111775475 servidor de red unificado para las pymes con zentyal
TRANSCRIPT
Servidor de red unificado para las PYMES con ZENTYAL SERVICIOS CORTAFUEGOS [Escriba aquí una descripción breve del documento. Normalmente, una descripción breve es un resumen corto del contenido del documento. Escriba aquí una descripción breve del documento. Normalmente, una descripción breve es un resumen corto del contenido del documento.]
Cap
ítu
lo:
Intr
od
ucc
ión
1
Contenido Introducción ........................................................................................................................................ 2
Objetivos ............................................................................................................................................. 3
Objetivo General: ........................................................................................................................ 3
Objetivos Específicos: .................................................................................................................. 3
Las pymes y las TICs............................................................................................................................. 4
Zentyal: servidor Linux para pymes .................................................................................................... 4
Zentyal Gateway .................................................................................................................................. 7
Cortafuegos ......................................................................................................................................... 7
Configuración de un cortafuegos con Zentyal ............................................................................ 8
Servicio de configuración de red (DHCP) .......................................................................................... 12
Configuración de un servidor DHCP con Zentyal ...................................................................... 12
Opciones personalizadas ........................................................................................................... 12
Opciones de DNS dinámico ....................................................................................................... 15
Opciones avanzadas .................................................................................................................. 16
Servicio de resolución de nombres de dominio (DNS) ...................................................................... 17
Configuración Protocolo DNS .................................................................................................... 17
Proxy DNS transparente ............................................................................................................ 19
Redirectores DNS: ..................................................................................................................... 19
Configuración de un servidor DNS autoritario con Zentyal ...................................................... 20
Servicio de Proxy HTTP ...................................................................................................................... 24
Configuración general del Proxy HTTP con Zentyal .................................................................. 24
Reglas de acceso........................................................................................................................ 26
Filtadro de contenidos con Zentyal ........................................................................................... 27
Limitación de ancho de banda .................................................................................................. 31
Conclusiones ..................................................................................................................................... 32
Bibliografía ........................................................................................................................................ 33
Anexos ................................................................................................... Error! Bookmark not defined.
Cap
ítu
lo:
Intr
od
ucc
ión
2
Introducción Antes de iniciar dando una descripción de nuestro proyecto, es necesario que en
primer lugar, podamos aclarar el concepto y uso de Zentyal pues al ser un software
(servidor) de código abierto o plataforma de Red y de fácil acceso posibilita el acceder
a Él.
Zentyal, también nos permite gestionar las amenazas de seguridad (UTM), además
configurarlo como servidor de oficina, como servidor de comunicaciones unificadas o
una combinación de estas. Zentyal también incluye un marco de desarrollo (un
framework) para facilitar el desarrollo de nuevos servicios basados en Unix.
Luego de haber dicho esto, ahora podemos dar a conocer brevemente en lo que
consiste nuestro proyecto; pues debemos realizar un Servidor de red Unificado para
las Pymes, utilizando Zentyal como plataforma para administrarlo.
En nuestro proyecto, hemos debido utilizar un cortafuego mediante la configuración de Zentyal; sabiendo que mediante las interfaces le podemos permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.
Además, también debimos configurar nuestro servidor mediante el Protocolo DHCP, que como bien sabemos nos sirve para configurar estáticamente nuestra Interfaz, mediante la cual se desplegará nuestro servicio.
Cap
ítu
lo: O
bje
tivo
s
3
Objetivos
Objetivo General:
Demostrar la practicidad en el uso y configuración de Zentyal como software apropiado
para la elaboración de servidores para las Pymes.
Objetivos Específicos:
Que los alumnos puedan interactuar con programas en los cuales sean capaces de
configurar múltiples servicios de internet para la aplicación de Servidores en línea;
mediante el uso de protocolos como el DHCP y el DNS.
Permitir a los usuarios la instalación de servidor Unificado para las Pymes, utilizando
también la herramienta del Cortafuegos, mediante la implementación de Linux como
sistema base.
Cap
ítu
lo: L
as p
ymes
y la
s TI
Cs
4
Las pymes y las TICs
Alrededor del 99% de las empresas del mundo son pymes, y generan más de la mitad del PIB mundial. Las pymes buscan continuamente fórmulas para reducir costes y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral limitada. Estas circunstancias hacen muy difícil ofrecer soluciones adaptadas a las pymes que les aporten importantes beneficios, manteniendo al mismo tiempo las inversiones necesarias y los costes operacionales dentro de su presupuesto.
Quizás sea esta la razón por la que siendo un mercado enorme con un potencial casi ilimitado, los fabricantes de tecnología han mostrado escaso interés en desarrollar soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativas disponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y demandan un alto nivel de conocimientos técnicos.
En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados costes de licencias.
En este contexto parece razonable considerar a Linux como una alternativa más que interesante como servidor para pymes, puesto que técnicamente ha demostrado una calidad y nivel funcional muy elevados y su precio de entrada es muy competitivo. Sin embargo la presencia de Linux en entornos de pyme es testimonial y su crecimiento relativamente reducido. ¿Cómo es posible explicar estos datos?
Nosotros creemos que la razón es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesita que sus distintos componentes estén bien integrados entre sí y que sean sencillos de administrar. Así mismo, los proveedores de servicios TIC para pymes también precisan de soluciones que requieran poco tiempo en despliegue y mantenimiento para poder ser competitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estas premisas.
Zentyal: servidor Linux para pymes
Zentyal se desarrolló con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa. Es la alternativa en código abierto a los productos de Microsoft para infraestructura TIC en las pymes (Windows Small Business Server, Windows Server, Microsoft Exchange, Microsoft Forefront...) y está basado en la popular distribución Ubuntu. Zentyal permite a profesionales TIC administrar todos los servicios de una red informática, tales como el acceso a Internet,
Cap
ítu
lo: Z
enty
al: s
ervi
do
r Li
nu
x p
ara
pym
es
5
la seguridad de la red, la compartición de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a través de una única plataforma.
Durante su desarrollo se hizo un especial énfasis en la usabilidad, creando una interfaz intuitiva que incluye únicamente aquellas funcionalidades de uso más frecuente, aunque también dispone de los medios necesarios para realizar toda clase de configuraciones avanzadas. Otra de las características importantes de Zentyal es que todas sus funcionalidades están estrechamente integradas entre sí, automatizando la mayoría de las tareas y ahorrando tiempo en la administración de sistemas.
Teniendo en cuenta que el 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresa se deben a errores humanos en la configuración y administración de los mismos, el resultado es una solución no sólo más sencilla de manejar sino también más segura y fiable. En resumen, además de ofrecer importantes ahorros, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa.
El desarrollo de Zentyal se inició en el año 2004 con el nombre de eBox Platform y actualmente es una solución consolidada de reconocido prestigio que integra más de 30 herramientas de código abierto para la administración de sistemas y redes en una sola tecnología. Zentyal está incluido en Ubuntu desde el año 2007, desde el año 2012 las ediciones comerciales están oficialmente respaldadas por Canonical la empresa detrás del desarrollo y comercialización de Ubuntu y en la actualidad Zentyal tiene más de 1.000 descargas diarias y dispone de una comunidad activa de miles de miembros.
Hoy en día hay ya decenas de miles de instalaciones activas de Zentyal, principalmente en América y Europa, aunque su uso está extendido a prácticamente todos los países del globo, siendo Estados Unidos, Alemania, España, Brasil y Rusia los países que cuentan con más instalaciones. Zentyal se usa principalmente en pymes, pero también en otros entornos como centros educativos, administraciones públicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA.
El desarrollo del servidor Zentyal está financiado por Zentyal S.L. Zentyal es un servidor Linux completo que se puede usar de forma gratuita sin soporte técnico y actualizaciones, o con soporte completo por una cuota mensual muy asequible. Las ediciones comerciales están dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la Edición Small Business está dirigida a pequeñas empresas con menos de 25 usuarios y con un sólo servidor o una infraestructura TIC relativamente sencilla. Por otra parte, la Edición Enterprise está dirigida a pequeñas y medianas empresas con más de 25 usuarios y, por lo general, con múltiples servidores.
Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios y herramientas:
Cap
ítu
lo: Z
enty
al: s
ervi
do
r Li
nu
x p
ara
pym
es
6
Soporte técnico completo por el Equipo de Soporte de Zentyal Soporte oficial de Ubuntu/Canonical Actualizaciones de software y de seguridad Plataforma de monitorización y gestión remota de servidores y escritorios Recuperación de desastres Proxy HTTPS Múltiples administradores del servidor
Así mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pueden ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma independiente:
Correo electrónico en la nube Compartición corporativa de ficheros
´
Una infraestructura de red profesional con un coste mensual asequible
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autorizados de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o proveedores de servicios gestionados que ofrecen servicios de asesoría, despliegue, soporte y/o externalización de la infraestructura y servicios de red de sus clientes.
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios de gestión orientados a reducir los costes de mantenimiento de la infraestructura TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor añadido:
Plataforma de soporte Plataforma de monitorización y gestión remota de servidores y escritorios Formación y certificación del personal técnico y comercial Portafolio de servicios gestionados Materiales de venta Programa de generación de oportunidades de venta Descuentos
Cap
ítu
lo: Z
enty
al G
atew
ay
7
Zentyal Gateway
En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y definir políticas de conexiones y contenidos.
Uno de los apartados fundamentales está centrado en el funcionamiento del módulo de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de la red interna. Para simplificar la configuración del cortafuego, dividiremos los tipos de tráfico dependiendo de su origen y destino y haremos uso de los objetos y servicios definidos.
A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra dependiendo del tráfico. Además, también se verá cómo garantizar la calidad del servicio, configurando qué tráfico tiene prioridad frente a otro o incluso limitar la velocidad en algún caso, como podría ser el P2P.
Mediante RADIUS podremos autenticar a los usuarios en la red, especialmente útil si deseamos evitar los problemas de seguridad asociados a contraseñas simétricas en redes inalámbricas.
Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una caché de navegación y establecer diferentes políticas de filtrado de contenidos.
El Portal Cautivo con monitorización de ancho de banda nos permitirá dar acceso a Internet únicamente a los clientes que deseemos, redirigiendo el tráfico a nuestra página de registro, con informes en tiempo real de usuarios conectados y su consumo de red.
Por último, gracias al módulo de IDS podremos establecer unas heurísticas con las que detectar automáticamente un variado rango de amenazas a nuestra seguridad, tanto en redes internas como externas.
Cortafuegos
Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter, que proporciona funcionalidades de filtrado, marcado de tráfico y de redirección de conexiones.
http://www.netfilter.org/
Cap
ítu
lo: C
ort
afu
ego
s
8
Configuración de un cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras añadir un nuevo servicio.
Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.
Interfaz externa
La política por defecto para las interfaces externas es denegar todo intento de nueva conexión a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexión a Zentyal excepto los que se realizan a servicios definidos por los módulos instalados. Los módulos añaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepción a esta norma son las conexiones al servidor LDAP, que añaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuración predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones.
La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de paquetes.
Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que serán aplicadas:
Cap
ítu
lo: C
ort
afu
ego
s
9
Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local).
Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet a unas direcciones internas o restringir la comunicaciones entre las subredes internas).
Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor).
Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet).
Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).
Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.
Esquema de los diferentes flujos de tráfico en el cortafuegos
Estudiando el esquema, podemos determinar en que sección se encontraría cualquier tipo de tráfico que deseemos controlar en nuestro cortafuegos. Las flechas sólo indican origen y destino, como es natural, todo el tráfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una máquina en Internet el destino, pero la conexión será procesada por Zentyal, que es la puerta de enlace para esa máquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la política de un cortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidos
Cap
ítu
lo: C
ort
afu
ego
s
10
anteriormente: los Servicios de red para especificar a qué protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qué direcciones IP de origen o de destino se aplican.
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes externas.
Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas de tráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricos que son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
Cap
ítu
lo: C
ort
afu
ego
s
11
El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones:
Aceptar la conexión. Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al
origen que no se ha podido establecer la conexión. Registrar la conexión como un evento y seguir evaluando el resto de reglas. De
esta manera, a través de Mantenimiento ‣ Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones que se están produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba hacia abajo), una vez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla genérica al principio, puede hacer que otra regla más específica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de aplicar un no lógico a la evaluación de miembros de una regla con Coincidencia Inversa para la definición de políticas más avanzadas.
Creando una nueva regla en el firewall
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión. Igualmente si queremos restringir la salida a Internet, primero explícitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden daría acceso a todos los sitios a todo el mundo.
Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamente añadir reglas que las permitan. Hay una serie de reglas que se añaden automáticamente durante la instalación para definir una primera versión de la política del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Tráfico de Zentyal a redes externas) y también se permiten todas las conexiones desde las redes internas hacia las externas (en
Cap
ítu
lo:
Serv
icio
de
con
figu
raci
ón
de
red
(D
HC
P)
12
Tráfico entre redes internas y de redes internas a Internet). Además cada módulo instalado añade una serie de reglas en las secciones Tráfico de redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de instalación de un módulo por primera vez y no son modificadas automáticamente en el futuro.
Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla dentro de la política global del cortafuegos.
Servicio de configuración de red (DHCP)
Para configurar el servicio de DHCP, Zentyal usa ISC DHCP Software, el estándar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.
Configuración de un servidor DHCP con Zentyal
El servicio DHCP necesita una interfaz configurada estáticamente sobre la cual se despliega el servicio. Esta interfaz deberá además ser interna. Desde el menú DHCP podemos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.
Interfaces sobre las que podemos servir DHCP
Opciones personalizadas
Una vez damos clic en la configuración de una de estas interfaces, se nos mostrará el
siguiente formulario:
Cap
ítu
lo:
Serv
icio
de
con
figu
raci
ón
de
red
(D
HC
P)
13
Configuración del servicio DHCP
Los siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas:
Puerta de enlace predeterminada:
Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que
no están en su red local, como podría ser Internet. Su valor puede ser Zentyal, una
puerta de enlace ya configurada en el apartado Red ‣ Routers o una Dirección IP
personalizada.
Dominio de búsqueda:
En una red cuyas máquinas estuvieran nombradas bajo el mismo subdominio, se
podría configurar este como el dominio de búsqueda. De esta forma, cuando se intente
resolver un nombre de dominio sin éxito (por ejemplo host), se intentará de nuevo
añadiéndole el dominio de búsqueda al final (host.zentyal.lan).
Servidor de nombres primario:
Especifica el servidor DNS que usará el cliente en primer lugar cuando tenga que
resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la dirección IP
Cap
ítu
lo:
Serv
icio
de
con
figu
raci
ón
de
red
(D
HC
P)
14
de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal,
hay que tener en cuenta que el módulo DNS debe estar habilitado.
Servidor de nombres secundario:
Servidor DNS con el que contactará el cliente si el primario no está disponible. Su
valor debe ser una dirección IP de un servidor DNS.
Servidor NTP:
Servidor NTP que usará el cliente para sincronizar el reloj de su sistema. Puede ser
Ninguno, Zentyal NTP local o la dirección IP de otro servidor NTP. Si queremos que se
consulte el propio servidor NTP de Zentyal, hay que tener el módulo NTP habilitado.
Servidor WINS:
Servidor WINS (Windows Internet Name Service) que el cliente usará para resolver
nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro
Personalizado. Si queremos usar Zentyal como servidor WINS, el módulo de
Compartición de ficheros tiene que estar habilitado.
Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las asignaciones estáticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estáticas; en caso contrario el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red.
Configuración de los rangos de DHCP
Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una
determinada interfaz vienen determinados por la dirección estática asignada a dicha
interfaz. Cualquier dirección IP libre de la subred correspondiente puede utilizarse en
rangos o asignaciones estáticas.
Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el
rango y los valores que se quieran asignar dentro del rango que aparece encima.
Cap
ítu
lo:
Serv
icio
de
con
figu
raci
ón
de
red
(D
HC
P)
15
Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones
físicas en el apartado Asignaciones estáticas. Para ello tendremos que crear un objeto,
cuyos miembros sean únicamente parejas de direcciones IP de host (/32) y direcciones
MAC. Podemos crear este objeto bien desde Red ‣ Objetos, bien usando el menú rápido
que se nos ofrece desde la interfaz de DHCP. Una dirección asignada de este modo no
puede formar parte de ningún rango. Se puede añadir una Descripción opcional para la
asignación.
Podremos ver los clientes DHCP con asignaciones dinámicas (las estáticas no se mostrarán)
gracias a un widget que aparecerá en nuestro Dashboard:
Cliente con asignación dinámica activa
Opciones de DNS dinámico
Las opciones de DNS dinámico permiten asignar nombres de dominio a los clientes DHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las máquinas presentes en la red por medio de un nombre de dominio único en lugar de por una dirección IP que puede cambiar.
Configuración de actualizaciones DNS dinámicas
Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y para habilitar esta característica, el módulo DNS debe estar habilitado también. Se debe disponer de un Dominio dinámico y un Dominio estático, ambos se añadirán a la configuración de DNS automáticamente. El dominio dinámico aloja los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado es el que envía el cliente DHCP, normalmente el nombre de la máquina, si no envía ninguno usará el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Si existe conflictos
Cap
ítu
lo:
Serv
icio
de
con
figu
raci
ón
de
red
(D
HC
P)
16
con alguna asignación estática se sobrescribirá la dirección estática establecida manualmente. Con respecto al dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático> siendo el nombre que se establece en los miembros asociados al objeto que está en la tabla de Asignaciones estáticas.
Opciones avanzadas
Opciones avanzadas de DHCP
La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía desde 1800 segundos hasta 7200. Esta limitación también se aplica a las asignaciones estáticas.
Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pestaña Opciones Avanzadas podemos configurar el cliente ligero que anunciaremos por DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionaremos la máquina remota y en Ruta del fichero la ruta para encontrar la imagen dentro del servidor.
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
17
En caso de que nuestro servidor de clientes ligeros sea Zentyal, tendremos que escoger la Arquitectura de la imagen. Podemos elegir también si deseamos cliente ligero o pesado.
Servicio de resolución de nombres de dominio (DNS)
Nuestra configuración de DNS es vital para el funcionamiento de la autenticación en redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores de tickets de autenticación. Como hemos comentado anteriormente, este dominio viene preconfigurado para resolver los servicios Kerberos a partir de la instalación.
Es importante no confundir el cliente de DNS de Zentyal, que se encuentra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS está habilitado, nuestro cliente DNS lo usará siempre. En caso de que Zentyal no disponga de servidor DNS podremos consultar servidores externos. El servidor DNS, a su vez, puede ser configurado para reenviar las consultas para las que no tenga respuesta a otros servidores DNS externos.
BIND es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS de Zentyal.
http://www.isc.org/software/bind
Configuración Protocolo DNS
El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para las redes marcadas como internas en Zentyal, así que si solamente queremos que nuestro servidor realice caché de las consultas DNS, bastará con habilitar el módulo.
En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.
Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a través de un fichero de configuración. Podremos añadir estas redes en el fichero /etc/zentyal/dns.conf mediante la opción intnets=:
# Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes.
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
18
# Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets =
Tras reiniciar el módulo DNS se aplicarán los cambios.
El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a qué servidor autoritario tiene que preguntar la resolución de cada petición DNS y las almacenará localmente durante el período de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexión de red, aumentando la sensación de velocidad de los usuarios y reduciendo el consumo real de tráfico hacia Internet.
El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de búsqueda se configura en los clientes, pero se puede servir automáticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuración inicial de red, podrán adquirir también este dato. Por ejemplo, nuestro dominio de búsqueda podría ser foocorp.com, el usuario intentaría acceder a la máquina example; al no estar presente en sus máquinas conocidas, la resolución de este nombre fallaría, por lo que su sistema operativo probaría automáticamente con example.foocorp.com, resultando en una resolución de nombre con éxito en este segundo caso.
En Red ‣ Herramientas disponemos de la herramienta de Resolución de Nombres de
Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que
tengamos configurado en Red ‣ DNS.
Resolución de un nombre de dominio usando el DNS caché local
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
19
Proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuración de los clientes. Cuando esta opción está activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargará de responder. Los clientes deberán usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta opción es necesario tener activado el módulo de cortafuegos.
Proxy DNS transparente
Redirectores DNS:
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviará las consultas. Nuestro servidor buscará en primer lugar en su cache local, compuesta de los dominios registrados en la máquina y anteriores consultas cachedas; en caso de no tener respuesta registrada, acudirá a los redirectores. Por ejemplo, la primera vez que consultemos www.google.com, suponiendo que no tenemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de Zentyal consultará a los redirectores y almacenará la respuesta en el cache.
Redirector DNS
En caso de no tener ningún redirector configurado, el servidor DNS de Zentyal usará los servidores raíz DNS para resolver consultas no almacenadas.
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
20
Configuración de un servidor DNS autoritario con Zentyal
Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responderá a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor caché responderá a consultas sobre cualquier dominio solamente desde redes internas.
La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadir cuantos dominios y subdominios deseemos.
Lista de dominios
Podemos observar el dominio “local”, que se configuró durante la instalación o en el
wizard de DNS más adelante. Uno de los registros TXT de este dominio contiene el realm
(concepto similar a dominio) de autenticación de Kerberos. En sus registros de servicios
(SRV) podremos encontrar también información sobre los host y puertos necesarios para la
autenticación de los usuarios. De nuevo, si decidimos eliminar este dominio, sería
conveniente replicar esta información en el nuevo. Podemos tener cualquier número de
dominios simultáneamente, no causará ningún problema a los mecanismos de autorización
mencionados.
Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo.
Desde éste se configurará el Nombre del dominio.
Añadiendo un dominio
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
21
Dentro del dominio nos encontramos con diferentes registros que podemos configurar, en primer lugar las Direcciones IP del dominio. Un caso típico es agregar todas las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del dominio.
Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos dentro de él mediante la tabla Nombres de máquinas. Zentyal configurará automáticamente la resolución inversa. Además para cada uno de los nombres podremos definir cuantos Alias queramos. De nuevo, podemos asociar más de una dirección IP a nuestro nombre de máquina, lo cual nos puede servir para que los clientes sepan balancear entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la misma información.
Añadiendo un host
Normalmente, los nombres apuntan a la máquina dónde está funcionando el servicio y los
alias a los servicios alojados en ella. Por ejemplo, la máquina amy.example.com tiene los
alias smtp.example.com y mail.example.com para los servicios de mail y la máquina
rick.example.com tiene los alias www.example.com o store.example.com entre otros, para
los servicios web.
A la hora de añadir máquinas o alias de estas al dominio, se da por supuesto el nombre de dominio, es decir añadiremos la máquina ‘www’, no la ‘www.example.com’.
Añadiendo un alias
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
22
Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cuál de estos servidores le intentarán entregar los mensajes otros servidores. Si el de más preferencia falla lo reintentarán con el siguiente.
Añadiendo un intercambiador de correo
También podemos configurar los registros NS para cada dominio mediante la tabla
Servidores de nombres.
Añadiendo un nuevo servidor de nombres
Los registros de texto son registros DNS que suplementán un dominio o un nombre de maquina con información adicional en forma de texto. Esta información puede ser para consumo humano o, más frecuentemente, para uso de software. Se usa extensivamente para diferentes aplicaciones antispam (SPF o DKIM).
Cap
ítu
lo:
Serv
icio
de
reso
luci
ón
de
no
mb
res
de
do
min
io (
DN
S)
23
Añadiendo un registro de texto
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio. Podremos elegir si el campo está asociado a un nombre de maquina especifico o al dominio y el contenido del mismo.
Es posible asociar más de un campo de texto, tanto al dominio como a un nombre de máquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en qué máquinas residen. Podremos acceder a la lista de Registros de servicios a través del campo Registros de servicio de la lista de dominios. En cada registro de servicio se indicará el Nombre del servicio y su Protocolo. Identificaremos la maquina que proveerá el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibilidad del servicio y/o repartir carga es posible definir más de un registro por servicio, en este caso los campos Prioridad y Peso ayudarán a elegir el servidor a emplear. A menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos máquinas tienen el mismo nivel de prioridad se usará el peso para determinar cual de las máquinas recibirá mayor carga de trabajo. El protocolo XMPP que se usa para la mensajería instantánea hace uso extensivo de estos registros DNS. Kerberos también los necesita para la autenticación distribuida de usuarios en diferentes servicios.
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
24
Añadiendo un registro de servicio
Servicio de Proxy HTTP
Zentyal utiliza Squid para proxy HTTP junto a Dansguardian para el control de contenidos.
http://www.squid-cache.org/
http://www.dansguardian.org/
Configuración general del Proxy HTTP con Zentyal
Para configurar el proxy HTTP iremos a Proxy HTTP ‣ General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la política establecida o si por el contrario requerirá configuración manual. En este último caso, en Puerto estableceremos dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en la configuración del navegador.
El tamaño de la caché define el espacio en disco máximo usado para almacenar temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
25
cada administrador decidir cuál es el tamaño óptimo teniendo en cuenta las características del servidor y el tráfico esperado.
Proxy HTTP
Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos servidores web locales, no se acelerará su acceso usando la caché y se desperdiciaría memoria que podría ser usada por elementos de servidores remotos. Si un dominio está exento de la caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la caché.
A su vez, puede interesarnos que ciertas páginas no se sirvan a través del proxy, sino que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos añadir una excepción en Excepciones del Proxy Transparente.
La característica Activar Single Sign-On (Kerberos) sirve para validar el usuario automáticamente usando el ticket de Kerberos creado al inicio de sesión, por lo tanto nos puede ser útil si estamos usando proxy No Transparente, políticas de acceso por grupos y, por supuesto, un esquema de autorizaciones basado en Kerberos.
Advertencia: Si vamos a usar autenticación automática con Kerberos, al configurar el navegador cliente tendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca por IP.
El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducirá distracciones e incluso riesgos de seguridad para los usuarios. Para usar esta característica, debemos activar la opción Bloqueo de Anuncios.
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
26
Reglas de acceso
Una vez hayamos decidido nuestra configuración general, tendremos que definir reglas de acceso. Por defecto, la seccion Proxy HTTP ‣ Reglas de acceso contiene una regla permitiendo todo acceso. Al igual que en el Cortafuegos, la política por omisión de regla siempre será denegar y la regla que tendrá preferencia en caso de que varias sean aplicacables será la que se encuentre más arriba.
Nueva regla de acceso al proxy
Mediante el Período de tiempo podemos definir en que momento se tendrá en consideración esta regla, tanto las horas como los días. Por defecto se aplica en todo momento.
El Orígen es un parámetro muy flexible, ya que nos permite definir si esta regla se aplicacará a los miembros de un Objeto de Zentyal o a los usuarios de un determinado Grupo (recordemos que las restricciones por grupo sólo están disponibles para el modo de Proxy no transparente). La tercera opción es aplicar la regla sobre cualquier tipo de tráfico que atraviese el proxy.
Advertencia: Por limitaciones de DansGuardian no son posibles ciertas combinaciones de reglas basadas en grupo y reglas basadas en objeto. La interfaz de Zentyal avisará al usuario cuando se de uno de estos casos.
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el tráfico coincide con una de las reglas definidas, debemos indicarle una Decisión, en el caso del Proxy hay tres opciones:
Permitir todo: Permite todo el tráfico sin hacer ninguna comprobación, nos permite aún así, seguir disfrutando de caché de contenidos web y registros de accesos.
Denegar todo: Deniega la conexión web totalmente. Aplicar perfil de filtrado: Para cada petición, comprobará que los contenidos no
incumplen ninguno de los filtros definidos en el perfil, se desarrollarán los perfiles de filtrado en el siguiente apartado.
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
27
Observemos el siguiente ejemplo:
Ejemplo configuración de acceso al proxy
Cualquiera podrá acceder sin restricciones durante el fin de semana, ya que es la regla situada más arriba. El resto del tiempo, las peticiones que provengan del objeto de red ‘Marketing’ se tendrán que aprobar por los filtros y políticas definidos en ‘filtro_estricto’, las peticiones que provengan del objeto ‘Desarrolladores’ podrán acceder sin restricciones. Las peticiones que no estén contempladas en ninguna de estas tres reglas, serán denegadas.
Filtadro de contenidos con Zentyal
Zentyal permite el filtrado de páginas web en base a su contenido. Se pueden definir múltiples perfiles de filtrado en Proxy HTTP ‣ Perfiles de Filtrado.
Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
28
Accediendo a la Configuración de estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaña podemos encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la opción de antivirus, el módulo Antivirus debe estar instalado y activado.
Configuración del perfil
Estos dos filtros son dinámicos, es decir analizarán cualquier página en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser más o menos estricto, esto influirá en la cantidad de palabras inapropiadas que permitirá antes de rechazar una página.
En la siguiente pestaña Reglas de dominios y URLs podemos decidir de forma estática que dominios estarán permitidos en este perfil. Podemos decidir Bloquear sitios especificados sólo como IP, para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. Así mismo con la opción Bloquear dominios y URLs no listados podemos decidir si la lista de dominios más abajo se comporta como una blacklist o una whitelist, es decir, si el comportamiento por defecto será aceptar o denegar una página no listada.
Reglas de dominios y URLs
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
29
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios que queremos aceptar o denegar.
Para usar los filtros por Categorías de dominios debemos, en primer lugar, cargar una lista de dominios por categorías. Configuraremos la lista de dominios para el Proxy desde Proxy HTTP ‣ Listas por categorías
Lista por categorías
Una vez hayamos configurado la lista, podemos seleccionar que categoría en concreto deseamos permitir o denegar desde la pestaña Categorías de dominios del filtro.
Denegando toda la categoría de redes sociales
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
30
En las dos pestañas restantes podemos decidir los tipos de contenido o ficheros que serán aceptados por este perfil, ya sea por tipo MIME o por extensión de fichero. Los tipos MIME son un identificador de formato en Internet, por ejemplo application/pdf.
Filtro de tipos MIME
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde podremos elegir si el comportamiento por defecto será denegar todos o aceptar todos los tipos. Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:
Denegando los ficheros con extension ‘exe’.
Cap
ítu
lo:
Serv
icio
de
Pro
xy H
TTP
31
Limitación de ancho de banda
El Proxy nos permite implementar un límite flexible para controlar el ancho de banda que consumen nuestros usuarios. Este límite está basado en los algoritmos de cubeta con goteo o Token bucket. En estos algoritmos tenemos una cubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La velocidad de vaciado dependerá de las descargas del usuario. Si el usuario hace un uso razonable de la conexión, la cubeta se rellenará más rápido de lo que la vacía, por lo que no habrá penalización. Si el usuario empieza a vaciar la cubeta mucho más rápido de lo que esta se llena, se vaciará, y a partir de entonces se tendrá que conformar con la velocidad de llenado únicamente.
Este tipo de algoritmos es útil para permitir descargas de cierto tamaño, si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumirá parte de la cubeta pero descargará a máxima velocidad. Sin embargo, si el usuario utiliza una aplicación de P2P, consumirá rápidamente toda su reserva.
Por cada límite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tipos de cubetas: globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de los puestos consumirá de su cubeta por cliente y todos consumirán de la cubeta global.
Limitación de ancho de banda
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del objeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexión web funcionará a 30KB/s como máximo hasta que dejen de descargar por un tiempo. Una vez vacía, la cubeta tardará unos 28 minutos aproximadamente en volver a contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.
Cap
ítu
lo: C
on
clu
sio
nes
32
Conclusiones
Mediante la realización del presente trabajo, hemos podido conocer a fondo y muy detenidamente sobre la realización de servidores web, en algunas de las plataformas más utilizadas, siendo estas: Windows Server y Zentyal.
Cabe mencionar, que el último de los dos, se ha convertido en la actualidad en uno de los más importantes de todos, pues por ser de código abierto le permite a los usuarios acceder de manera más sencilla; además, también es posible configurar múltiples servicios de manera más sencilla.
Antes de finalizar, es necesario mencionar también, que actualmente existen 3 diferentes versiones de Zentyal 3.0 (el cual hemos utilizado en nuestro trabajo), las cuales mencionaremos a continuación:
SUSCRIPCION BASICA:
Es desarrollada para entornos de prueba únicamente. No incluye mantenimiento o actualizaciones. No incluye Soporte Tecnico.
EDICION SMALL BUSINESS:
Tiene un número máximo de 25 usuarios. Trae mantenimiento y actualización incluidos. Incluye sistema de recuperación de desastres local. Incluye un acceso completo a plataforma de gestión remota. Soporte técnico completo Cuenta con nivel de servicio hasta el siguiente día laborable.
EDICION ENTERPRISE:
No tiene número de usuarios, pues es ilimitado. Viene con mantenimiento y actualización incluidos. Cuenta con sistema de recuperación de desastres completo. Tiene acceso completo a la plataforma de gestión remota. Cuenta con soporte técnico completo. Tiene un nivel de servicio con un tiempo máximo de 4 horas.
Cap
ítu
lo: B
iblio
graf
ía
33
Bibliografía Referencias de Sitios Web:
http://www.zentyal.com/es/pricing-editions/
http://www.somoslibres.org/modules.php?name=News&file=article&sid=3797
http://es.wikipedia.org/wiki/Zentyal