zentyal para administradores de redes · 2021. 7. 14. · capÍtulo2zentyalcomoinfraestructura 4....

Zentyal para Administradores de Redes

VERSIÓN 7.0

PRODUCIDO POR

Zentyal | Millsico [email protected]@zentyal.comwww.zentyal.com

COPYRIGHTCopyright © 2021 Zentyal | Millsico LLC. Todos los derechos reservados. Ninguna parte de este manual podrá ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperación ni traducida a cualquier idioma, de cualquier forma o por cualquier medio, sin el consentimiento previo por escrito de Zentyal | Millsico LLC.

Si bien se ha hecho todo lo posible para garantizar que la información contenida en este manuales precisa y completa, Zentyal | Millsico LLC no se hacen responsables de errores ni omisiones, ni de ningún daño ocasionado por el uso de este producto. Zentyal | Millsico LLC suministran estos materiales “tal y como están” y su suministro no implica ningún tipo de garantía, ni expresa ni implícita, incluyendo – pero sin limitarse a ellas – las relativas al cumplimiento de criterios comerciales y a la adecuación a propósitos particulares.

El copyright de este manual pertenece a Zentyal | Millsico LLC. Zentyal® y el logo de Zentyal son marcas registradas de Zentyal. Todos los demás nombres de marcas mencionados en este manual son marcas comerciales o registradas de sus respectivos titulares, y se usan únicamente con fines identificativos.

Índice

1. Introducción a Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.1. Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.1.1. Las pymes y las TICs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.1.2. Servidor Linux Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101.1.3. Acerca del manual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.2. Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.2.1. Instalación sobre Ubuntu 20.04 LTS (Server o Desktop). . . . . . . . . . . . . . . . . . 121.2.2. Instalación con el instalador de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131.2.3. Configuración inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.2.4. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

1.3. Primeros pasos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301.3.1. La interfaz web de administración de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301.3.2. Configuración básica de red en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381.3.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481.3.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

1.4. Actualización de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491.4.1. La actualización de software en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491.4.2. Gestión de componentes de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491.4.3. Actualizaciones del sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521.4.4. Actualizaciones automáticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531.4.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541.4.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

1.5. Registros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551.5.1. Consulta de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551.5.2. Configuración de registros en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571.5.3. Registro de auditoría de administradores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581.5.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601.5.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

1.6. Backup de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611.6.1. Backup de la configuración de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611.6.2. Consideraciones al restaurar un backup de configuración. . . . . . . . . . . . . . . 631.6.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631.6.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

1.7. Preguntas de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

2. Zentyal como Infraestructura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .672.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

2.2. Abstracciones de red de alto nivel en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682.2.1. Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682.2.2. Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702.2.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722.2.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

3

2.3. Servicio de resolución de nombres de dominio (DNS) . . . . . . . . . . . . . . . . . . . . . 742.3.1. Introducción a DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 742.3.2. Configuración de un servidor DNS caché con Zentyal . . . . . . . . . . . . . . . . . . . . 782.3.3. Proxy DNS transparente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.3.4. Redirectores DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812.3.5. Configuración de un servidor DNS autoritario con Zentyal . . . . . . . . . . . . . . 812.3.6. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852.3.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

2.4. Servicio de sincronización de hora (NTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872.4.1. Introducción a NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872.4.2. Configuración de un servidor NTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872.4.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.4.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

2.5. Servicio de configuración de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.5.1. Introducción a DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.5.2. Configuración de un servidor DHCP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . 912.5.3. Ejemplos Prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 972.5.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

2.6. Autoridad de certificación (CA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 982.6.1. Infraestructura de clave pública (PKI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 982.6.2. Importación de certificados en los clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1002.6.3. Configuración de una Autoridad de Certificación con Zentyal . . . . . . . . . .1102.6.4. Configuración de Let’s Encrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1142.6.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1152.6.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116

2.7. Servicio de redes privadas virtuales (VPN) con OpenVPN . . . . . . . . . . . . . . . .1162.7.1. Introducción a las redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . . . . . . . . .1162.7.2. Configuración de un servidor OpenVPN con Zentyal . . . . . . . . . . . . . . . . . . . . .1172.7.3. Configuración de un servidor VPN para la interconexión de redes

con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1222.7.4. Configuración del cliente OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1242.7.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1262.7.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129

2.8. VPN con IPSEC y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1292.8.1. Introducción a IPsec y L2TP/IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1292.8.2. Configuración de un túnel IPsec con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1302.8.3. Configurando un túnel L2TP/IPSEC en Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1312.8.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1342.8.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134

2.9. Servicio de Transferencia de ficheros (FTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1352.9.1. Introducción a FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1352.9.2. Configuración del cliente FTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1352.9.3. Configuración de un servidor FTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1392.9.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1402.9.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141

2.10.Gestión de máquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1412.10.1.Introducción a la virtualización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1412.10.2.Creación de máquinas virtuales con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1412.10.3.Mantenimiento de máquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1442.10.4.Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1462.10.5.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147

2.11.Copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1472.11.1.Diseño de un sistema de copias de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147

4

2.11.2.Configuración de las copias de seguridad de datos en un servidorZentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

2.11.3.Configuración de los directorios y ficheros que son respaldados . . . . . .1502.11.4.Comprobando el estado de las copias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1512.11.5.Restaurar ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1512.11.6.Restaurando servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1522.11.7.Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1532.11.8.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154

2.12.Preguntas de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

3. Zentyal como Puerta de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1573.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157

3.2. Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1573.2.1. Introducción al sistema de cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1573.2.2. Configuración de un cortafuegos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1583.2.3. Redirección de puertos con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1633.2.4. Reescritura de direcciones de origen (SNAT) con Zentyal . . . . . . . . . . . . . . . .1643.2.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1663.2.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167

3.3. Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1673.3.1. Introducción al encaminamiento o routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1673.3.2. Configuración del encaminamiento con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . .1683.3.3. Configuración del balanceo con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1713.3.4. Configuración de la tolerancia a fallos con Zentyal . . . . . . . . . . . . . . . . . . . . . . .1733.3.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1753.3.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177

3.4. Servicio de autenticación de red (RADIUS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1773.4.1. Introducción a RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1773.4.2. Configuración del Punto de Acceso con RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . .1783.4.3. Configuración del cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1793.4.4. Configuración de un servidor RADIUS con Zentyal . . . . . . . . . . . . . . . . . . . . . . . .1823.4.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1843.4.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184

3.5. Servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1843.5.1. Introducción al servicio de Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1843.5.2. Configuración en el navegador de un Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . .1853.5.3. Configuración general del Proxy HTTP con Zentyal . . . . . . . . . . . . . . . . . . . . . . .1893.5.4. Reglas de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1913.5.5. Perfiles de filtrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1933.5.6. Bloqueo HTTPS por dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1983.5.7. Limitación de ancho de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1983.5.8. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1993.5.9. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201

3.6. Sistema de Detección de Intrusos (IDS/IPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2013.6.1. Introducción al Sistema de Detección/Prevención de Intrusos . . . . . . . . .2013.6.2. Configuración de un IDS/IPS con Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2023.6.3. Alertas del IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2043.6.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2043.6.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

3.7. Preguntas de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206

4. Zentyal como Dominio & Directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207

5

4.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207

4.2. Servicio de Dominio y Directorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2074.2.1. Introducción al Servicio de Dominio y Directorio . . . . . . . . . . . . . . . . . . . . . . . . .2074.2.2. Samba: La implementación de directorio activo y SMB/CIFS en Linux2094.2.3. Configuración de un servidor de dominio con Zentyal . . . . . . . . . . . . . . . . . . .2094.2.4. Configurar Zentyal como un servidor de Dominio Standalone . . . . . . . . . .2144.2.5. Uniendo un cliente Windows® al dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2164.2.6. Perfiles móviles y redirección de carpetas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2184.2.7. Autenticación con Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2194.2.8. Cambiar la contraseña de usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2214.2.9. Políticas de Grupo (GPO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2214.2.10.Unir Zentyal Server a un dominio existente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2224.2.11.Migración Total . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2254.2.12.Importación y Exportación de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . .2264.2.13.Limitaciones conocidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2294.2.14.Problemas conocidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2294.2.15.Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2304.2.16.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .232

4.3. Compartición de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2324.3.1. Introducción a la Compartición de Ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2324.3.2. Configurar un servidor de ficheros con Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . .2324.3.3. Consejos para desplegar recursos compartidos . . . . . . . . . . . . . . . . . . . . . . . . . . .2364.3.4. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2374.3.5. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238

4.4. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2384.4.1. Introducción al antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2384.4.2. Configuración del módulo Antivirus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2384.4.3. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2394.4.4. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240


5. Zentyal como Comunicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2435.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243

5.2. Servicio de correo electrónico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . . . . . . . . .2435.2.1. Introducción al servicio de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2435.2.2. Configuración de un servidor SMTP/POP3-IMAP4 con Zentyal. . . . . . . . . .2465.2.3. Configuración del cliente de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2545.2.4. Cliente de Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2665.2.5. Soporte ActiveSync®. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2685.2.6. Securización del servidor de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2685.2.7. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2725.2.8. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .272

5.3. Filtrado de correo electrónico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2735.3.1. Introducción al filtrado de correo electrónico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2735.3.2. Esquema del filtrado de correo en Zentyal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2735.3.3. Lista gris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2745.3.4. Verificadores de contenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2755.3.5. Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2755.3.6. Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2765.3.7. Filtrado de Correo SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2795.3.8. Listas de control de conexiones externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2815.3.9. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2825.3.10.Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .282

6

5.4. Servicio de mensajería instantánea (Jabber/XMPP) . . . . . . . . . . . . . . . . . . . . . . . .2835.4.1. Introducción al servicio de mensajería instantánea. . . . . . . . . . . . . . . . . . . . . . .2835.4.2. Configuración de un servidor Jabber/XMPP con Zentyal . . . . . . . . . . . . . . . . .2845.4.3. Configuración de un cliente Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2865.4.4. Configurando salas de conferencia Jabber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2925.4.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2975.4.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297


6. Mantenimiento de Zentyal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3016.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301

6.2. Smart Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3016.2.1. Introducción a Smart Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3016.2.2. Smart alerts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3026.2.3. Kernel management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3046.2.4. Informe del estado del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3046.2.5. UCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3056.2.6. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3066.2.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307

6.3. Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3076.3.1. Introducción a Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3076.3.2. Principales archivos de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3076.3.3. Principales comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3086.3.4. Otros comandos útiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3096.3.5. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3106.3.6. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310

6.4. Actualización de versión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3106.4.1. Introducción a actualización de versión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3106.4.2. Antes de la actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3116.4.3. Opciones de actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3116.4.4. Tras la actualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3126.4.5. Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3136.4.6. Ejemplos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3156.4.7. Ejercicios propuestos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316


7. Apéndices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3197.1. Apéndice A: Entorno de pruebas con VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319

7.1.1. Acerca de la virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3197.1.2. VirtualBox. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320

7.2. Apéndice B: Escenarios avanzados de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3317.2.1. Escenario 1: Escenario base, conexión a Internet, red interna y anfi-

trión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3317.2.2. Escenario 2: Varias redes internas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3357.2.3. Escenario 3: Varias puertas de enlace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3367.2.4. Escenario 4: Escenario base + cliente externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3377.2.5. Escenario 5: Multisede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .338

7.3. Apéndice C: Prácticas recomendadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .339

7.4. Apéndice D: Desarrollo y usos avanzados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3417.4.1. Importación de datos de configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3417.4.2. Personalización avanzada de servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3427.4.3. Entorno de desarrollo de nuevos módulos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .345

7

7.4.4. Política de publicación de la Edición Comercial . . . . . . . . . . . . . . . . . . . . . . . . . . .3457.4.5. Política de publicación de la Edición Development . . . . . . . . . . . . . . . . . . . . . . .3457.4.6. Política de gestión de errores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3467.4.7. Soporte de la comunidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .346

7.5. Apéndice E: Respuesta a las preguntas de autoevaluación . . . . . . . . . . . . . . .3467.5.1. Respuesta a las preguntas de autoevaluación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .346

8

CAPÍTULO 2ZENTYAL COMO INFRAESTRUCTURA

4. ACCIÓN Entrar en Autoridad de Certificación→ Certificados para los servicios. Pul-sar sobre el botón Edit en la columna Acción para el módulo Administración Webde Zentyal. Especificar el FQDN del servidor Zentyal en Nombre común, marcar lacasilla Habilitar y pulsar sobre Cambiar.

EFECTO: Un nuevo certificado con el Nombre común será expedido después deguardar los cambios. Se ha habilitado el botón Guardar cambios del menú supe-rior.

5. ACCIÓN Realizar la acción anterior con el módulo de correo.

EFECTO: Se generan los certificados para los módulos.

6. ACCIÓN Seleccionar el botón de Guardar cambios de la parte superior.

EFECTO: Todos los certificados son generados y los módulos sonmodificados conlos nuevos certificados.

7. ACCIÓNDesde el listado de certificados, descargar el de la CA, un archivo con nom-bre CA-key-and-cert.tar.gz que dentro contiene la clave pública ca-public-key.pemy el certificado ca-cert.pem. Siguiendo el procedimiento descrito más arriba, im-portar el fichero del certificado ca-cert.pem en las máquinas Windows.

EFECTO: El nuevo certificado aparecerá en el listado de certificados, y todo cer-tificado emitido por esta CA será aceptado por las estaciones de trabajo de losusuarios con Windows.

Ejercicios propuestos

Ejercicio A

Comprueba los certificados expedidospor la CAusando los comandos ‘cat’ y ‘openssl’.Como pista, mencionar que todos los certificados generados son almacenados en:/var/lib/zentyal/CA/ .

Servicio de redes privadas virtuales (VPN) con OpenVPNIntroducción a las redes privadas virtuales (VPN)

Las redes privadas virtuales tienen como finalidad permitir el acceso a la red cor-porativa a usuarios remotos a conectados través de Internet y además conectar demanera segura subredes distintas, también a través de Internet.

Nuestros usuarios pueden necesitar acceder a recursos de nuestra red mientras seencuentran fuera de las instalaciones de la empresa, unidos a redes no confiables. Esun caso habitual para comerciales o teletrabajadores, por poner un ejemplo. La solu-ción pasa por permitir la conexión de estos usuarios a nuestras instalaciones a travésde Internet, aunque ello puede implicar riesgos para la confidencialidad, disponibi-lidad e integridad de las comunicaciones. Para evitar esos problemas la conexión nose realiza de forma directa sino a través de redes privadas virtuales.

Usando una red privada virtual o VPN (Virtual Private Network, de sus siglas en in-glés) podemos crear un túnel seguro que sólo aceptará conexiones que provengande usuarios autorizados. El tráfico viaja encapsulado y sólo será posible leerlo en elotro extremo del túnel. Además, para facilitar su uso y configuración, las conexionesaparecen como si estuviesen dentro de las redes internas, aprovechando así todoslos recursos y configuraciones dispuestas por el administrador de sistemas para lared local.

La utilidad de las VPN no se limita al acceso remoto de los usuarios; una organizaciónpuede desear conectar entre sí redes que se encuentran en sitios distintos, como porejemplo, oficinas en distintas ciudades.

VPN: http://es.wikipedia.org/wiki/Red_privada_virtual

116

De la misma manera, Zentyal ofrece dos modos de funcionamiento, como servidorpara usuarios individuales y también como nodo central para la conexión de otrosservidores.

Zentyal integraOpenVPN para configurar y gestionar las redes privadas virtuales. Enesta sección concreta veremos comoconfigurarOpenVPN, el cual posee las siguientesventajas:

Autenticación mediante infraestructura de clave pública.

Cifrado basado en tecnología SSL.

Clientes disponibles para Windows, Mac OS y Linux.

Más sencillo de instalar, configurar ymantener que IPSec, otra alternativa para VPNsen software libre.

Posibilidad de usar programas de red de forma transparente.

Configuración de un servidor OpenVPN con Zentyal

Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos comoRoadWarriors). Esto es, un servidor Zentyal trabajando comopuerta de enlace y comoservidor VPN, que tiene varias redes de área local (LAN) detrás, permitiendo a clientesexternos (los road warriors) conectarse a dichas redes locales vía servicio VPN.

Figura 2.56: Zentyal y clientes remotos de VPN

Nuestro objetivo es conectar al servidor de datos con los otros dos clientes remotos(Comercial y Cliente) y estos últimos entre si.

Para ello necesitamos crear unaAutoridaddeCertificación y certificados individualespara los dos clientes remotos, que crearemos mediante Autoridad de certificación→General. También se necesita un certificadopara el servidor VPN, sin embargo, Zentyalexpedirá este certificado automáticamente cuando cree un nuevo servidor VPN. Eneste escenario, Zentyal actúa como una Autoridad de Certificación.

OpenVPN: http://openvpn.net/

117


Figura 2.57: Certificados expedidos en el servidor

Unavez tengamos los certificados, deberíamosponer apuntoel servidorVPNenZent-yal mediante Crear un nuevo servidor. El único parámetro que necesitamos introducirpara crear un servidor es el nombre. Zentyal hace que la tarea de configurar un servi-dor VPN sea sencilla, ya que establece valores de forma automática.

Figura 2.58: Nuevo servidor VPN creado

Los siguientes parámetros de configuración son añadidos automáticamente y puedenser modificados si es necesario: una pareja de puerto/protocolo, un certificado (Zent-yal creará uno automáticamente usando el nombre del servidor VPN) y una direcciónde red. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes.Si se necesita cambiar la dirección de red nos deberemos asegurar que no entra enconflicto con una red local. Además, se informará automáticamente de las redes loca-les, es decir, las redes conectadas directamente a los interfaces de red de la máquina,a través de la red privada.

TRUCO: Zentyal permite la configuración de VPN sobre el protocolo UDP o TCP.El primero tiene la ventaja de ser más rápido y eficiente pues hay que transmitirmenos información de control por lo tanto haymás espacio para datos. El segun-do, TCP, es más resistente a conexiones inestables o a proveedores de Internetque cortan conexiones de larga duración.

Como vemos, el servidor VPN estará escuchando en todas las interfaces externas. Portanto, debemos poner al menos una de nuestras interfaces como externa vía Red→Interfaces. En nuestro escenario sólo se necesitan dos interfaces, una interna para laLAN y otra externa para Internet.

Si queremos que los clientes de VPN puedan conectarse entre sí usando su direcciónde VPN, debemos activar la opción Permitir conexiones entre clientes.

118

El resto de opciones de configuración las podemos dejar con sus valores por defectoen los casos más habituales.

Figura 2.59: Configuración de servidor VPN

En caso de que necesitemos una configuración más avanzada:

DIRECCIÓN VPN: Indica la subred virtual donde se situará el servidor VPN y susclientes. Debemos tener en cuenta que esta red no se solape con ninguna otra yque a efectos del cortafuegos, es una red interna. Por defecto 192.168.160.1/24,los clientes irán tomando las direcciones .2,*.3*, etc.

CERTIFICADO DE SERVIDOR: Certificado que mostrará el servidor a sus clientes. LaCA de Zentyal expide un certificado por defecto para el servidor, con el nombrevpn-<nuestronombredevpn>. A menos que queramos importar un certificado ex-terno, lo habitual es mantener esta configuración.

AUTORIZAR AL CLIENTE POR SU NOMBRE COMÚN: Requiere que el common namedel certificado del cliente empiece por la cadena de caracteres seleccionada paraautorizar la conexión.

INTERFAZ TUN: Por defecto se usa una interfaz de tipo TAP, más semejante a unbridge de capa 2, podemos usar una interfaz de tipo TUNmás semejante a un nodode IP capa 3.

TRADUCCIÓN DE DIRECCIÓN DE RED (NAT): Es recomendable tener esta traducciónactivada si el servidor Zentyal que acepta las conexiones VPN no es la puerta de

119


enlace por defecto de las redes internas a las que podremos acceder desde la VPN.De esta forma los clientes de estas redes internas utilizarán la VPN de Zentyalcomo gateway en lugar de a su puerta de enlace predeterminada. Si el servidorZentyal es tanto servidor VPN como puerta de enlace (caso más habitual), es indi-ferente.

Figura 2.60: Servidor VPN usando NAT para convertirse en la puerta de enlace por defecto

REDIRIGIR PUERTA DE ENLACE: Si esta opción no está marcada, el cliente externoaccederá a través de la VPN a las redes anunciadas, pero usará su conexión localpara salir a Internet y/o resto de redes alcanzables. Marcando esta opción pode-mos conseguir que todo el tráfico del cliente viaje a través de la VPN.

La VPN puede indicar además servidores de nombres, dominio de búsqueda y servi-dores WINS para sobrescribir los propios del cliente, especialmente útil en caso deque hayamos redirigido la puerta de enlace.

Tras crear el servidor VPN, debemos habilitar el servicio y guardar los cambios. Poste-riormente, se debe comprobar en el Dashboard que el servidor VPN está funcionan-do.

Figura 2.61:Widget del servidor VPN

120

Tras ello, debemos anunciar redes, es decir, establecer rutas entre las redes VPN yotras redes conocidas por nuestro servidor. Dichas redes serán accesibles por losclientes VPN autorizados. Para ello daremos de alta objetos que hayamos definido(ver Abstracciones de red de alto nivel en Zentyal), en el casomás habitual, todas nues-tras redes internas. Podremos configurar las redes anunciadas para este servidor VPNmediante la interfaz Redes anunciadas.

Figura 2.62: Redes anunciadas para nuestro servidor VPN

Una vez hecho esto, es momento de configurar los clientes. La forma más sencillade configurar un cliente VPN es utilizando los bundles de Zentyal. Los bundles sonpaquetes de instalación que incluyen el archivo de configuración de VPN específicopara cada usuario y, opcionalmente, un programa de instalación. Estos están dispo-nibles en la tabla que aparece en VPN→ Servidores, pulsando el icono de la columnaDescargar bundle del cliente. Se pueden crear bundles para clientesWindows, Mac OSy Linux. Al crear un bundle se seleccionan aquellos certificados que se van a dar alcliente y se establece la dirección externa del servidor a la cual los clientes VPN sedeben conectar.

Como se puede ver en la imagenmás abajo, tenemos un servidor VPN principal y has-ta dos secundarios. Dependiendo de la Estrategia de conexión definida, se intentaráestablecer la conexión en orden específica o en orden aleatorio.

Además, si el sistema seleccionado es Windows, se puede incluir también un instala-dor de OpenVPN™. Los bundles de configuración los descargará el administrador deZentyal para distribuirlos a los clientes de la manera que crea más oportuna.

Figura 2.63: Descargar paquete de configuración de cliente

121


Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzaruna conexión VPN.

Ahora tenemos acceso al servidor de datos desde los dos clientes remotos. Si se quie-re usar el servicio local de DNS de Zentyal a través de la red privada, será necesarioconfigurar estos clientes para que usen Zentyal como servidor de nombres. De lo con-trario no se podrá acceder a los servicios de las máquinas de la LAN por nombre, sinoúnicamente por dirección IP. Así mismo, para navegar por los ficheros compartidosdesde la VPN se debe permitir explícitamente el tráfico de difusión del servidorSamba.

Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboardde Zentyal. Tendremos que añadir este widget desde Configurar widgets, situado enla parte superior del Dashboard.

Figura 2.64:Widget con clientes conectados

Configuración de un servidor VPN para la interconexión de redes conZentyalEn este escenario tenemos dos oficinas en diferentes redes que necesitan estar co-nectadas a través de una red privada. Para hacerlo, usaremos Zentyal en ambas comopuertas de enlace. Una actuará como cliente VPN y otra como servidor. La siguienteimagen ilustra esta situación:

Figura 2.65: Interconexión de sedes con Zentyal mediante túnel VPN

Nuestro objetivo es conectar varias sedes, sus servidores Zentyal, así como sus redesinternas, de tal forma que podemos crear una infraestructura única para nuestra em-presa de forma segura a través de Internet. Para ello, debemos configurar un servidorVPN de forma similar al anterior punto.

Sin embargo, se necesita hacer dos pequeños cambios. En primer lugar, debemos ha-bilitar la opción Permitir túneles Zentyal a Zentyal para intercambiar rutas entre servi-dores Zentyal y luego, introducir una Contraseña de túneles de Zentyal a Zentyal paraestablecer la conexión en un entornomás seguro entre las dos oficinas. Hay que teneren cuenta que tendremos que anunciar las redes LAN en Redes anunciadas.

Para más información sobre compartición de ficheros, ir a la sección Servicio de Dominio y Directorio.

122

Otra diferencia importante es el intercambio de rutas. En el escenario de roadwarriordescrito más arriba, el servidor envía las rutas al cliente. En el escenario de servidor aservidor, las rutas se intercambian en ambos sentidos y se propagan a otros clientesusando el protocolo RIP . Por lo que en los servidores que actúan como clientes VPNdel nodo central también es posible añadir las Redes Anunciadas que serán propaga-das a los demás nodos.

Figura 2.66: Zentyal como cliente de VPN

Para configurar Zentyal como un cliente VPN, podemos hacerlo a través de VPN →Clientes. Tendremos que darle un nombre al cliente y activar el servicio. Se puedeestablecer la configuración del cliente manualmente o automáticamente usando elbundle dado por el servidor VPN. Si no se usa el bundle, se tendrá que dar la direcciónIP y el par protocolo-puerto donde estará aceptando peticiones el servidor. Tambiénserá necesaria la contraseña del túnel y los certificados usados por el cliente. Estoscertificados deberán haber sido creados por la misma autoridad de certificación queuse el servidor.

Figura 2.67: Configuración automática del cliente usando el paquete VPN

Cuando se guardan los cambios, en el Dashboard, se puede ver un nuevo demonioOpenVPN™ ejecutándose como cliente con la conexión objetivo dirigida a nuestrootro servidor Zentyal que actúa como servidor.

Routing Information Protocol (RIP): http://www.ietf.org/rfc/rfc1058

123


Figura 2.68: Dashboard de un servidor Zentyal configurado como cliente VPN

ADVERTENCIA: La propagación de rutas puede tomar unos pocos minutos.

Configuración del cliente OpenVPNPara configurar un cliente VPN sobre Windows, primeramente nuestro administradorde sistemas nos deberá facilitar el bundle para nuestro cliente.

Figura 2.69: Bundle de la VPN

Debemos descomprimirlo (botón derecho sobre el archivo y seleccionando Extraeraquí). Encontraremos todos los ficheros relativos a la instalación de VPN y los certifi-cados asociados.

124

Figura 2.70: Archivos extraídos del bundle

Con el botón derecho elegimos ‘Ejecutar como Administrador’, ya que OpenVPN ne-cesita crear la interfaz virtual e instalar los drivers

Figura 2.71: Aceptamos la licencia de OpenVPN

Dejamos los componentes por defecto y pulsamos sobre Next:

125


Figura 2.72: Listado de módulos a instalar

TRUCO: Tendremos que copiar todos los ficheros que vienen en el bundle, excep-to el instalador de OpenVpn si lo hemos incluido, a la carpeta C:\Archivos de Pro-grama (x86)\OpenVpn\config para que el daemon los localice automáticamente.

Una vez instalado, tenemos un acceso directo en nuestro escritorio que nos permiteconectar a la red VPN haciendo doble clic.

Figura 2.73: Acceso directo para conectar con la VPN

Ejemplos prácticos

Ejemplo práctico A

Ventas García S.L. ha decidido dotar a sus dos comerciales de portátiles corporativosy pretende aprovechar la nueva infraestructura de red para dar acceso a estos dispo-sitivos portátiles a la intranet. Se propone proporcionar acceso a los comerciales através del módulo OpenVPN.

1. ACCIÓN Acudir al menú lateral Gestión de software→ Componentes de Zentyal.

EFECTO: Zentyal presenta un listado con todos los módulos instalables.

2. ACCIÓN Seleccionar el módulo VPN y pulsar el botón Instalar.

EFECTO: Se muestra una ventana emergente con información del módulo, trasconfirmar se procede a la instalación del módulo con sus dependencias.

3. ACCIÓN Acceder a Zentyal, entrar en Estado de los Módulos y activar el móduloVPN, para ello marca su casilla en la columna Estado. Se proporcionar información

126

de los cambios que va a realizar en el sistema. Permitir la operación pulsando elbotón Aceptar.

EFECTO: Se ha activado el botón Guardar cambios.

4. ACCIÓN Seleccionar en el menú lateral VPN→ Servidores. Hacer click en el botónAñadir nuevo/a del panel Lista de servidores. Introducir el nombre del servidor yconfirmar con el botón Añadir.

EFECTO: Se muestra la nueva conexión VPN.

5. ACCIÓN Seleccionar el botón Configuración de la nueva conexión VPN. Habilitarla casilla de verificación Permitir conexiones cliente-cliente y Redirigir puerta deenlace. Hacer click en el botón Cambiar.

EFECTO: Se establece la configuración de la VPN para ser aplicada al guardar cam-bios.

6. ACCIÓN Acudir a VPN –> Servidores. Pulsar sobre el botón Configurar de la colum-na Redes anunciadas.

EFECTO: Se muestran las redes que serán compartidas.

7. ACCIÓN Configurar las redes que se quieren compartir con los comerciales.

EFECTO: Las redes son listadas.

8. ACCIÓN Acceder a VPN –> Servidores. Marcar la casilla Habilitado.

EFECTO: El cliente VPN está listo para ser iniciado.


EFECTO: Zentyal ya está configurado como servidor VPN.

10. ACCIÓN Acceder al menú Autoridad de Certificación → General. Especificar elFQDN del portátil del comercial en Nombre común y pulsar sobre Expedir.

EFECTO: El certificado es expedido.

11. ACCIÓN Realizar la misma acción para el otro portátil.

EFECTO: Ambos certificados son listados.

12. ACCIÓN Acceder al menú VPN→ Servidores. Pulsar sobre el botón Descargar pa-quete de configuración de cliente del servidor. Seleccionar en Tipo de cliente Win-dows y el certificado generado para el primer comercial en Certificado del cliente,habilitar la casilla de verificación Añadir instalador de OpenVPN al paquete de con-figuración del cliente y establecer la IP pública del servidor VPN en Dirección delservidor. Hacer click en el botón Descargar.

EFECTO: El paquete de configuración para la configuración VPNdel cliente es des-cargado.

13. ACCIÓN Repetir para la misma acción para el otro portátil.

EFECTO: Se descargan los archivos para la configuración de la VPNpara el portátil.

Ejemplo práctico B

Tras abrir la nueva delegación en Madrid, la empresa quiere comunicar las nuevasinstalaciones con la central ubicada en Zaragoza de forma segura. Se propone unirambas instalaciones usando el módulo OpenVPN en ambos servidores.

1. ACCIÓN En el servidor de Zaragoza, acceder a la interfaz de Zentyal e ir al menúAutoridad de Certificación→General. Establecer como FQDN el servidor deMadriden Nombre común y pulsa sobre Expedir.

127


EFECTO: El certificado es generado.

2. ACCIÓN En ambos servidores, acudir al menú lateral Gestión de software→ Com-ponentes de Zentyal.

EFECTO: Zentyal presenta un listado con todos los módulos instalables.

3. ACCIÓN Seleccionar el módulo VPN y pulsar el botón Instalar.

EFECTO: Se muestra una ventana emergente con información del módulo, trasconfirmar se procede a la instalación del módulo con sus dependencias.

4. ACCIÓN En ambos servidores, seleccionar en el menú lateral Estado de los módu-los y habilitar el módulo VPN.

EFECTO: El botón de Guardar cambios del menú superior es habilitado.

5. ACCIÓN En el servidor de Zaragoza, seleccionar en el menú lateral VPN→ Servi-dores.

EFECTO: Las conexiones VPN son listadas.

6. ACCIÓN Pulsar en el botón Añadir nuevo e introducir el nombre del servidor enNombre. Pulsar sobre el botón Añadir.

EFECTO: La nueva conexión VPN es listada.

7. ACCIÓN Seleccionar el botón Configuración de la nueva conexión VPN. Habilitarla casilla de verificación Permitir túneles de Zentyal a Zentyal y establecer una con-traseña en el campo Contraseña de túneles de Zentyal a Zentyal. Pulsar en el botónCambiar.

EFECTO: El archivo de configuración es modificado y está listado para ser aplica-do.

8. ACCIÓN Acudir a VPN –> Servidores. Pulsar sobre el botón Configurar de la colum-na Redes anunciadas.

EFECTO: Se muestran las redes que serán compartidas.

9. ACCIÓN Configurar las redes que se quieren compartir con el otro servidor Zent-yal.


10. ACCIÓN Acceder a VPN –> Servidores. Marcar la casilla Habilitado.



EFECTO: Zentyal ya está configurado como servidor VPN.

12. ACCIÓN Acceder a VPN –> Servidores. Seleccionar el botón Descargar paquete deconfiguración de cliente. Seleccionar el certificado generado para el servidor deMadrid en Certificado del cliente. Añadir la IP pública del servidor de Zaragoza enDirección del servidor. Hacer click en el botón Descargar.

EFECTO: El archivo de configuración para el servidor VPN de Madrid es descarga-do.

13. ACCIÓN En el servidor de Madrid, acceder al menú lateral VPN→ Clientes e intro-ducir el nombre de la conexión VPN en el campoNombre. Click en el botón Añadir

EFECTO: Se lista la nueva conexión VPN.

14. ACCIÓN Pulsar sobre Subir paquete de configuración del cliente. Seleccionar elpaquete de configuración VPN descargado previamente. Hacer click en el botónCambiar.

128

EFECTO: La configuración VPN está lista para ser aplicada.

15. ACCIÓN Acceder aVPN –>Clientes. Pulsar sobre el botón Configurar de la columnaRedes anunciadas.

EFECTO: Se muestra las redes que serán compartidas.

16. ACCIÓN Configurar las redes que se quieren compartir con el otro servidor Zent-yal.


17. ACCIÓN Acceder a VPN –> Clientes. Marcar la casilla Habilitado.


18. ACCIÓN Hacer click en el botón Guardar cambios del menú superior.

EFECTO: El módulo VPN es configurado y habilitado.

Ejercicios propuestos

Ejercicio A

Configura una VPN para que sólo sea válida con un certificado concreto. Compruébalocon dos clientes, uno con el certificado correcto y otro con uno incorrecto.

VPN con IPSEC y L2TP/IPSECIntroducción a IPsec y L2TP/IPSEC

El protocolo IPsec (Internet Protocol security) es un conjunto de protocolos para ga-rantizar la seguridad de las comunicaciones de red usando el protocolo TCP/IP. Pro-porciona tanto autenticación como encriptación de la sesión. A diferencia de otrassoluciones como SSL o TLS, IPsec no funciona en la capa de aplicación sino en la ca-pa de red. Esto permite dotar de seguridad a cualquier comunicación sin tener quemodificar la aplicación usada.

Al igual que OpenVPN™ o PPTP, IPsec se utiliza para desplegar redes privadas virtua-les (VPN). Puede operar en varios modos, de host a host, de red a host o de red a red,siendo este último el más habitual: tenemos subredes que queremos interconectarde manera segura a través de una red no fiable, como puede ser Internet.

IPsec es un anexo opcional del protocolo IPv4 pero forma parte de IPv6. La principalventaja de IPsec frente a otros protocolos deVPN incluidos enZentyal comoOpenVPNo PPTP es que es un stándard definido por el Internet Engineering Task Force (IETF)quemuchos fabricantes han implementadoen sus dispositivos por lo que es la opciónideal para conectar Zentyal con dispositivos UTMde otros fabricantes (Cisco, Fortinet,CheckPoint, etc.).

L2TP opera en la capa 2 del modelo TCP/IP , de esta forma permite que los clientesremotos operen en las redes locales como cualquier otra máquina unida a la LAN,en lugar de comportarse como una conexión punto a punto. En la implementación deZentyal, L2TP lleva a cabo las tareas de tunelización y autenticación de usuarios, peroL2TP se apoya en IPsec para cifrar el tráfico.

Zentyal integra Libreswan como solución IPsec y L2TP/IPsec. Este servicio utiliza lospuertos 500, 1701 y 4500 UDP además del protocolo ESP.

IPSEC: http://es.wikipedia.org/wiki/IPsec RFC2661: http://www.ietf.org/rfc/rfc2661.txt Libreswan: http://libreswan.org/

129

zentyal para administradores de redes · 2021. 7. 14. · capÍtulo2zentyalcomoinfraestructura 4....

Documents