico a tus datos. Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. Los valores son: Diario, Semanal y Mensual. Si seleccionas Semanal o Mensual, aparecerá una segunda selección para poder decidir el día exacto de la semana o del mes en el que se realizará la copia. Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales que están almacenadas. Es importante y debemos familiarizarnos con lo que significa. Tiene relación directa con Frecuencia de copia de seguridad completa. Si seleccionamos una frecuencia Semanal y el número de copias almacenadas a 2, la copia de respaldando más antigua será de dos semanas. De forma similar, seleccionando Mensual y 4, la copia de respaldo más antigua será de 4 meses. Deberemos seleccionar un valor acorde a el periodo que queramos almacenar de las copias de respaldo y el espacio en disco que tengamos. Frecuencia de copia incremental: Este valor también está relacionado con Frecuencia de copia de seguridad completa. Una configuración típica de copias de respaldo consiste en realizar copias incrementales entre las copias completas. Estas copias deben hacerse con más frecuencia que las completas. Esto significa que si tenemos copias completas semanales, las copias incrementales se harán diarias. Por el contrario, no tiene sentido hacer copias incrementales con las misma frecuencia que las completas. Para entender ésto mejor veamos un ejemplo: Si la copia incremental está activa podemos seleccionar una frecuencia Diaria o Semanal. En el último caso, se debe decidir el día de la semana. Sin embargo, hay que tener en cuenta que la frecuencia seleccionada debe ser mayor que la frecuencia de copia completa. En los días en que se realice una copia completa, se saltará cualquier copia incremental programada. Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso de la toma de la copia de respaldo, tanto el completo como el incremental. Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida. 221

228 ebox 1.4 para Administradores de Redes Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales que están almacenadas. Puedes elegir limitar por número o por antigüedad. Si limitas por número, solo el número indicados de copias será guardado; la última copia completa no se cuenta. En el caso que límites por antigüedad, sólo se guardarán las copias completas que sean más recientes que el período indicado. Cuando una copia completa se borra, todas las copias incrementales realizadas a partir de ella también son borradas. Configuración de los directorios y ficheros que son respaldados La configuración por defecto efectuará una copia de todo el sistema de ficheros. Esto significa que ante un eventual desastre seremos capaces de restaurar la máquina completamente. Es un buena idea no cambiar esta configuración al menos que tengas problemas de espacio. Una copia completa de una máquina ebox con todos sus módulos ocupa alrededor de 300 MB. Figure 7.9: Lista de inclusión y exclusión El orden en que se aplican las inclusiones y exclusiones se puede alterar usando los iconos de flechas. Note: Puedes excluir archivos por su extensión usando una exclusión con expresión regular. Por ejemplo si quieres que los archivos AVI no figuren en la copia de respaldo, puedes seleccionar Exclusión por expresión regular y añadir.avi$. 222

229 CHAPTER 7. EBOX CORE La lista por defecto de directorios excluidos es: /mnt, /dev, /media, /sys, y /proc. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podría fallar. La lista por defecto de directorios incluidos es: /. Podemos excluir extensiones de fichero utilizando caracteres de shell. Por ejemplo, si quieres saltarte ficheros de vídeo AVI de tu copia de seguridad, puedes seleccionar Excluir expresión regular y añadir *.avi. Comprobando el estado de las copias Podemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas. En esta tabla podemos ver el tipo de copia, completa o incremental, y la fecha de cuando fue tomada. Note: Si por cualquier razón borras manualmente los archivos del backup, puedes forzar a regenerar este listado con el comando: # /etc/init.d/ebox ebackup restart Figure 7.10: Estado de las copias Cómo comenzar un proceso de copia de respaldo manualmente El proceso de copia de respaldo se inicia automáticamente a la hora configurada. Sin embargo, si necesitamos comenzarlo manualmente podemos ejecutar: # /usr/share/ebox-ebackup/ebox-remote-ebackup --full O para iniciar una copia incremental: 223

230 ebox 1.4 para Administradores de Redes # /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental Restaurar ficheros Hay dos formas de restaurar un fichero. Dependiendo del tamaño del fichero o del directorio que deseemos restaurar. Es posible restaurar ficheros directamente desde el panel de control de ebox. En la sección Copia de seguridad Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que contiene la copia remota, así como las fecha de las distintas versiones que podemos restaurar. Si la ruta a restaurar es un directorio todos sus contenidos se restauraran, incluyendo subdirectorios. El archivo se restaurar con sus contenidos en la fecha seleccionada, si el archivo no esta presente en la copia de respaldo en esa fecha se restaurara la primera versión que se encuentre en las copias anteriores a la indicada; si no existen versiones anteriores se notificara con un mensaje de error. Warning: Los archivos mostrados en la interfaz son aquellos que están presentes en la última copia de seguridad. Los archivos que están almacenados en copias anteriores pero no en la última no se muestran, pero pueden ser restaurados a través de la línea de comandos. Podemos usar este método con ficheros pequeños. Con ficheros grandes, el proceso es costoso en tiempo y no se podrá usar el interfaz Web de ebox mientras la operación está en curso. Debemos ser especialmente cautos con el tipo de fichero que restauramos. Normalmente, será seguro restaurar ficheros de datos que no estén siendo abiertos por aplicaciones en ese momento. Estos archivos de datos están localizados bajo el directorio /home/samba. Sin embargo, restaurar ficheros del sistema de directorios como /lib, /var o /usr mientras el sistema está en funcionamiento puede ser muy peligroso. No hagas ésto a no ser que sepas muy bien lo que estás haciendo. Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente. Dependiendo del fichero, podemos hacerlo mientras el sistema está en funcionamiento. Sin embargo, para directorios de sistema usaremos un CD de rescate como explicamos más tarde. En cualquier caso, debemos familiarizarnos con la herramienta que usa este módulo: duplicity. El proceso de restauración de un fichero o directorio es muy simple. Se ejecuta el siguiente comando: duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL r 224

231 CHAPTER 7. EBOX CORE Figure 7.11: Restaurar un fichero La opción -t se usa para seleccionar la fecha que queremos restaurar. En este caso, 3D significa hace tres días. Usando now podemos restaurar la copia más actual. Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la sección Restaurar ficheros en ebox. Figure 7.12: URL remota y argumentos Por ejemplo, si queremos restaurar el fichero /home/samba/users/john/balance.odc ejecutaríamos el siguiente comando: 225

232 ebox 1.4 para Administradores de Redes # duplicity restore --file-to-restore home/samba/users/john/balance.odc \ scp://backupuser@ ssh-askpass --no-encryption /tmp/balance.odc El comando mostrado arriba restauraría el fichero en /tmp/balance.odc. Si necesitamos sobreescribir un fichero o un directorio durante una operación de restauración necesitamos añadir la opción force, de lo contrario duplicity rechazará sobreescribir los archivos Como recuperarse de un desastre Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y experiencia para llevar a cabo una recuperación en un momento crítico. Debemos ser capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo. Para recuperarnos de un desastre total, arrancaremos el sistema usando un CD-ROM de rescate que incluye el software de copia de respaldos duplicity. El nombre de este CD-ROM es grml. Descargaremos la imagen de grml y arrancaremos la máquina con ella. Usaremos el parámetro nofb en caso de problemas con el tamaño de la pantalla. Una vez que el proceso de arranque ha finalizado podemos obtener un intérprete de comandos pulsando la tecla enter. Si nuestra red no está configurada correctamente, podemos ejecutar netcardconfig para configurarla. El siguiente paso es montar el disco duro de nuestro sistema. En este caso, vamos a suponer que nuestra partición raíz es /dev/sda1. Así que ejecutamos: # mount /dev/sda1 /mnt El comando de arriba montará la partición en el directorio /mnt. En este ejemplo haremos una restauración completa. Primero eliminaremos todos los directorios existentes en la partición. Por supuesto, si no haces una restauración completa este paso no es necesario. Para eliminar los ficheros existentes y pasar a la restauración ejecutamos: # rm -rf /mnt/* Instalaremos duplicity en caso de no tenerlo disponible: 226

233 CHAPTER 7. EBOX CORE Figure 7.13: Arranque grml Figure 7.14: Comenzar un intérprete de comandos 227

234 ebox 1.4 para Administradores de Redes # apt-get update # apt-get install duplicity Antes de hacer una restauración completa necesitamos restaurar /etc/passwd y /etc/group. En caso contrario, podemos tener problemas al restaurar archivos con el propietario incorrecto. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numéricos. Así pues, tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario o grupo tienen distinto UID o GID. Para evitar este problema sobreescribimos /etc/passwd y /etc/group en el sistema de rescate. Ejecutamos: # duplicity restore --file-to-restore etc/passwd \ # scp://backupuser@ /etc/passwd --ssh-askpass --no-encryption --force # duplicity restore --file-to-restore etc/group \ # scp://backupuser@ /etc/group --ssh-askpass --no-encryption --force Warning: Si usamos SCP, tendremos que ejecutar sudo ssh usuario@servidor para añadir el servidor remoto a la lista de servidores SSH conocidos. Si no se realiza esta operación, la copia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor. Ahora podemos proceder con la restauración completa ejecutando duplicity manualmente: # duplicity restore scp://backupuser@ /mnt/ --ssh-askpass --no-encryp Por último debemos crear los directorios excluidos de la copia de respaldo así como limpiar los directorios temporales: # mkdir -p /mnt/dev # mkdir -p /mnt/sys # mkdir -p /mnt/proc # rm -fr /mnt/var/run/* # rm -fr /mnt/var/lock/* El proceso de restauración ha finalizado y podemos reiniciar el sistema original. 228

235 CHAPTER 7. EBOX CORE Copias de seguridad de la configuración ebox Platform dispone adicionalmente de otro método para realizar copias de seguridad de la configuración y restaurarlas desde la propia interfaz. Este método guarda la configuración de todos los módulos que hayan sido habilitados por primera vez en algún momento, los usuarios del LDAP y cualquier otro fichero adicional para el funcionamiento de cada módulo. También permite realizar copia de seguridad de los datos que almacena cada módulo (directorios de usuarios, buzones de voz, etc.). Sin embargo, desde la versión 1.2 se desaconseja esta opción en favor del método comentado anteriormente a lo largo de este capítulo, ya que no está preparado el sistema para manejar grandes cantidades de datos. Para acceder a las opciones de estas copias de seguridad lo haremos, como de costumbre, a través del menú principal Sistema Backup. No se permite realizar copias de seguridad si existen cambios en la configuración sin guardar, como puede verse en el aviso que aparece en la imagen. Una vez introducido un nombre para la copia de seguridad, seleccionado el tipo deseado (configuración o completo) y pulsando el botón Backup, aparecerá una pantalla donde se mostrará el progreso de los distintos módulos hasta que finalice con el mensaje de Backup finalizado con éxito. Posteriormente, si volvemos a acceder a la pantalla anterior, veremos que en la parte inferior de la página aparece una Lista de backups. A través de esta lista podemos restaurar, descargar a nuestro disco, o borrar cualquiera de las copias guardadas. Así mismo aparecen como datos informativos el tipo de copia, la fecha de realización de la misma y el tamaño que ocupa. En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado, por ejemplo, perteneciente a una instalación anterior 229

236 ebox 1.4 para Administradores de Redes de ebox Platform en otra máquina, y restaurarlo mediante Restaurar. Al restaurar se nos pedirá confirmación, hay que tener cuidado porque la configuración actual será reemplazada por completo. El proceso de restauración es similar al de copia, después de mostrar el progreso se nos notificará el éxito de la operación si no se ha producido ningún error. Herramientas de linea de comandos para copias de seguridad de la configuración Existen dos herramientas disponibles a través de la línea de comandos que también nos permiten guardar y restaurar la configuración. Residen en /usr/share/ebox, se denominan ebox-make-backup y ebox-restore-backup. ebox-make-backup nos permite realizar copias de seguridad de la configuración, entre sus opciones están elegir qué tipo de copia de seguridad queremos realizar. Entre estos está el bug-report que ayuda a los desarrolladores a arreglar un fallo al enviarlo, incluyendo información extra. Cabe destacar que en este modo, las contraseñas de los usuarios son reemplazadas para mayor confidencialidad. Este tipo de copia de seguridad no se puede realizar desde la interfaz web. Podemos ver todas las opciones del programa con el parámetro help. ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuración. Posee también una opción para extraer la información del fichero. Otra opción a señalar es la posibilidad de hacer restauraciones parciales, solamente de algunos módulos en concreto. Es el caso típico cuando queremos restaurar una parte de una copia de una versión antigua. También es útil cuando el proceso de restauración ha fallado por algún motivo. Tendremos que tener especial cuidado con las dependencias entre los módulos. Por ejemplo, si restauramos una copia del módulo de cortafuegos que depende de una configuración del módulo objetos y servicios debemos restaurar también estos primero. Aún así, existe una opción para ignorar las dependencias que puede ser útil usada con precaución. Si queremos ver todas las opciones de este programa podemos usar también el parámetro help. 7.5 Actualización de software Como todo sistema de software, ebox Platform requiere actualizaciones periódicas, bien sea para añadir nuevas características o para reparar defectos o fallos del sistema. 230

237 CHAPTER 7. EBOX CORE ebox distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu, APT 5, sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso. 6 Mediante la interfaz web podremos ver para qué componentes de ebox está disponible una nueva versión e instalarlos de un forma sencilla. También podemos actualizar el software en el que se apoya ebox, principalmente para corregir posibles fallos de seguridad Gestión de componentes de ebox La gestión de componentes de ebox permite instalar, actualizar y eliminar módulos de ebox. El propio gestor de componentes es un módulo más, y como cada módulo de ebox, debe ser habilitado antes de ser usado. Para gestionar los componentes de ebox debemos entrar en Gestión de Software Componentes de ebox. Presenta una lista con todos los componentes de ebox, así como la versión instalada y la ultima versión disponible. Aquellos componentes que no estén instalados o actualizados, pueden instalarse o actualizarse pulsando en el icono correspondiente en la columna de Acciones. Existe un botón de Actualizar todos los paquetes para actualizar todos aquellos que tengan actualización disponible. También podemos desinstalar componentes pulsando el icono apropiado para esta acción. Antes de realizar la desinstalación, se muestra un diálogo con la lista de aquellos paquetes de software que 5 Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto Debian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo GNU/Linux 6 Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu, leer el capítulo al respecto de la documentación oficial 231

238 ebox 1.4 para Administradores de Redes se van a eliminar. Este paso es necesario porque hemos podido querer eliminar un componente que al ser usados por otros conlleva también la eliminación de los últimos. Algunos componentes son básicos y no pueden desinstalarse, ya que haría que se desinstalase ebox Platform Actualizaciones del sistema Las actualizaciones del sistema actualizan programas usados por ebox. Para llevar a cabo su función, ebox Platform usa diferentes programas del sistema para llevar a cabo sus funciones, en los distintos paquetes de los componentes de ebox. Dichos programas son referenciados como dependencias asegurando que al instalar ebox, son instalados también ellos asegurando el correcto funcionamiento de ebox Platform. De manera análoga, estos programas pueden tener dependencias también. Normalmente una actualización de una dependencia no es suficientemente importante como para crear un nuevo paquete de ebox con nuevas dependencias, pero sí puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad. Para ver las actualizaciones del sistema debemos ir a Gestión de Sofware Actualizaciones del sistema. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema está ya actualizado. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web, los datos de esta pueden quedar desactualizados. Por ello, cada noche se ejecuta el proceso de búsqueda de actualizaciones a instalar en el sistema. Si se quiere forzar dicha búsqueda se puede hacer ejecutando: $ sudo ebox-software Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo de más información. Si es una actualización de seguridad podemos ver el fallo de seguridad con el registro de cambios del paquete, pulsando sobre el icono. Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la acción y pulsar el botón correspondiente. Como atajo también tenemos un botón de Actualizar todos los paquetes. Durante la actualización se irán mostrando mensajes sobre el progreso de la operación. 232

239 CHAPTER 7. EBOX CORE 233

240 ebox 1.4 para Administradores de Redes Actualizaciones automáticas Las actualizaciones automáticas consisten en que ebox Platform automáticamente instala cualquier actualización disponible. Dicha actualización se realiza cada noche a la medianoche. Podremos activar esta característica accediendo a la pagina Gestión de Software Actualizaciones automáticas. No es aconsejable usar esta opción si el administrador quiere tener una mayor seguridad en la gestión de sus actualizaciones. Realizando la actualizaciones manualmente se facilita que posibles errores en las mismas no pasen desapercibidos. 7.6 Cliente del Centro de Control ebox Control Center es una solución tolerante a fallos que permite la monitorización en tiempo real y la administración de múltiples instalaciones de ebox de un modo centralizado. Incluye características como administración segura, centralizada y remota de grupos de ebox, copias de seguridad de configuración automáticas remotas, monitorización de red e informes personalizados. 7 A continuación se describe la configuración del lado del cliente con el Centro de Control Subscribir ebox al Centro de Control Para configurar ebox para suscribirse al Centro de Control, debes instalar el paquete eboxremoteservices que se instala por defecto si usas el instalador de ebox. Además, la conexión a Internet debe estar disponible. Una vez esté todo preparado, ve a Centro de Control y rellena los siguientes campos: Nombre de Usuario o Dirección de Correo: Se debe establecer el nombre de usuario o la dirección de correo que se usa para entrar en la página Web del Centro de Control. Contraseña: Es la misma contraseña que se usa para entrar en la Web del Centro de Control

241 CHAPTER 7. EBOX CORE Nombre de ebox: Es el nombre único que se usará para esta ebox desde el Centro de Control. Este nombre se muestra en el panel de control y debe ser un nombre de dominio válido. Cada ebox debería tener un nombre diferente, si dos eboxes tiene el mismo nombre para conectarse al Centro de Control, entonces sólo una de ellas se podrá conectar. Figure 7.16: Subscribiendo ebox al Centro de Control Tras introducir los datos, la subscripción tardará alrededor de un minuto. Nos tenemos que asegurar que tras terminar el proceso de subscripción se guardan los cambios. Durante el proceso se habilita una conexión VPN entre ebox y el Centro de Control, por tanto, se habilitará el módulo vpn. 8 Figure 7.17: Tras suscribirse ebox al Centro de Control Si la conexión funcionó correctamente con el Centro de Control, entonces un widget aparecerá en el dashboard indicando que la conexión se estableció correctamente. Figure 7.18: Widget de conexión al Centro de Control 8 Para más información sobre VPN, ir a la sección Redes privadas virtuales (VPN). 235

242 ebox 1.4 para Administradores de Redes Copia de seguridad de la configuración al Centro de Control Una de las características usando el Centro de Control es la copia de seguridad automática de la configuración de ebox 9 que se almacena en el Centro de Control. Esta copia se hace diariamente si hay algún cambio en la configuración de ebox. Ir a Sistema > Backup Backup remoto para comprobar que las copias se han hecho correctamente. Puedes realizar una copia de seguridad de la configuración de manera manual si quieres estar seguro que tu última configuración está almacenada en el Centro de Control. Figure 7.19: Copia de seguridad de la configuración remota Se pueden restaurar, descargar o borrar copias de seguridad de la configuración que se almacenan en el Centro de Control. Además para mejorar el proceso de restauración ante un desastre, se puede restaurar o descargar la configuración almacenada de uno del resto de ebox suscritos al Centro de Control usando tu par usuario/correo electrónico y contraseña. Para hacer eso, ir a la pestaña Sistema Backup Backup remoto de otras máquinas suscritas. 9 Las copias de seguridad de la configuración en ebox se explican en la sección Copias de seguridad de la configuración. 236