Download - 93132068 Manual Completo Instalacion de Zentyal Firewall de Linux

7/14/2019 93132068 Manual Completo Instalacion de Zentyal Firewall de Linux

http://slidepdf.com/reader/full/93132068-manual-completo-instalacion-de-zentyal-firewall-de-linux 1/104

Manual completo Instalacion de Zentyal

Firewall de Linux

Zentyal

Este manual de Zentyal se presentara por partes Instalacion, configuracion inicial,

infraestructura y asi sucesivamente ya que el manual es muy largo, seran descritos en varios

post llamados parte1, 2...etc, lo hago ya que los Post que han publicado de Zentyal aunquemuy buenos carecen de manuales para su instalacion, espero les gusten y comenten

Introducción a Zentyal

* Presentación

o Las pymes y las TICso Zentyal: servidor Linux para pymes

o Acerca de esta documentación

* Instalacióno El instalador de Zentyal

o Configuración inicial

o Requisitos de hardware

* Primeros pasos con Zentyalo La interfaz web de administración de Zentyal

o Emplazamiento en la red de Zentyal

o Configuración de red en Zentyal

Zentyal Infrastructure

* Zentyal Infrastructure

* Servicio de resolución de nombres de dominio (DNS)

o Introducción a DNS

o Configuración de un servidor DNS caché con Zentyalo Configuración de un servidor DNS autoritario con Zentyal

* Servicio de sincronización de hora (NTP)

o Introducción a NTPo Configuración de un servidor NTP con Zentyal

* Servicio de configuración de red (DHCP)

o Introducción a DHCPo Configuración de un servidor DHCP con Zentyal

* Autoridad de certificación (CA)

o Infraestructura de clave pública (PKI)o Configuración de una Autoridad de Certificación con Zentyal

* Servicio de publicación de páginas web (HTTP)

o Introducción a HTTP

o Configuración de un servidor HTTP con Zentyal



* Servicio de Transferencia de ficheros (FTP)

o Introducción a FTPo Configuración de un servidor FTP con Zentyal

Zentyal Gateway

* Zentyal Gateway

* Abstracciones de red de alto nivel en Zentyal

o Objetos de redo Servicios de red

* Cortafuegos

o Introducción al sistema de cortafuegoso Configuración de un cortafuegos con Zentyal

o Redirección de puertos con Zentyal

* Encaminamiento

o Introducción al encaminamiento o routingo Configuración del encaminamiento con Zentyal

o Configuración del balanceo con Zentyal

o Configuración de la tolerancia a fallos con Zentyal* Calidad de servicio

o Configuración de la calidad de servicio con Zentyal

* Servicio de autenticación de red (RADIUS)o Introducción a RADIUS

o Configuración de un servidor RADIUS con Zentyal

* Servicio de Proxy HTTPo Introducción al servicio de Proxy HTTP

o Configuración del Proxy HTTP con Zentyal

o Limitación de las descargas con Zentyal

o Filtrado de contenidos con Zentyal

Zentyal Unified Threat Manager

* Zentyal Unified Threat Manager

* Configuración Avanzada para el proxy HTTP

o Configuración de perfiles de filtradoo Perfil de filtrado por objeto

o Filtrado basado en grupos de usuarios

o Filtrado basado en grupos de usuarios para objetos

* Servicio de redes privadas virtuales (VPN)o Introducción a las redes privadas virtuales (VPN)

o Configuración de un servidor VPN con Zentyal

o Configuración de un servidor VPN para la interconexión de redes con Zentyal* Sistema de Detección de Intrusos (IDS)

o Introducción al Sistema de Detección de Intrusos

o Configuración de un IDS con Zentyalo Alertas del IDS

* Filtrado de correo electrónico



o Esquema del filtrado de correo en Zentyal

o Listas de control de conexiones externaso Proxy transparente para buzones de correo POP3

Zentyal Office

* Zentyal Office

* Servicio de directorio (LDAP)

o Introducción al servicio de directorio (LDAP)o Configuración de un servidor Zentyal maestro

o Configuración de Zentyal como esclavo de Windows Active Directory

o Configuración de un servidor LDAP con Zentyalo Rincón del Usuario

o Ejemplos prácticos

o Ejercicios propuestos

* Servicio de compartición de ficheros y de autenticacióno Introducción a la compartición de ficheros y a la autenticación

o Configuración de un servidor de ficheros con Zentyal

o Configuración de un servidor de autenticación con Zentyal* Servicio de compartición de impresoras

o Acerca de la compartición de impresoras

o Configuración de un servidor de impresoras con Zentyal* Servicio de groupware

o Introducción al servicio de groupware

o Configuración de un servidor groupware (Zarafa) con Zentyal

Zentyal Unified Communications

* Zentyal Unified Communications* Servicio de correo electrónico (SMTP/POP3-IMAP4)

o Introducción al servicio de correo electrónico

o Configuración de un servidor SMTP/POP3-IMAP4 con Zentyal* Servicio de correo web

o Introducción al servicio de correo web

o Configuración del correo web con Zentyal* Servicio de mensajería instantánea (Jabber/XMPP)

o Introducción al servicio de mensajería instantánea

o Configuración de un servidor Jabber/XMPP con Zentyal

* Servicio de Voz sobre IPo Introducción a la Voz sobre IP

o Configuración de un servidor Voz IP con Zentyal

o Uso de las funcionalidades de Voz IP de Zentyal

Mantenimiento de Zentyal

* Mantenimiento de Zentyal

* Registros



o Consulta de registros en Zentyal

o Configuración de registros en Zentyal* Eventos y alertas

o La configuración de eventos y alertas en Zentyal

* Monitorización

o La monitorización en Zentyalo Métricas

o Alertas

* Copias de seguridado Backup de la configuración de Zentyal

o Configuración de las copias de seguridad de un servidor Zentyal

o Cómo recuperarse de un desastre* Actualización de software

o La actualización de software en Zentyal

o Gestión de componentes de Zentyal

o Actualizaciones del sistemao Actualizaciones automáticas

* Cliente de Zentyal Cloud

o Acerca de Zentyal Cloudo Subscribir un servidor Zentyal a Zentyal Cloud

o Copia de seguridad de la configuración a Zentyal Cloud

* Herramientas de soporteo Acerca del soporte en Zentyal

o Informe de la configuración

o Acceso remoto de soporte

Presentación

Las pymes y las TICs

Alrededor del 99% de las empresas del mundo son pymes, y generan más de la mitad del PIB

mundial. Pero en periodos de crisis como el actual suelen ser el segmento del tejido

económico más vulnerable y, por lo tanto, el que con mayor urgencia necesita reducir costesy aumentar su productividad.

Uno de los ámbitos donde mayor impacto se puede lograr en la reducción de costes yaumento de productividad en pymes es mediante la implantación de tecnologías de

información y comunicaciones (TIC). Y los datos estadísticos de los últimos años así lo

corroboran, con crecimientos anuales en adopción de soluciones TIC de más del 50% en

según qué segmentos.

Por otro lado, las pymes suelen operar bajo presupuestos muy escasos y con una fuerza

laboral limitada. De nuevo, los datos estadísticos del mercado corroboran esta percepción, puesto que sólo una quinta parte de las empresas pequeñas y únicamente la mitad de las

empresas medianas disponen de personal con funciones TIC específicas. Esto demuestra el

reducido nivel de recursos de las pymes y su alta dependencia de los servicios provistos demanera rápida, sencilla y eficiente por parte de proveedores TIC externos.



Merece la pena contrastar el enorme potencial y necesidades particulares de las pymes con el

escaso interés que han mostrado tradicionalmente los fabricantes de tecnología por desarrollar soluciones que se adapten a la realidad de las pymes. Por lo general, las

soluciones corporativas disponibles en el mercado se han desarrollado pensando en las

grandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y

demandan un alto nivel de conocimientos técnicos.

En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto

de pocas opciones donde elegir, consistentes por lo general en solucionessobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados costes

de licencias.

En este contexto parece razonable considerar a Linux como una alternativa más que

interesante como servidor para pymes, puesto que técnicamente ha demostrado una calidad y

nivel funcional muy elevados y su precio, gratuito, es imbatible. Sin embargo la presencia de

Linux en entornos de pyme es testimonial y su crecimiento relativamente reducido. ¿Cómo es posible explicar estos datos?

La razón es sencilla: para que un servidor de empresa se adapte a un entorno de pymenecesita que sus distintos componentes estén bien integrados entre sí y que sean sencillos de

administrar. Las pymes no tienen los recursos ni el tiempo necesario para desplegar

soluciones de altas prestaciones pero complejas. Así mismo, los proveedores de servicios TIC para pymes también precisan de soluciones que consuman poco tiempo en despliegue y

mantenimiento para poder ser competitivos, y las tradicionales distribuciones de Linux para

servidor no cumplen con estas premisas.Zentyal: servidor Linux para pymes¶

Zentyal [1] se desarrolló con el objetivo de acercar Linux a las pymes y permitirles

aprovechar todo su potencial como servidor de empresa. Es la alternativa en código abierto aWindows Small Business Server, basado en la popular distribución Ubuntu. Zentyal permite

a profesionales TIC administrar todos los servicios de una red informática, tales como el

acceso a Internet, la seguridad de la red, la compartición de recursos, la infraestructura de lared o las comunicaciones, a través de una única plataforma.

Zentyal

Zentyal permite gestionar la red de una forma fácil y centralizada

Durante su desarrollo se hizo un especial énfasis en la usabilidad, creando una interfaz

intuitiva que incluye únicamente aquéllas funcionalidades de uso más frecuente, aunquetambién dispone de los medios necesarios para realizar toda clase de configuraciones.

Otra de las características más importantes de Zentyal es que todas sus funcionalidades,construidas a partir de una serie de aplicaciones en principio independientes, están

estrechamente integradas entre sí, automatizando la mayoría de las tareas y ahorrando tiempo

en la administración de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad yel 80% de los cortes de servicio en una empresa se deben a errores humanos en la

configuración y administración de los mismos [2], el resultado es una solución no sólo más



sencilla de manejar sino también más segura y fiable. Además de acercar Linux y el Software

Libre a las pymes con los importantes ahorros que ello supone, Zentyal mejora la seguridad ydisponibilidad de los servicios en la empresa.

El desarrollo de Zentyal se inició en el año 2004 con el nombre de eBox Platform y

actualmente es una solución consolidada de reconocido prestigio que integra alrededor de 30herramientas de código abierto para la administración de sistemas y redes en una sola

tecnología. Zentyal está incluido en Ubuntu desde el año 2007, en la actualidad tiene más de

30.000 descargas mensuales y dispone de una comunidad activa de más de 4.000 miembros.

Se estima que hay unas 40.000 instalaciones activas de Zentyal, principalmente en América y

Europa, aunque su uso está extendido a prácticamente todos los países del globo, siendoEstados Unidos, Alemania, España, Italia y Brasil los países que cuentan con más

instalaciones. Zentyal se usa principalmente en pymes, pero también en otros entornos como

centros educativos, administraciones públicas, hospitales o incluso en instituciones de alto

prestigio como la propia NASA.

El desarrollo de Zentyal está financiado por eBox Technologies que además ofrece a las

pymes y otros usuarios de Zentyal de todo el mundo, herramientas y servicios de gestiónorientados a reducir los costes de mantenimiento de la infraestructura TIC. Estas

herramientas y servicios comerciales se agrupan en Suscripciones de Servidor y se ofrecen a

los clientes a través de Zentyal Cloud:

* actualizaciones del sistema con garantía de calidad,

* notificaciones y alertas de los eventos ocurridos en el servidor y los distintos servicios,* informes periódicos sobre el uso del sistema por los usuarios y un resumen de los eventos

más relevantes,

* inventario, monitorización y administración centralizada de múltiples servidores Zentyal

junto con informes de los cambios en la configuración.



Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un coste

reducido

Las suscripciones están dirigidas a dos tipos de clientes claramente diferenciados. Por un lado

la Suscripción Profesional está dirigida a pequeñas empresas o proveedores TIC con un

número reducido de servidores Zentyal que deben ser mantenidos al día, asegurando sucontínuo funcionamiento, que se benefician de las actualizaciones garantizadas, las alertas y

los informes. Por otra parte, la Suscripción Empresarial está dirigida a grandes empresas o

proveedores de servicios gestionados que además tienen la necesidad de monitorizar yadministrar múltiples instalaciones Zentyal de forma remota. Así mismo, los clientes que

dispongan de una suscripción, pueden obtener acceso a suscripciones adicionales como la

recuperación de desastres, actualizaciones avanzadas de seguridad o llamadas mediante VozIP a un bajo coste.

Estas subscripciones se complementan con otros servicios adicionales como formación,

despliegue o soporte técnico provistos generalmente por alguno de sus partners certificados.

Zentyal dispone de una Red Global de Partners en rápida expansión, a través de la cualconsigue llevar la atención necesaria para distribuir el producto y los servicios a las pymes de

todo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de serviciosTIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesoría,

despliegue, soporte y/o externalización completa de la infraestructura y servicios de red de

sus clientes. Para más información sobre los beneficios y cómo convertirse en partner diríjasea la sección de partners de zentyal.com [3].



La combinación entre el servidor y las subscripciones aportan unos beneficios muy

importantes que se traducen en ahorros superiores al 50% del coste total de instalación ymantenimiento de un servidor para pymes, comparando los costes de Zentyal con los de una

instalación típica de Windows Small Business Server.

[1] http://www.zentyal.com/

[2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos%20polanco.pdf [3] http://www.zentyal.com/es/partners/

Acerca de esta documentación¶

Esta documentación describe las principales características técnicas de Zentyal, ayudando a

comprender la forma en la que se pueden configurar los distintos servicios de red en Zentyal

y a ser productivo en la administración de una infraestructura TIC en un entorno pyme consistemas Linux.

La documentación está dividida en siete capítulos. Este primer capítulo introductorio ayuda a

comprender el contexto de Zentyal, así como su instalación y a dar los primeros pasos con elsistema. Los siguientes cinco capítulos explican en profundidad cinco perfiles típicos de

instalación, como servidor de infraestructura de una red, como servidor de acceso a Internet o

Gateway, como servidor de seguridad o UTM, como servidor de oficina o como servidor decomunicaciones. Esta diferenciación en cinco grupos funcionales se hace sólo para facilitar

los despliegues de Zentyal en los escenarios más típicos, pero un servidor Zentyal puede

ofrecer cualquier combinación funcional sin más límites que los que impongan el hardwaresobre el que esté instalado y el uso que se haga del servidor.

Finalmente, el último capítulo describe las herramientas y servicios disponibles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su

uso, solventando las incidencias y recuperando el sistema en caso de desastre.

Instalación¶

Zentyal está concebido para ser instalado en una máquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones

adicionales, no gestionados a través de la interfaz de Zentyal, que deberán ser instalados y

configurados manualmente.

Funciona sobre la distribución Ubuntu [1] en su versión para servidores, usando siempre las

ediciones LTS (Long Term Support) [2], cuyo soporte es mayor: cinco años en lugar de tres.

La instalación puede realizarse de dos maneras diferentes:

* usando el instalador de Zentyal (opción recomendada),* instalando a partir de una instalación de Ubuntu Server Edition.

En el segundo caso es necesario añadir los repositorios oficiales de Zentyal y proceder a lainstalación de aquellos módulos que se deseen [3].



Sin embargo, en el primer caso se facilita la instalación y despliegue de Zentyal ya que todas

las dependencias se encuentran en un sólo CD y además se incluye un entorno gráfico que permite usar el interfaz web desde el propio servidor.

La documentación oficial de Ubuntu incluye una breve introducción a la instalación y

configuración de Zentyal [4], en el capítulo de eBox (anterior nombre del proyecto).[1] Ubuntu es una distribución de Linux desarrollada por Canonical y la comunidad orientada

a ordenadores portátiles, de sobremesa y servidores: http://www.ubuntu.com/.

[2] Para una descripción detallada sobre la publicación de versiones de Ubuntu se recomiendala consulta de la guía Ubuntu: https://wiki.ubuntu.com/Releases.

[3] Para más información sobre la instalación a partir del repositorio diríjase a

http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.[4] https://help.ubuntu.com/10.04/serverguide/C/ebox.html

El instalador de Zentyal¶

El instalador de Zentyal está basado en el instalador de Ubuntu Server así que el proceso deinstalación resultará muy familiar a quien ya lo conozca.

En primer lugar seleccionaremos el lenguaje de la instalación, para este ejemplo usaremosEspañol.



Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco

duro y crea las particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la

opción expert mode que permite realizar un particionado personalizado. La mayoría de los

usuarios deberían elegir la opción por omisión a no ser que estén instalando en un servidor con RAID por software o quieran hacer un particionado más específico a sus necesidades

concretas.

En el siguiente paso elegiremos el lenguaje que usará la interfaz de nuestro sistema una vezinstalado, para ello nos pregunta por el pais donde nos localizamos, en este caso España.



Localización geográfica

Podemos usar la detección de automática de la distribución del teclado, que hará unas cuantas

preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlomanualmente escogiendo No.



Autodetección del teclado



Selección del teclado

Después elegiremos un nombre para nuestro servidor; este nombre es importante para la

identificación de la máquina dentro de la red.



Nombre de la máquina

En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurará

dependiendo del país de origen que hayamos seleccionado anteriormente, pero se puede

modificar en caso de que sea errónea.



Zona horaria

Una vez terminados estos pasos, comenzará la instalación que irá informando de su estado

mediante el avance de la barra de progreso.

A continuación se nos pregunta por el nombre del administrador.



Nombre del usuario

Después habrá que indicar el nombre de usuario o login usado para identificarse ante el

sistema. Este usuario tendrá privilegios de administración y además será el utilizado paraacceder a la interfaz de Zentyal.



Nombre de usuario en el sistema

En el siguiente paso nos pedirá la contraseña para el usuario. Cabe destacar que el anterior

usuario con esta contraseña podrá acceder tanto al sistema (mediante SSH o login local)como a la interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir

una contraseña segura (más de 12 carácteres incluyendo letras, cifras y símbolos de

puntuación).



E introduciremos de nuevo la contraseña para su verificación.



Confirmar contraseña

Esperaremos a que nuestro sistema básico se instale, mientras muestra una barra de progreso.

Este proceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en

cada caso.



Instalación del sistema base

La instalación del sistema base está completada; ahora podremos extraer el disco de

instalación y reiniciar.



Reiniciar

¡Nuestro sistema Zentyal está funcionando! El sistema arrancará un interfaz gráfico con un

navegador que permite acceder a la interfaz de administración, y aunque tras este primer

reinicio el sistema haya iniciado el entorno gráfico automáticamente, de aquí en adelante,necesitará autenticarse antes de que éste arranque.



Entorno gráfico con el interfaz de administración

Para comenzar a configurar los perfiles o módulos de Zentyal, usaremos el usuario ycontraseña indicados durante la instalación. Cualquier otro usuario que añadamos

posteriormente al grupo admin podrá acceder al interfaz de Zentyal al igual que tendrá

privilegios de sudo en el sistema.[5] LVM es el administrador de volúmenes lógicos en Linux, una introducción su gestión

puede encontrarse en http://www.howtoforge.com/linux_lvm.

Aqui al final ire agregando los enlaces a las siguientes partes del manual mientras los vaya

añadiendo sean pacientes



Seguimos con la 2 parte de la instalacion de Zentyal esta vez

se mostrara como hacer la configuracion inicial

Configuración inicial

Una vez autenticado por primera vez en la interfaz web comienza un asistente deconfiguración, en primer lugar podremos seleccionar qué funcionalidades queremos incluir

en nuestro sistema. Existen dos métodos para esta selección:

Simple:Se seleccionará el o los perfiles de instalación que deseemos para nuestro servidor. Un perfil

de instalación es un conjunto de paquetes que agrupan una serie de funcionalidades según la

tarea que vaya a desempeñar el servidor.Avanzado:

Se seleccionarán los paquetes de manera individualizada y sus dependencias se resolveránautomáticamente al confirmar la instalación.

La selección simple se realiza a través de la lista de perfiles de instalación disponibles. Estos

perfiles de instalación facilitan y simplifican la realización de despliegues de Zentyal en los

escenarios más típicos, aunque esto no impide combinar la funcionalidad disponibleconforme las necesidades lo requieran. Como se puede observar en la figura Perfiles de

Zentyal dicha lista concuerda con los apartados siguientes de este manual.



Perfiles de Zentyal

Perfiles de Zentyal que podemos instalar:

Zentyal Gateway:

Zentyal actúa como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro

y controlado.Zentyal Unified Threat Manager:

Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad

interna y posibilita la interconexión segura entre redes locales a través de Internet u otra redexterna.

Zentyal Infrastructure:

Zentyal gestiona la infraestructura de la red local con los servicios básicos: DHCP, DNS,

NTP, servidor HTTP, etc.Zentyal Office:

Zentyal actúa como servidor de recursos compartidos de la red local: ficheros, impresoras,

calendarios, contactos, perfiles de usuarios y grupos, etc.Zentyal Unified Communications:

Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo,

mensajería instantánea y Voz IP.

Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultánea,

diferentes roles en la red.

Sin embargo, mediante la seleción avanzada aparecerá la lista de módulos de Zentyal y se

podrán seleccionar individualmente aquéllos que se necesiten.



Selección avanzada



Para nuestro ejemplo usaremos una instalación del perfil de Gateway únicamente.

Al terminar la selección, se instalarán también los paquetes adicionales necesarios y además

si hay algún complemento recomendado se preguntará si lo queremos instalar también. Estaselección no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de

módulos de Zentyal a través de la gestión de software.

Confirmación y complementos recomendados

El sistema comenzará con el proceso de instalación de los modulos requeridos, mostrando

una barra de progreso donde además podemos leer una breve introducción sobre lasfuncionalidades y servicios adicionales disponibles en Zentyal.



Instalación e información adicional

Una vez terminado el proceso de instalación el asistente configurará los nuevos módulosrealizando algunas preguntas.

En primer lugar se solicitará información sobre la configuración de red, definiendo para cada

interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internetu otras redes externas o si está conectada a la red local. Se aplicarán políticas estrictas en el

cortafuegos para todo el tráfico entrante a través de interfaces de red externas.



Configuración inicial de interfaces de red

A continuación tendremos que seleccionar el tipo de servidor para el modo de operación delmódulo Usuarios y Grupos. Si sólo vamos a tener un servidor elegiremos Servidor stand-

alone. Si por el contrario estamos desplegando una infraestructura maestro-esclavo con varios

servidores Zentyal y gestión de usuarios y grupos centralizada o si queremos sincronizar losusuarios con un Microsoft Active Directory, elegiremos Configuración avanzada. Este paso

aparecerá solamente si el módulo Usuarios y Grupos está instalado.



Modo de operación de Usuarios y Grupos

Una vez hayan sido respondidas estas cuestiones, se procederá a la configuración de cada uno

de los módulos instalados.



Configuración inicial finalizada



Guardando cambios

Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: ¡nuestroservidor Zentyal ya está listo!



Dashboard

Primeros pasos con Zentyal

La interfaz web de administración de Zentyal

Una vez instalado Zentyal, podemos acceder al interfaz web de administración tanto a travésdel propio entorno gráfico que incluye el instalador como desde cualquier lugar de la red

interna, mediante la dirección: https://direccion_ip/, donde direccion_ip es la dirección IP o el

nombre de la máquina donde está instalado Zentyal que resuelve a esa dirección. Dado que elacceso es mediante HTTPS, la primera vez el navegador nos pedirá si queremos confiar en

este sitio, aceptaremos el certificado autogenerado y no nos lo volverá a solicitar en adelante.

Advertencia

Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como

Microsoft Internet Explorer no están soportados.

La primera pantalla solicita el nombre de usuario y la contraseña, podrán autenticarse como

administradores tanto el usuario creado durante la instalación como cualquier otro perteneciente al grupo admin.

Login

Una vez autenticados, aparecerá la interfaz de administración que se encuentra dividida en

tres partes fundamentales:

Menú lateral izquierdo:

Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal,

separados por categorías. Cuando se ha seleccionado algún servicio en este menú puede

aparecer un submenú para configurar cuestiones particulares de dicho servicio.



Menú lateral

Menú superior: Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos,

así como el cierre de sesión.

Menú superior

Contenido principal:

El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con

información acerca de la configuración del servicio seleccionado a través del menú lateralizquierdo y sus submenús. En ocasiones, en la parte superior, aparecerá una barra de pestañas

en la que cada pestaña representará una subsección diferente dentro de la sección a la que

hemos accedido.



Contenido de un formulario

El Dashboard

El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets

configurables. En todo momento se pueden reorganizar pulsando en los títulos yarrastrándolos.

Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y añadir nuevoswidgets. Para añadir uno nuevo, se busca en el menú superior y se arrastra a la parte central.

Para eliminarlos, se usa la cruz situada en la esquina ѕuperior derecha de cada uno de ellos.



Configuración del Dashboard

Hay un widget importante dentro del Dashboard que muestra el estado de todos los módulos

instalados en Zentyal.



Widget de estado de los módulos

La imagen muestra el estado para un servicio y la acción que se puede ejecutar sobre él. Los

estados disponibles son los siguientes:

Ejecutándose:

El servicio se está ejecutando aceptando conexiones de los clientes. Se puede reiniciar elservicio usando Reiniciar.



Ejecutándose sin ser gestionado:

Si no se ha activado todavía el módulo, se ejecutará con la configuración por defecto de ladistribución.

Parado:

El servicio está parado bien por acción del administrador o porque ha ocurrido algún

problema. Se puede iniciar el servicio mediante Arrancar.Deshabilitado:

El módulo ha sido deshabilitado explícitamente por el administrador.

Configuración del estado de los módulos

Zentyal tiene un diseño modular, en el que cada módulo gestiona un servicio distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el módulo correspondiente

desde Estado del módulo. Todas aquellas funcionalidades que hayan sido seleccionadas

durante la instalación se habilitan automáticamente.



Configuración del estado del módulo



Cada módulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el

módulo DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer

direcciones IP a través de las interfaces de red configuradas. Las dependencias se muestran

en la columna Depende y hasta que estas no se habiliten, no se puede habilitar tampoco elmódulo.

La primera vez que se habilita un módulo, se pide confirmación de las acciones que va arealizar en el sistema así como los ficheros de configuración que va a sobreescribir. Tras

aceptar cada una de las acciones y ficheros, habrá que guardar cambios para que la

configuración sea efectiva.

Confirmación para habilitar un módulo

Aplicando los cambios en la configuración

Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivaslas configuraciones que hagamos en la interfaz. Para ello, primero se tendrán que aceptar los

cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de

forma permanente se tendrá que Guardar Cambios en el menú superior. Este botón cambiaráa color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento



se perderán todos los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta.

Una excepción a este funcionamiento es la gestión de usuarios y grupos, dónde los cambiosse efectúan directamente.

Guardar Cambios

Advertencia

Si se cambia la configuración de las interfaces de red, el cortafuegos o el puerto del interfaz

de administración, se podría perder la conexión teniendo que cambiar la URL en el

navegador o reconfigurar a través del entorno gráfico en local.

Configuración general

Hay varios parámetros de la configuración general de Zentyal que se pueden modificar en

Sistema ‣ General.

Configuración general



Contraseña:

Podemos cambiar la contraseña de un usuario. Será necesario introducir

su nombre de Usuario, la Contraseña actual, la Nueva contraseña y confirmarla de nuevo en

la sección Cambiar contraseña.

Idioma:

Podemos seleccionar el idioma de la interfaz mediante Selección de idioma.

Puerto del interfaz de administración:Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habrá que

cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder:

https://direccion_ip:puerto/.Nombre de la máquina:

Es posible cambiar el hostname o nombre de la máquina, por ejemplo: zentyal.home.local. El

nombre de la máquina sirve para identificarla de otras dentro de la red.

Emplazamiento en la red de Zentyal

Zentyal puede utilizarse de dos maneras fundamentales:

* puerta de enlace y cortafuegos de la conexión a internet,

* servidor de los servicios en la red (o local o Internet).

Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias,

dependiendo de las características de cada despliegue.

La figura Ubicaciones en la red escenifica las distintas ubicaciones que puede tomar un

servidor Zentyal dentro de la red, tanto haciendo de pasarela entre redes como un servidor dentro de la propia red.



Ubicaciones en la red

A lo largo de esta documentación se verá cómo configurar Zentyal para desempeñar un papel

de puerta de enlace y cortafuegos. Y por supuesto también veremos la configuración en los

casos que actúe como un servidor más dentro de la red.

Configuración de red en Zentyal

A través de Red ‣ Interfaces se puede acceder a la configuración de cada una de las tarjetas

de red detectadas por el sistema y se pueden establecer como dirección de red estática

(configurada manualmente), dinámica (configurada mediante DHCP), VLAN (802.1Q) trunk,

PPPoE o bridged.

Además cada interfaz puede definirse como Externa si está conectada a una red externa,

normalmente Internet, para aplicar políticas más estrictas en el cortafuegos. En caso contrario

se asumirá interna, conectada a la red local.

Cuando se configure como DHCP, no sólamente se configurará la dirección IP sino también

los servidores DNS y la puerta de enlace. Esto es habitual en máquinas dentro de la red localo en las interfaces externas conectadas a los routers ADSL.

Configuración DHCP de la interfaz de red

Si configuramos la interfaz como estática especificaremos la dirección IP, la máscara de red y

además podremos asociar una o más Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales.

Estas direcciones adicionales son útiles para ofrecer un servicio en más de una dirección IP o

subred, para facilitar la migración desde un escenario anterior o para tener en un servidor web

diferentes dominios usando certificados SSL.



Configuración estática de la interfaz de red

Si se dispone de un router ADSL PPPoE [1] (un método de conexión utilizado por algunos

proveedores de Internet), podemos configurar también este tipo de conexiones. Para ello, sólohay que seleccionar PPPoE e introducir el Nombre de usuario y Contraseña proporcionado

por el proveedor.



Configuración PPPoE de la interfaz de red

En caso de tener que conectar el servidor a una o más redes VLAN, seleccionaremos Trunk

(802.11q). Una vez seleccionado este método podremos crear tantas interfaces asociadas altag definido como queramos y las podremos tratar como si de interfaces reales se tratase.

La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento ymayor seguridad sin la inversión en hardware físico que sería necesaria para cada segmento.

Configuración VLAN de interfaces de red



El modo puente o bridged consiste en asociar dos interfaces de red físicas de nuestro servidor

conectadas a dos redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjetaconectada a la red local. Mediante esta asociación podemos conseguir que el tráfico de la red

conectada a una de las tarjetas se redirija a la otra de modo transparente.

Esto tiene la principal ventaja de que las máquinas clientes de la red local no necesitanmodificar absolutamente ninguna de sus configuraciones de red cuando instalemos un

servidor Zentyal como puerta de enlace, y sin embargo, podemos gestionar el tráfico que

efectivamente pasa a través de nuestro servidor con el cortafuegos, filtrado de contenidos odetección de intrusos.

Esta asociación se crea cambiando el método de las interfaces a En puente de red. Podemosver como al seleccionar esta opción nos aparece un nuevo selector, Puente de red para que

seleccionemos a qué grupo de interfaces queremos asociar esta interfaz.

Creación de un bridge

Esto creará una nueva interfaz virtual bridge que tendrá su propia configuración como una

interfaz real, por lo cual aunque el tráfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podría ser el propio interfaz de administración de Zentyal o

un servidor de ficheros.



Configuración de interfaces bridged

En el caso de configurar manualmente la interfaz de red será necesario definir la puerta deenlace de acceso a Internet en Red ‣ Puertas de enlace. Normalmente esto se hace

automáticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno

podremos indicar Nombre, Dirección IP, Interfaz a la que está conectada, su Peso que sirve

para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos.

Además si es necesario el uso de un proxy HTTP para el acceso a Internet, podremosconfigurarlo también en esta sección. Este proxy será utilizado por Zentyal para conexionescomo las de actualización e instalación de paquetes o la actualización del antivirus.



Configuración de las puertas de enlace

Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direcciónde uno o varios servidores de nombres en Red ‣ DNS.



Configuración de los servidores DNS

Si la conexión a Internet asigna una dirección IP dinámica y queremos que un nombre de

dominio apunte a ella, se necesita un proveedor de DNS dinámico. Utilizando Zentyal se

puede configurar alguno de los proveedores de DNS dinámico más populares.

Para ello iremos a Red ‣ DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de

usuario, Contraseña y Nombre de máquina que queremos actualizar cuando la dirección

pública cambie, sólo resta Habilitar DNS dinámico.

Configuración de DNS Dinámico



Zentyal se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción de dirección red (NAT) que haya entre el servidor e Internet. Si estamos utilizando

esta funcionalidad en un escenario con multirouter [2], no hay que olvidar crear una regla que

haga que las conexiones al proveedor usen siempre la misma puerta de enlace.

[1] http://es.wikipedia.org/wiki/PPPoE[2] Consultar Configuración del balanceo con Zentyal para obtener más detalles.

Diagnóstico de red

Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red ‣ Diagnóstico.

ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP (Internet

Control Message Protocol) para comprobar la conectividad hasta una máquina remota

mediante una sencilla conversación entre ambas.

Herramientas de diagnóstico de redes, ping

También disponemos de la herramienta traceroute que se encarga de mostrar la ruta que

toman los paquetes hasta llegar a la máquina remota determinada.



Herramienta traceroute

Y por último también contamos con la herramienta de resolución de nombres de dominio que

se utiliza para comprobar el correcto funcionamiento del servicio.



Zentyal Infrastructure

En este capítulo se explican los servicios para gestionar la infraestructura de una red local y

optimizar el tráfico interno, incluyendo la gestión de nombres de dominio, la sincronización

de la hora, la auto-configuración de red, la gestión de la autoridad de certificación y la publicación de sitios Web.

El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios



utilizando nombres en lugar de direcciones IP, que son más fáciles de memorizar.

El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sistema en

las máquinas.

Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar diversos parámetros de red a las máquinas conectadas como pueden ser la dirección IP, los servidores

DNS o la puerta de enlace para acceder a Internet.

La creciente importancia de asegurar la autenticidad, integridad y privacidad de las

comunicaciones ha aumentado el interés por el despliegue de autoridades de certificación que

permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayoría de los servicios y certificados para la

autenticación de los usuarios.

Además, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas bajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS.

Servicio de resolución de nombres de dominio (DNS)

Introducción a DNS

BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad deCalifornia, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La

versión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocolo

DNS, es la usada por el módulo de DNS de Zentyal.[4] http://www.isc.org/software/bind

Configuración de un servidor DNS caché con Zentyal

El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para

las redes marcadas como internas en Zentyal, así que si solamente queremos que nuestro

servidor realice caché de las consultas DNS, bastará con habilitar el módulo.

En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes

internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.

Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a

través de un fichero de configuración. Podremos añadir estas redes en el fichero/etc/ebox/80dns.conf mediante la opción intnets=:

# Internal networks allowed to do recursive queries

# to Zentyal DNS caching server. Localnetworks are already

# allowed and this settings is intended to allow networks

# reachable through static routes.

# Example: intnets = 192.168.99.0/24,192.168.98.0/24

intnets =



Y tras reiniciar el módulo DNS se aplicarán los cambios.

El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a qué

servidor autoritario tiene que preguntar la resolución de cada petición DNS y las almacenará

localmente durante el período de tiempo que marque el campo TTL. Mediante estafuncionalidad reduciremos el tiempo necesario para iniciar cada conexión de red,

aumentando la sensación de velocidad de los usuarios y reduciendo el consumo real de

tráfico hacia Internet.

Para que el servidor Zentyal utilice su propio servidor DNS caché, que acabamos de

configurar, tendremos que ir a Red ‣ DNS y configurar 127.0.0.1 como primer servidor DNS.

DNS configurado como caché local

El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso deque sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de

búsqueda se configura en los clientes, pero se puede servir automáticamente por DHCP, de

tal manera que cuando nuestros clientes reciban la configuración inicial de red, podránadquirir también este dato. Por ejemplo nuestro dominio de búsqueda podría ser foocorp.com,

el usuario intentaría acceder a la máquina example; al no estar presente en sus hosts

conocidos, la resolución de este nombre fallaría, por lo que su sistema operativo probaría

automáticamente con example.foocorp.com, resultando en una resolución de nombre conéxito en este segundo caso.



En Red ‣ Herramientas de diagnóstico disponemos de la herramienta de Resolución de

Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al

servidor que tengamos configurado en Red ‣ DNS.

Resolución de un nombre de dominio usando el DNS caché local

Configuración de un servidor DNS autoritario con

Zentyal

Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para unlistado de dominios que configuremos. Como servidor autoritario responderá a consultas

sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para

que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios

configurados. Como servidor caché responderá a consultas sobre cualquier dominiosolamente desde redes internas.

La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadir cuantos dominios y subdominios deseemos.



Lista de dominios

Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo.

Desde éste se configurará el Nombre del dominio y opcionalmente la Dirección IP a la quehará referencia el dominio.

Añadiendo un nuevo dominio

Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de él

mediante la tabla Nombres. Para cada uno de estos nombres Zentyal configurará

automáticamente la resolución inversa. Además para cada uno de los nombres podremosdefinir cuantos Alias queramos.

Normalmente los nombres apuntan a la máquina dónde está funcionando el servicio y losalias a los servicios alojados en ella. Por ejemplo, la máquina amy.zentyal.com tiene los alias

smtp.zentyal.com y mail.zentyal.com para los servicios de mail y la máquina

rick.zentyal.com tiene los alias www.zentyal.com o store.zentyal.com entre otros, para losservicios web.



Añadiendo un nuevo alias

Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listadodefinido en Nombres o uno externo. Mediante la Preferencia, determinamos a cuál de estos

servidores le intentarán entregar los mensajes otros servidores. Si el de más preferencia falla

lo reintentarán con el siguiente.

Añadiendo un nuevo intercambiador de correo

Además también podemos configurar los registros NS para cada dominio o subdominio

mediante la tabla Servidores de nombres.



Añadiendo un nuevo servidor de nombres

Hay que mencionar que cuando se añade un nuevo dominio, se puede apreciar la presencia de

un campo llamado Dinámico con valor falso. Un dominio se establece como dinámico

cuando es actualizado automáticamente por un proceso externo sin reiniciar el servidor. Si undominio se establece como dinámico no puede configurarse a través del interfaz. En Zentyal

los dominios dinámicos son los actualizados automáticamente por DHCP con los nombres de

las máquinas a las que ha asignado una dirección IP, véase Actualizaciones dinámicas.

Servicio de sincronización de hora (NTP)

Introducción a NTP

Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 del

protocolo UDP.

[2] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

Configuración de un servidor NTP con Zentyal

Zentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como para

ofrecer este servicio en la red, así que es importante activarlo aunque sólo sea para si mismo.

Una vez habilitado el módulo, en Sistema ‣ Fecha/hora deberemos habilitar la sincronización



mediante NTP y después seleccionar contra qué servidores queremos sincronizar.

Normalmente es conveniente sincronizar contra el repositorio de servidores del proyecto NTP[3] que ya vienen preconfigurados en Zentyal, aunque podemos cambiar estos valores para

sincronizar contra un servidor NTP local que tengamos instalado o cualquier otro de nuestra

elección.

Configuración de Fecha y Hora

Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el servicio

NTP. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya quenormalmente NTP se habilita sólo para redes internas.

Servicio de configuración de red (DHCP)

Introducción a DHCP

Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estándar de

facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.

[4] https://www.isc.org/software/dhcp

Configuración de un servidor DHCP con Zentyal

El servicio DHCP necesita una interfaz configurada estáticamente sobre la cuál se despliegael servicio. Esta interfaz además deberá ser interna. Desde el menú DHCP se configura el

servidor DHCP.



Configuración del servicio DHCP

Los siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas:

Puerta de enlace predeterminada:

Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no están

en su red local, como podría ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya

configurada en el apartado Red ‣ Routers o una Dirección IP personalizada.

Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas bajo el mismo subdominio, se podría

configurar este como el dominio de búsqueda. De esta forma, cuando se intente resolver un

nombre de dominio sin éxito (por ejemplo host), se intentará de nuevo añadiéndole eldominio de búsqueda al final (host.zentyal.local).

Servidor de nombres primario:

Especifica el servidor DNS que usará el cliente en primer lugar cuando tenga que resolver un

nombre de dominio. Su valor puede ser Zentyal DNS local o la dirección IP de otro servidor



DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en

cuenta que el módulo DNS [5] debe estar habilitado.Servidor de nombres secundario:

Servidor DNS con el que contactará el cliente si el primario no está disponible. Su valor debe

ser una dirección IP de un servidor DNS.

Servidor NTP: Servidor NTP que usará el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno,

Zentyal NTP local o la dirección IP de otro servidor NTP. Si queremos que se consulte el

propio servidor NTP de Zentyal, hay que tener el módulo NTP [6] habilitado.Servidor WINS:

Servidor WINS (Windows Internet Name Service) [7] que el cliente usará para resolver

nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Siqueremos usar Zentyal como servidor WINS, el módulo de Compartir de ficheros [8] tiene

que estar habilitado.

Configuración de los rangos de DHCP



Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las

asignaciones estáticas. Para que el servicio DHCP funcione, al menos debe haber un rango de

direcciones a distribuir o asignaciones estáticas; en caso contrario el servidor DHCP no

servirá direcciones IP aunque esté escuchando en todas las interfaces de red.

Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una

determinada interfaz vienen determinados por la dirección estática asignada a dicha interfaz.Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos o

asignaciones estáticas.

Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el

rango y los valores que se quieran asignar dentro del rango que aparece encima.

Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicasen el apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar

parte de ningún rango. Se puede añadir una Descripción opcional para la asignación también.

[5] Véase la sección Servicio de resolución de nombres de dominio (DNS) para más detalles.[6] Véase la sección Servicio de sincronización de hora (NTP) para más detalles.

[7] http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service

[8] Véase la sección Servicio de compartición de ficheros y de autenticación para másdetalles.

Optiones avanzadas



Opciones avanzadas de DHCP

La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo

se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Estetiempo varía desde 1800 segundos hasta 7200. Esta limitación también se aplica a las

asignaciones estáticas.

Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente

servidor a qué servidor PXE se debe conectar el cliente ligero y este se encargará de

transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. Elservidor PXE puede ser una dirección IP o un nombre de máquina. Será necesario indicar la

ruta de la imagen de arranque, o si Zentyal es el servidor PXE, se podrá subir el fichero con

la imagen a través de la interfaz web.

Actualizaciones dinámicas



Las actualizaciones dinámicas de DNS permiten asignar nombres de dominio a los clientes

DHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se facilita elreconocimiento de las máquinas presentes en la red por medio de un nombre de dominio

único en lugar de por una dirección IP que puede cambiar.

Configuración de actualizaciones DNS dinámicas

Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y para

habilitar esta característica, el módulo DNS debe estar habilitado también. Se debe disponer de un Dominio dinámico y un Dominio estático, que ambos se añadirán a la configuración de

DNS automáticamente. El dominio dinámico aloja los nombres de máquinas cuya dirección

IP corresponde a una del rango y el nombre asociado sigue el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Con respecto al dominio estático, el nombre de máquina

seguirá este patrón: <nombre>.<dominio-estático> siendo el nombre que se establece en la

tabla de Asignaciones estáticas.

Autoridad de certificación (CA)

Infraestructura de clave pública (PKI)

Zentyal integra OpenSSL [4] para la gestión de la Autoridad de Certificación y del ciclo de



vida de los certificados expedidos por esta.

[4] http://www.openssl.org/

Configuración de una Autoridad de Certificación con

Zentyal

En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir queno necesita ser habilitado en Estado del Módulo como el resto sino que para comenzar a

utilizar este servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán

disponibles hasta que no hayamos efectuado esta acción.

Accederemos a Autoridad de Certificación ‣ General y nos encontraremos con el formulario

para inicializar la CA. Se requerirá el Nombre de Organización y el número de Días para

expirar. Además, también es posible especificar opcionalmente Código del País (acrónimo de

dos letras que sigue el estándar ISO-3166-1 [5]), Ciudad y Estado.

Crear Certificado de la Autoridad de Certificación

A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se

revocarán todos los certificados expedidos por esta CA, provocando la parada de los servicios

que dependan de estos certificados.

Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos

necesarios son el Nombre Común del certificado y los Días para Expirar. Este último dato

está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo quela CA. En el caso de que estemos usando estos certificados para un servicio como podría ser

un servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre

de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.local para acceder al interfaz de administración web de Zentyal, será necesario un certificado con

ese Nombre Común. En el caso de que el certificado sea un certificado de usuario, usaremos

normalmente su dirección de correo como Nombre Común.



Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estossirven para establecer nombres comunes a un certificado: un nombre de dominio o dirección

IP para dominio virtual HTTP o una dirección de correo para firmar los mensajes de correo

electrónico.

Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando

disponible para el administrador y el resto de módulos. A través de la lista de certificados

podemos realizar distintas acciones con ellos:

* Descargar las claves pública, privada y el certificado.

* Renovar un certificado.* Revocar un certificado.

Listado de certificados

El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la

clave privada y el certificado y que puede instalarse directamente en otros programas comonavegadores web, clientes de correo, etc.

Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de



expiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la

nueva CA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido aque es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de

expiración de la CA.

Renovar un certificado

Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente yno se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo:

* unspecified: motivo no especificado,

* keyCompromise: la clave privada ha sido comprometida,* CACompromise: la clave privada de la autoridad de certificación ha sido comprometida,

* affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada

hacia otra organización,* superseded: el certificado ha sido renovado y por tanto reemplaza al emitido,

* cessationOfOperation: cese de operaciones de la entidad certificada,* certificateHold: certificado suspendido,* removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es

decir, listas de certificados cuyo estado de revocación ha cambiado.

Revocar un certificado



Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración

de cada certificado se comprueba una vez al día y cada vez que se accede al listado decertificados.

[5] http://es.wikipedia.org/wiki/ISO_3166-1

[6] Para más información sobre los Subject Alternative Names véase

http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Certificados de Servicios

En Autoridad de Certificación ‣ Certificados de Servicios podemos encontrar la lista de

módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo genera sus

certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por

nuestra CA.

Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no

existe un certificado con el nombre especificado, la Autoridad de Certificación lo creará

automáticamente.

Certificados de Servicios

Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado elcertificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado.

Servicio de publicación de páginas web (HTTP)

Introducción a HTTP

El servidor HTTP Apache [5] es el más usado en Internet, alojando más del 54% de las



páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de

administración.[5] http://httpd.apache.org/

Configuración de un servidor HTTP con Zentyal

A través del menú Servidor web podemos acceder a la configuración del servidor HTTP.

Configuración del módulo Servidor web

En la Configuración General podemos modificar los siguientes parámetros:

Puerto de escucha:

Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP.

Puerto de escucha SSL:Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene

que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administración

de Zentyal a un puerto distinto si queremos usar el 443 aquí.Habilitar el public_html por usuario:



Con esta opción, si los usuarios tienen un subdirectorio llamado public_html en su directorio

personal, será accesible a través de la URL http://<zentyal>/~<usuario>/.

En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados

con cada página web. Cuando se define un nuevo dominio con esta opción, si el módulo DNS

está instalado, se intenta crear ese dominio, y si está ya creado, se añade el subdominio encaso de que éste tampoco exista. Este dominio o subdominio se crea apuntando a la dirección

de la primera interfaz interna configurada con dirección estática, aunque podemos modificar

el dominio posteriormente si esto no se adapta a nuestras necesidades.

Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos

configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio oincluso forzar a que las conexiones sean exclusivamente por HTTPS.

El DocumentRoot o directorio raíz para cada una de estas páginas está en el directorio

/srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier configuración deApache personalizada para cada Virtual host mediante ficheros en el directorio

/etc/apache2/sites-available/user-ebox-<dominio>/.

Servicio de Transferencia de ficheros (FTP)

Introducción a FTP

Zentyal usa vsftpd [4] (very secure FTP) para proporcionar este servicio.

[4] http://vsftpd.beasts.org/

Configuración de un servidor FTP con Zentyal

A través del menú FTP podemos acceder a la configuración del servidor FTP:

Configuración del Servidor FTP

El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar



acceso remoto a un directorio público y/o a los directorios personales de los usuarios del

sistema.

La ruta predeterminada del directorio público es /srv/ftp mientras que los directorios

personales están en /home/usuario/ para cada uno de ellos.

En Acceso anónimo, tenemos tres configuraciones posibles para el directorio público:

Desactivado: No se permite el acceso a usuarios anónimos.

Sólo lectura:

Se puede acceder al directorio con un cliente de FTP, pero únicamente se puede listar losarchivos y descargarlos. Esta configuración es adecuada para poner a disposición de todo el

mundo contenido para su descarga.

Lectura y escritura:

Se puede acceder al directorio con un cliente de FTP y todo el mundo puede añadir,modificar, descargar y borrar archivos en este directorio. No se recomienda esta

configuración a menos de estar muy seguro de lo que se hace.

El otro parámetro de configuración Directorios personales permite acceder a su directorio

personal a cada uno de los usuarios en Zentyal.

Como siempre, habrá que comprobar que las reglas del cortafuegos abren los puertos para

este servicio, antes de ponerlo en funcionamiento.

Zentyal Gateway

En este capítulo se describen las funcionalidades de Zentyal como puerta de enlace ogateway. Zentyal puede hacer la red más fiable y segura, gestionar el ancho de banda y

definir políticas de conexiones y contenidos.

Hay un apartado centrado en el funcionamiento del módulo de cortafuegos, el cual nos permite definir reglas para gestionar el tráfico entrante y saliente tanto del servidor como de

la red interna. Para ayudar en la configuración del cortafuegos, existen dos módulos que

facilitan la gestión de objetos y servicios de red.

A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definir

diferentes reglas para usar una u otra según el tráfico. Además, también se verá como

garantizar la calidad del servicio, configurando que tráfico tiene prioridad frente a otro oincluso limitar la velocidad en algún caso, como podría ser el P2P.

Mediante RADIUS podremos autenticar a los usuarios en la red y finalmente, se ofrece una

introducción al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet,

almacenando una caché de navegación y establecer diferentes políticas de filtrado de

contenidos.



Abstracciones de red de alto nivel en Zentyal

Objetos de red

Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de

ellos. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de lared, pudiendo dotar de un nombre fácilmente reconocible al elemento o al conjunto y aplicar

la misma configuración a todos ellos.

Por ejemplo, podemos dar un nombre reconocible a una dirección IP o a un grupo de ellas.

En lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP,

simplemente bastaría con definirla para el objeto de red que contiene las direcciones.

Representación de un objeto de red

Gestión de los Objetos de red con Zentyal

Para empezar a trabajar con los objetos en Zentyal, accederemos la seccіón Objetos, allí

podremos ver una lista inicialmente vacía, con el nombre de cada uno de los objetos y una



serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que serán

usados más tarde por otros módulos.

Objetos de red

Cada uno de estos objetos se compondrá de una serie de miembros que podremos modificar en cualquier momento. Los miembros tendrán al menos los siguientes valores: Nombre,

Dirección IP y Máscara de red. La Dirección MAC es opcional y lógicamente sólo se podrá

utilizar para miembros que representen una única máquina y se aplicará en aquellos contextosque la dirección MAC sea accesible.

Añadir un nuevo miembro

Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que



tener cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no

tener problemas.

Servicios de red

Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y puertos usados por una aplicación. La utilidad de los servicios es similar a la de los objetos: si

con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombresignificativo, podemos así mismo identificar un conjunto de puertos por el nombre de la

aplicación que los usa.

Conexión de un cliente a un servidor

Pongamos como ejemplo la navegación web. El puerto más habitual es el de HTTP, 80/TCP.Pero además también tenemos que contar con el de HTTPS 443/TCP y el alternativo

8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegación web a

cada uno de los puertos, sino al al servicio que la representa que contiene estos tres puertos.

Otro ejemplo puede ser la compartición de ficheros en redes Windows, donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.

Gestión de los Servicios de red con Zentyal

Para trabajar con los servicios en Zentyal se debe ir al menú Servicios donde se listan los

servicios existentes creados por cada uno de los módulos que se hayan instalado y los que



hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre,

Descripción y un indicador de si es Interno o no. Un servicio es Interno si los puertosconfigurados para dicho servicio se están usando en el mismo servidor. Además cada servicio

tendrá una serie de miembros, cada uno de estos miembros tendrá los valores: Protocolo,

Puerto origen y Puerto destino. En todos estos campos podemos introducir el valor

Cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origeno un Rango de puertos.

El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. También existe un valor TCP/UDP para evitar tener que añadir dos veces un mismo puerto que se use en ambos protocolos,

como en el caso de DNS.

Servicios de red



Cortafuegos

Introducción al sistema de cortafuegos

Zentyal utiliza para su módulo de cortafuegos el subsistema del kernel de Linux llamado

Netfilter [2] que proporciona funcionalidades de filtrado, marcado de tráfico y de redirecciónde conexiones.

[2] http://www.netfilter.org/

Configuración de un cortafuegos con Zentyal

El modelo de seguridad de Zentyal se basa en intentar proporcionar la máxima seguridad

posible en su configuración predeterminada, intentando a la vez minimizar los esfuerzos a

realizar tras añadir un nuevo servicio.

Cuando Zentyal actúa de cortafuegos, normalmente se instala entre la red interna y el router

conectado a Internet. La interfaz de red que conecta la máquina con el router debe marcarse

como Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas políticas de filtrado más estrictas para las conexiones procedentes de fuera.

Interfaz externa

La política para las interfaces externas es denegar todo intento de nueva conexión a Zentyalmientras que para las interfaces internas se deniegan todos los intentos de conexión exceptolos que se realizan a servicios definidos por los módulos instalados. Los módulos añaden

reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas

posteriormente por el administrador. Una excepción a esta norma son las conexiones alservidor LDAP, que añaden la regla pero configurada para denegar las conexiones por

motivos de seguridad. La configuración predeterminada tanto para la salida de las redes

internas como desde del propio servidor es permitir toda clase de conexiones.



Filtrado de paquetes

La definición de las políticas del cortafuegos se hace desde Cortafuegos ‣ Filtrado de

paquetes.

Se pueden definir reglas en 5 diferentes secciones según el flujo de tráfico sobre el que serán

aplicadas:

* Tráfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde

la red local).* Tráfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a

todo Internet o determinadas direcciones a unas direcciones internas o restringir la

comunicaciones entre las subredes internas).

* Tráfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desdeel propio servidor).

* Tráfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba

mensajes de Internet).

* Tráfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor internodesde Internet).

Hay que tener en cuenta que los dos últimos tipos de reglas pueden crear un compromiso en

la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.



Esquema de los diferentes flujos de tráfico en el cortafuegos

Zentyal provee una forma sencilla de definir las reglas que conforman la política de uncortafuegos. La definición de estas reglas usa los conceptos de alto nivel introducidos

anteriormente: los Servicios de red para especificar a qué protocolos y puertos se aplican las

reglas y los Objetos de red para especificar sobre qué direcciones IP de origen o de destino seaplican.



Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una

Dirección IP o un Objeto en el caso que queramos especificar más de una dirección IP odirecciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su

valor es conocido a priori; será siempre Zentyal tanto el Destino en Tráfico de redes internas

a Zentyal y Tráfico de redes externas a Zentyal como el Origen en Tráfico de Zentyal a redes

externas.

Además cada regla siempre tiene asociado un Servicio para especificar el protocolo y los

puertos (o rango de puertos). Los servicios con puertos de origen son útiles para reglas detráfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los

servicios con puertos de destino son útiles para reglas de tráfico entrante a servicios internos

o tráfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genéricosque son muy útiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo

y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o

UDP respectivamente.



El parámetro de mayor relevancia será la Decisión a tomar con las conexiones nuevas.Zentyal permite tomar tres tipos distintos de decisiones:

* Aceptar la conexión.

* Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que nose ha podido establecer la conexión.

* Registrar la conexión como un evento y seguir evaluando el resto de reglas. De esta

manera, a través de Registros -> Consulta registros -> Cortafuegos podemos ver sobre quéconexiones se están produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final,una vez que una regla acepta una conexión, no se sigue evaluando el resto. Una regla

genérica al principio puede hacer que otra regla más específica posterior no sea evaluada, es

por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opción de

aplicar un no lógico a la evaluación de la regla con Inversa para la definición de políticas másavanzadas.

Creando una nueva regla en el firewall

Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla

que registra la conexión y luego la regla que acepta la conexión. Si estas dos reglas están en

el orden inverso, no se registrará nada ya que la regla anterior ya acepta la conexión.Igualmente si queremos restringir la salida a Internet, primero explícitamente denegaremos

los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden daría acceso atodos los sitios a todo el mundo.

Por omisión, la decisión es siempre denegar las conexiones y tendremos que explícitamente

añadir reglas que las permitan. Hay una serie de reglas que se añaden automáticamentedurante la instalación para definir una primera versión de la política del cortafuegos: se

permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor

Zentyal (en Tráfico de Zentyal a redes externas) y también se permiten todas las conexiones



desde las redes internas hacia las externas (en Tráfico entre redes internas y de redes internas

a Internet. Además cada módulo instalado añade una serie de reglas en las secciones Tráficode redes internas a Zentyal y Tráfico de redes externas a Zentyal normalmente permitiendo

las conexiones desde las redes internas pero denegándola desde las redes externas. Esto ya se

hace implícitamente, pero facilita la gestión del cortafuegos puesto que de esta manera para

permitir el servicio solamente hay que cambiar el parámetro Decisión y no es necesario crear una regla nueva. Destacar que estas reglas solamente son añadidas durante el proceso de

instalación de un módulo por primera vez y no son modificadas automáticamente en el

futuro.

Finalmente, existe un campo opcional Descripción para comentar el objetivo de la regla

dentro de la política global del cortafuegos.

Redirección de puertos con Zentyal

Las redirecciones de puertos de destino se configuran en Cortafuegos ‣ Redirecciones de

puertos.

Para configurar una redirección hay que establecer la Interfaz donde se recibe el tráfico sobre

el que se va a hacer la traducción, el Destino original (que puede ser el servidor Zentyal, unadirección IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto

determinado o un Rango de puertos), el Protocolo y el Origen (que también puede ser

Cualquiera, una Dirección IP o un Objeto). Además estableceremos la dirección IP deDestino y finalmente, el Puerto donde la máquina destino recibirá las peticiones, que puede

ser el mismo que el original o no. Existe también un campo opcional de Descripción para

aclarar el propósito de la regla.



Redirección de puertos

Encaminamiento

Introducción al encaminamiento o routing

Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediantela herramiente iproute2 [1].

[1] http://www.policyrouting.org/iproute2.doc.html

Configuración del encaminamiento con Zentyal

Puerta de enlace

La puerta de enlace o gateway es el router por omisión para las conexiones cuyo destino no

está en la red local. Es decir, si el sistema no tiene definidas rutas estáticas o si ninguna deéstas coincide con una transmisión a realizar, ésta se hará a través de la puerta de enlace.

Para configurar una puerta de enlace en Zentyal se utiliza Red ‣ Puertas de enlace, que tiene

los siguientes parámetros configurables.



Añadiendo una puerta de enlace

Habilitado:

Indica si realmente esta puerta de enlace es efectiva o está desactivada.

Nombre: Nombre por el que identificaremos a la puerta de enlace.

Dirección IP:

Dirección IP de la puerta de enlace. Esta dirección debe ser directamente accesible desde la

máquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios.Interfaz:

Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de

enlace se enviarán a través de esta interfaz.Peso

Cuanto mayor sea el peso, más paquetes se enviarán por esa puerta de enlace si activamos el

balanceo de tráfico.Predeterminado

Si esta opción está activada, esta será la puerta de enlace por defecto.

Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden añadir puertas de

enlace explícitamente para ellas, dado que ya son gestionadas automáticamente. A pesar de

eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el

Predeterminado, pero no se pueden editar el resto de los atributos.



Lista de puertas de enlace con DHCP

Además Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para

las actualizaciones de software y del antivirus, o para la redirección del propio proxy HTTP.

Para configurar este proxy externo iremos a Red ‣ Puertas de enlace, allí podremos indicar la

dirección del Servidor proxy así como el Puerto del proxy. También podremos especificar un

Usuario y Contraseña en caso de que el proxy requiera autenticación.[2] http://es.wikipedia.org/wiki/PPPoE

Tabla de rutas estáticas

Si queremos hacer que todo el tráfico dirigido a una red pase por una puerta de enlace

determinada, tendremos que añadir una ruta estática. Esto puede servirnos, por ejemplo, parainterconectar dos redes locales a través de sus puertas de enlace predeterminadas.

Para realizar la configuración manual de una ruta estática se utiliza Red ‣ Rutas estáticas.



Configuración de rutas

Estas rutas podrían ser sobreescritas si se utiliza el protocolo DHCP.

Configuración del balanceo con Zentyal

Como se ha comentado anteriormente, una misma máquina puede tener varias puertas deenlace predeterminadas, lo que conduce a una situación especial en la que hay que tener en

cuenta nuevos parámetros en la configuración de un servidor Zentyal.

Lista de puertas de enlace

Las reglas de encaminamiento para múltiples puertas de enlace, conocidas también como

reglas multigateway permiten que una red pueda usar varias conexiones a Internet de una

manera transparente. Esto es muy útil para organizaciones que requieran más ancho de bandaque el que ofrece una única conexión ADSL o que no puedan permitirse interrupciones en su

acceso a Internet, una situación cada vez más común.



El balanceo de tráfico reparte de manera equitativa las conexiones salientes hacia Internet,

permitiendo utilizar la totalidad del ancho de banda disponible. La forma más simple deconfiguración es establecer diferentes pesos para cada puerta de enlace, de manera que si las

conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso óptimo

de ellas.

Balanceo de tráfico

Además, Zentyal se puede configurar para hacer que determinado tipo de tráfico se envíe

siempre por un router específico en caso de ser necesario. Ejemplos comunes son enviar

siempre el correo electrónico o todo el tráfico de una determinada subred por un determinadorouter.

Las reglas multigateway y el balanceo de tráfico se establecen en la sección Red ‣ Balanceo

de tráfico. En esta sección podemos añadir reglas para enviar ciertas conexiones a una

determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser unaDirección IP, un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Dirección

IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway

queremos direccionar el tipo de tráfico especificado.

Configuración de la tolerancia a fallos con Zentyal



Si se está balanceando tráfico entre dos o más puertas de enlace, se recomienda habilitar la

característica de tolerancia a fallos. Supóngase que se está balanceando el tráfico entre dosrouters y uno de ellos sufre un fallo. Si no se ha activado esta característica, una parte del

tráfico seguiría intentando salir por el router fuera de servicio, causando problemas de

conectividad a los usuarios de la red.

En la configuración del failover se pueden definir conjuntos de pruebas para cada puerta de

enlace que revisen si está operativa o si por el contrario está sufriendo algún problema y debe

dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta deenlace, a una máquina externa, una resolución de DNS o una petición HTTP. También se

puede definir cuántas pruebas se quieren realizar así como el porcentaje de aceptación

exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptación, la puertade enlace asociada a ella será desactivada. Las pruebas se siguen ejecutando, así que cuando

estas se ejecuten satisfactoriamente, la puerta de enlace volverá a ser activada de nuevo.

Deshabilitar una puerta de enlace sin conexión tiene como consecuencia que todo el tráficosalga por el resto de puertas de enlace que siguen habilitadas, se deshabilitan las reglas

multigateway asociadas a esa puerta de enlace y también se consolidan las reglas de calidad

de servicio. De esta forma, los usuarios de la red no deberían sufrir problemas con suconexión a Internet. Una vez que Zentyal detecta que la puerta de enlace caída está

completamente operativa se restaura el comportamiento normal de balanceo de tráfico, reglas

multigateway y calidad de servicio.

El failover está implementado como un evento de Zentyal. Para usarlo, primero se necesita

tener el módulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.



WAN failover

Para configurar las opciones y pruebas del failover se debe acudir al menú Red ‣ WAN

Failover. Se puede especificar el periodo del evento modificando el valor de la opción

Tiempo entre revisiones. Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los siguientes campos:

Habilitado:

Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de los

routers. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las

necesidades, sin tener que borrarlas y añadirlas de nuevo.Gateway:

Se selecciona la puerta de enlace de la lista de previamente configuradas.

Tipo de prueba:

Puede tomar uno de los siguientes valores:

Ping a puerta de enlace:

Envía un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una

respuesta de esta, de este modo comprueba que existe conectividad entre ambas máquinas y

que la puerta de enlace está activa. No comprueba que la puerta de enlace tenga conexión conInternet.

Ping a máquina:



Como en el tipo anterior, esta prueba envía un paquete de control y espera una respuesta, solo

que esta vez se envía a una máquina externa a la red, por lo que ya no sólo se comprueba quese puede conectar con la puerta de enlace, si no que también se comprueba si esta tiene

conexión con Internet.

Resolución DNS:

Intenta obtener la dirección IP para el nombre de máquina especificado, lo que requiere que,como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta

a Internet, pero además, que los servidores de DNS sigan siendo accesibles.

Petición HTTP: Esta prueba sería la más completa, ya que intenta descargar el contenido del sitio web

especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan.

Máquina:

El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a

puerta de enlace.Número de pruebas: Número de veces que se repite la prueba.

Ratio de éxito requerido:

Indica que proporción de intentos satisfactorios es necesaria para considerar correcta la prueba.

Con la configuración predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro

/var/log/ebox/ebox.log. Si deseamos recibir notificaciones por otras vías, podemos configurar

un emisor de eventos para ello como se detalla en el capítulo Eventos y alertas o bien adquirir la Subscripción Profesional de Zentyal [3] que incluye el envío automático de alertas.

Calidad de servicioConfiguración de la calidad de servicio con Zentyal

Zentyal es capaz de realizar moldeado de tráfico en el tráfico que atraviesa el servidor, permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados tipos de

conexiones de datos a través del menú Moldeado de tráfico ‣ Reglas.

Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfazinterna y una interfaz externa. También debe existir al menos una puerta de enlace. Además,

desde Moldeado de tráfico ‣ Tasas de Interfaz debemos configurar las tasas de subida y

bajada de las interfaces externas con el ancho de banda que soporten las puertas de enlaceconectadas a cada una de ellas. Las reglas de moldeado son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las

interfaces internas.

Si se moldea la interfaz externa, entonces se estará limitando el tráfico de salida de Zentyalhacia Internet. En cambio, si se moldea la interfaz interna, entonces se estará limitando la

salida de Zentyal hacia sus redes internas. El límite máximo de tasa de salida y entrada viene



dado por la configuración en Moldeado de tráfico ‣ Tasas de Interfaz. Como se puede

esperar, no se puede moldear el tráfico entrante en sí, debido a que el tráfico proveniente de

la red no es predecible y controlable de casi ninguna forma. Existen técnicas específicas a

diversos protocolos para tratar de controlar el tráfico entrante a Zentyal, como por ejemplo,TCP con el ajuste artificial del tamaño de ventana de flujo de la conexión TCP o controlando

la tasa de confirmaciones (ACK) devueltas al emisor.

Para cada interfaz se pueden añadir reglas para dar Prioridad (0: máxima prioridad, 7: mínima

prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarán al tráfico determinado

por el Servicio, Origen y Destino de la conexión.

Reglas de moldeado de tráfico

Opcionalmente puede instalarse el componente Layer-7 Filter (Filtro de capa 7) que permite

el moldeado de tráfico en base a un análisis más complejo de los paquetes centrado enidentificar los protocolos de alto nivel por su contenido y no solo por su puerto. Como

veremos si lo instalamos, podremos utilizar este filtro seleccionando Servicio basado en

aplicación o Grupo de servicios basados en aplicación como Servicio.

Podemos editar los grupos de servicios o crear nuevos desde Moldeado de tráfico ‣ Protocolos de aplicación.

Las reglas que utilizan este tipo de filtrado son más eficaces que las que simplementecomprueban el puerto, ya que puede haber servidores sirviendo desde puertos no habituales

que pasarían inadvertidos si no se analizara su tráfico. Por otro lado, y como es de esperar,

este análisis también suele conllevar una mucho mayor carga de procesamiento en el servidor Zentyal.



Servicio de autenticación de red (RADIUS)

Introducción a RADIUS

Zentyal integra el servidor FreeRADIUS [2], el servidor RADIUS más extendido en entornos

Linux.[2] http://freeradius.org/

Configuración de un servidor RADIUS con Zentyal

Para configurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado delMódulo si Usuarios y Grupos está habilitado, ya que RADIUS depende de él. Podremos crear

un grupo de usuarios desde el menú Usuarios y Grupos ‣ Grupos y añadir usuarios al sistema

desde el menú Usuarios y Grupos‣ Usuarios. Mientras se edita un grupo, se pueden elegir los

usuarios que pertenecen a éste. Las opciones de configuración de los usuarios y grupos se

explican con detalle en el capítulo de Servicio de directorio (LDAP).

Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el módulo en

Estado del Módulo marcando la casilla RADIUS.

Configuración general de RADIUS

Para configurar el servicio, accederemos a RADIUS en el menú izquierdo. Allí podremos



definir si Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos

existentes podrán acceder al servicio.

Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a Zentyal deben

ser especificados en Clientes RADIUS. Para cada uno podemos definir:

Habilitado:

Indicando si el NAS está habilitado o no.

Cliente: El nombre para este cliente, como podría ser el nombre de la máquina.

Dirección IP:

La dirección IP o el rango de direcciones IP desde las que se permite enviar peticiones alservidor RADIUS.

Contraseña compartida:

Contraseña para autenticar y cifrar las comunicaciones entre el servidor RADIUS y el NAS.

Esta contraseña deberá ser conocida por ambas partes.

Servicio de Proxy HTTP

Introducción al servicio de Proxy HTTP

Zentyal utiliza Squid [1] para proxy HTTP junto a Dansguardian [2] para el control de

contenidos.

[1] http://www.squid-cache.org/[2] http://www.dansguardian.org/

Configuración del Proxy HTTP con Zentyal

Para configurar el proxy HTTP iremos a Proxy HTTP ‣ General. Podremos definir si el

proxy funciona en modo Proxy Transparente para forzar la política establecida o si por el

contrario requerirá configuración manual. En este último caso, en Puerto estableceremos

dónde escuchará el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos típicos son el 8000 y el 8080. El proxy de Zentyal únicamente acepta conexiones

provenientes de las interfaces de red internas, por tanto, se debe usar una dirección interna en

la configuración del navegador.

El tamaño de la caché define el espacio en disco máximo usado para almacenar

temporalmente contenidos web. Se establece en Tamaño de caché y corresponde a cadaadministrador decidir cuál es el tamaño óptimo teniendo en cuenta las características del

servidor y el tráfico esperado.

Además también estableceremos aquí la Política predeterminada para el acceso al contenido

web HTTP a través del proxy. Esta política determina si se puede acceder o no a la web y si

se aplica el filtro de contenidos. Puede configurarse de las siguientes maneras:



Permitir todo:

Con esta política se permite a los usuarios navegar sin ningún tipo de restricciones perotodavía disfrutando de las ventajas de la caché, ahorro de tráfico y mayor velocidad.

Denegar todo:

Esta política deniega totalmente el acceso a la web. Aunque a primera vista podría parecer

poco útil ya que el mismo efecto se podría conseguir con una regla de cortafuegos, sinembargo podemos establecer posteriormente políticas particulares para objetos, usuarios o

grupos, pudiendo usar esta política para denegar en principio y luego aceptar explícitamente

en determinadas condiciones.Filtrar:

Esta política permite a los usuarios navegar pero activa el filtrado de contenidos que puede

denegar el acceso web según el contenido solicitado por los usuarios.Autorizar y filtrar, permitir todo o denegar todo:

Estas políticas son versiones de las políticas anteriores que incluyen autorización. La

autorización se explicará en la sección Configuración Avanzada para el proxy HTTP.

Proxy HTTP



Es posible indicar que dominios no serán almacenados en caché. Por ejemplo, si tenemos

servidores web locales no se acelerará su acceso usando la caché y se desperdiciaría memoriaque podría ser usada por elementos de servidores remotos. Si un dominio está exento de la

caché, cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se

devolverán directamente los datos recibidos desde el servidor sin almacenarlos. Estos

dominios se definen en Excepciones a la caché.

Tras establecer la política global, podemos definir políticas particulares para Objetos de red

en Proxy HTTP ‣ Política de objetos. Podremos elegir cualquiera de las seis políticas para

cada objeto; cuando se acceda al proxy desde cualquier miembro del objeto esta política

tendrá preferencia sobre la política global. Una dirección de red puede estar contenida envarios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad. Se

aplicará la política del objeto de mayor prioridad que contenga la dirección de red. Además

existe la posibilidad de definir un rango horario fuera del cual no se permitirá acceso alobjeto de red aunque esta opción sólo es compatible con políticas de permitir o denegar y no

con políticas de filtrado de contenidos.

Políticas de objeto

Limitación de las descargas con Zentyal

Otra de las características configurables en Zentyal es limitar el ancho de banda de lasdescargas usando objetos de red mediante Delay Pools. Para configurarlas accederemos a

HTTP Proxy ‣ Limitación de ancho de banda. Las Delay Pools pueden entenderse como

cajas en las que se dispone de una determinada cantidad de ancho de banda; se van llenando

poco a poco y se van vaciando mientras se usa la red, cuando se vacían se limita el ancho de

banda, la velocidad de descarga. Teniendo en cuenta esta explicación, veamos los valores que



podemos establecer por cada caja:

Ratio:

Ancho de banda máximo que se podrá utilizar cuando se vacíe la caja.

Volumen:

Capacidad máxima de la caja en bytes, es decir, la caja se vaciará si se han transmitido tantos bytes como los indicados en el volumen.

Zentyal permite limitar el ancho de banda mediante dos métodos diferentes, las Delay Poolsde clase 1 y las de clase 2. Las restricciones de la clase 1 tienen prioridad sobre las de la clase

2, si un objeto de red no se corresponde con los limitados por alguna de las reglas no se le

aplica ninguna.

Delay pools de clase 1:

Limitan el ancho de banda globalmente para una subred, permiten configurar un límite de

datos transferidos, el Máximo Tamaño de Red y una restricción de ancho de banda máximo,el Ratio de Red. La limitación se activa cuando el límite de datos ha sido superado. Estas

Delay Pools se componen de una sola caja compartida por todo el objeto de red.

Delay pools de clase 2:

Estas Delay Pools se componen de dos tipos de cajas, una general en la que como en las de

clase 1 se va acumulando todo el tráfico transmitido a la subred y una dedicada a cadacliente. Si un miembro de la subred vacía su caja se limitará su ancho de banda al Ratio del

Cliente, pero no a los demás, si entre todos vacían la caja agregada, se limita el ancho de

banda de todos los clientes a Ratio.



Limitación de ancho de banda

Filtrado de contenidos con Zentyal

Zentyal permite el filtrado de páginas web en base a su contenido. Para ello, es necesario que

la política global o la política particular de cada objeto desde el que se accede sea de Filtrar oAutorizar y Filtrar.

Se pueden definir múltiples perfiles de filtrado en Proxy HTTP ‣ Perfiles de Filtrado pero si

no hay ninguno específico aplicándose al usuario, grupo u objeto se aplicará el perfil default.



Perfiles de filtrado

El filtrado de contenidos de las páginas web se utiliza diferentes métodos incluyendo filtradoheurístico, tipos MIME, extensiones, listas blancas y listas negras entre otros. La conclusión

final es determinar si una página o un recurso web puede ser visitado o no.

El primer filtro que podemos configurar es el antivirus. Para poder utilizarlo debemos tener elmódulo de Antivirus instalado y activado. Si está activado se bloqueará el tráfico HTTP en el

que sean detectados virus.

El filtrado heurístico consiste principalmente en el análisis de los textos presentes en las

paginas web, si se considera que el contenido no es apropiado (pornografía, racismo,

violencia, etc) se bloqueará el acceso a la página. Para controlar este proceso se puedeestablecer un umbral más o menos restrictivo, siendo este el valor que se comparará con la

puntuación asignada a la página para decidir si se bloquea o no. El lugar donde establecer el

umbral es la sección Umbral de filtrado de contenido. Se puede desactivar este filtroeligiendo el valor Desactivado. Hay que tener en cuenta que con este análisis se pueden llegar

a bloquear páginas no deseadas, lo que se conoce como un falso positivo. Este problema se

puede remediar añadiendo los dominios de estas páginas a una lista blanca, pero siempre

existirá el riesgo de un falso positivo con nuevas páginas.

También tenemos a continuación el Filtrado de extensiones de fichero, el Filtrado de tipos

MIME y el Filtrado de dominios.



Perfil de filtrado

En la pestaña de Filtrado de extensiones de fichero se puede seleccionar qué extensiones

serán bloqueadas. De manera similar en Filtrado de tipos MIME se pueden indicar qué tipos

MIME se quieren bloquear y añadir otros nuevos si es necesario, al igual que con lasextensiones.

En la pestaña de Filtrado de dominios encontraremos la configuración del filtrado basado endominios. Podemos:

* Bloquear dominios especificados sólo como IP, esta opción bloquea cualquier página quese intente acceder especificado únicamente su dirección IP y no el dominio asociado.

* Bloquear dominios no listados, esta opción bloquea todos los dominios que no estén

presentes en la sección Reglas de dominios o en las categorías presentes en Ficheros de listas

de dominios y cuya política no sea Ignorar.

A continuación tenemos la lista de dominios, donde podemos introducir nombres de dominio

y seleccionar una política para ellos entre las siguientes:

Permitir siempre:

El acceso a los contenidos del dominio será siempre permitido, todos los filtros sonignorados.

Denegar siempre:

El acceso nunca se permitirá a los contenidos de este dominio.Filtrar:

Se aplicarán las reglas usuales a este dominio. Resulta útil si está activada la opción Bloquear

dominios no listados.



Filtrado de dominios

Podemos simplificar el trabajo del administrador usando listas clasificadas de dominios.

Estas listas son normalmente mantenidas por terceros y tienen la ventaja de que los dominios

están clasificados por categorías, permitiéndonos seleccionar una política para una categoríaentera de dominios. Estas listas son distribuidas en forma de archivo comprimido. Una vez



descargado el archivo, podemos incorporarlo a nuestra configuración y establecer políticas

para las distintas categorías de dominios. Las políticas que se pueden establecer en cadacategoría son las mismas que se pueden asignar a dominios y se aplican a todos los dominios

presentes en dicha categoría. Existe una política adicional Ignorar que, como su nombre

indica, simplemente ignora la existencia de la categoría a la hora de filtrar. Dicha política es

la elegida por defecto para todas las categorías.

Listado de categorías

Download - 93132068 Manual Completo Instalacion de Zentyal Firewall de Linux

Top Related