Zentyal para PYMES

Servidor de red unificado para las PYMES con ZENTYAL
SERVICIOS CORTAFUEGOS
[Escriba aqu una descripcin breve del documento. Normalmente, una descripcin breve es un resumen corto del contenido del documento. Escriba aqu una descripcin breve del documento. Normalmente, una descripcin breve es un resumen corto del contenido del documento.]
Contenido
Introduccin ........................................................................................................................................ 2 Objetivos ............................................................................................................................................. 3 Objetivo General: ........................................................................................................................ 3 Objetivos Especficos: .................................................................................................................. 3 Las pymes y las TICs............................................................................................................................. 4 Zentyal: servidor Linux para pymes .................................................................................................... 4 Zentyal Gateway.................................................................................................................................. 7 Cortafuegos ......................................................................................................................................... 7 Configuracin de un cortafuegos con Zentyal ............................................................................ 8 Servicio de configuracin de red (DHCP) .......................................................................................... 12 Configuracin de un servidor DHCP con Zentyal ...................................................................... 12 Opciones personalizadas ........................................................................................................... 12 Opciones de DNS dinmico ....................................................................................................... 15 Opciones avanzadas .................................................................................................................. 16 Servicio de resolucin de nombres de dominio (DNS)...................................................................... 17 Configuracin Protocolo DNS .................................................................................................... 17 Proxy DNS transparente ............................................................................................................ 19 Redirectores DNS: ..................................................................................................................... 19 Configuracin de un servidor DNS autoritario con Zentyal ...................................................... 20 Servicio de Proxy HTTP ...................................................................................................................... 24 Configuracin general del Proxy HTTP con Zentyal .................................................................. 24 Reglas de acceso........................................................................................................................ 26 Filtadro de contenidos con Zentyal ........................................................................................... 27 Limitacin de ancho de banda .................................................................................................. 31 Conclusiones ..................................................................................................................................... 32 Bibliografa ........................................................................................................................................ 33 Captulo: Introduccin Anexos ...................................................................................................Error! Bookmark not defined.
Introduccin
Antes de iniciar dando una descripcin de nuestro proyecto, es necesario que en primer lugar, podamos aclarar el concepto y uso de Zentyal pues al ser un software (servidor) de cdigo abierto o plataforma de Red y de fcil acceso posibilita el acceder a l. Zentyal, tambin nos permite gestionar las amenazas de seguridad (UTM), adems configurarlo como servidor de oficina, como servidor de comunicaciones unificadas o una combinacin de estas. Zentyal tambin incluye un marco de desarrollo (un framework) para facilitar el desarrollo de nuevos servicios basados en Unix. Luego de haber dicho esto, ahora podemos dar a conocer brevemente en lo que consiste nuestro proyecto; pues debemos realizar un Servidor de red Unificado para las Pymes, utilizando Zentyal como plataforma para administrarlo. En nuestro proyecto, hemos debido utilizar un cortafuego mediante la configuracin de Zentyal; sabiendo que mediante las interfaces le podemos permitir al cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones procedentes de fuera. Adems, tambin debimos configurar nuestro servidor mediante el Protocolo DHCP, que como bien sabemos nos sirve para configurar estticamente nuestra Interfaz, mediante la cual se desplegar nuestro servicio.
Captulo: Introduccin
Objetivos
Objetivo General: Demostrar la practicidad en el uso y configuracin de Zentyal como software apropiado
para la elaboracin de servidores para las Pymes.
Objetivos Especficos:
Que los alumnos puedan interactuar con programas en los cuales sean capaces de configurar mltiples servicios de internet para la aplicacin de Servidores en lnea; mediante el uso de protocolos como el DHCP y el DNS. Permitir a los usuarios la instalacin de servidor Unificado para las Pymes, utilizando tambin la herramienta del Cortafuegos, mediante la implementacin de Linux como sistema base.
Captulo: Objetivos
Las pymes y las TICs

Alrededor del 99% de las empresas del mundo son pymes, y generan ms de la mitad del PIB mundial. Las pymes buscan continuamente frmulas para reducir costes y aumentar su productividad, especialmente en tiempos de crisis como el actual. Sin embargo, suelen operar bajo presupuestos muy escasos y con una fuerza laboral limitada. Estas circunstancias hacen muy difcil ofrecer soluciones adaptadas a las pymes que les aporten importantes beneficios, manteniendo al mismo tiempo las inversiones necesarias y los costes operacionales dentro de su presupuesto. Quizs sea esta la razn por la que siendo un mercado enorme con un potencial casi ilimitado, los fabricantes de tecnologa han mostrado escaso inters en desarrollar soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativas disponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y demandan un alto nivel de conocimientos tcnicos. En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados costes de licencias. En este contexto parece razonable considerar a Linux como una alternativa ms que interesante como servidor para pymes, puesto que tcnicamente ha demostrado una calidad y nivel funcional muy elevados y su precio de entrada es muy competitivo. Sin embargo la presencia de Linux en entornos de pyme es testimonial y su crecimiento relativamente reducido. Cmo es posible explicar estos datos? Nosotros creemos que la razn es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesita que sus distintos componentes estn bien integrados entre s y que sean sencillos de administrar. As mismo, los proveedores de servicios TIC para pymes tambin precisan de soluciones que requieran poco tiempo en despliegue y mantenimiento para poder ser competitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estas premisas.
Zentyal se desarroll con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo abierto a los productos de Microsoft para infraestructura TIC en las pymes (Windows Small Business Server, Windows Server, Microsoft Exchange, Microsoft Forefront...) y est basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC administrar todos los servicios de una red informtica, tales como el acceso a Internet,
Captulo: Las pymes y las TICs
Zentyal: servidor Linux para pymes
la seguridad de la red, la comparticin de recursos, la infraestructura de la red o las comunicaciones, de forma sencilla y a travs de una nica plataforma. Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una interfaz intuitiva que incluye nicamente aquellas funcionalidades de uso ms frecuente, aunque tambin dispone de los medios necesarios para realizar toda clase de configuraciones avanzadas. Otra de las caractersticas importantes de Zentyal es que todas sus funcionalidades estn estrechamente integradas entre s, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresa se deben a errores humanos en la configuracin y administracin de los mismos, el resultado es una solucin no slo ms sencilla de manejar sino tambin ms segura y fiable. En resumen, adems de ofrecer importantes ahorros, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa. El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y actualmente es una solucin consolidada de reconocido prestigio que integra ms de 30 herramientas de cdigo abierto para la administracin de sistemas y redes en una sola tecnologa. Zentyal est incluido en Ubuntu desde el ao 2007, desde el ao 2012 las ediciones comerciales estn oficialmente respaldadas por Canonical la empresa detrs del desarrollo y comercializacin de Ubuntu y en la actualidad Zentyal tiene ms de 1.000 descargas diarias y dispone de una comunidad activa de miles de miembros. Hoy en da hay ya decenas de miles de instalaciones activas de Zentyal, principalmente en Amrica y Europa, aunque su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Brasil y Rusia los pases que cuentan con ms instalaciones. Zentyal se usa principalmente en pymes, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. El desarrollo del servidor Zentyal est financiado por Zentyal S.L. Zentyal es un servidor Linux completo que se puede usar de forma gratuita sin soporte tcnico y actualizaciones, o con soporte completo por una cuota mensual muy asequible. Las ediciones comerciales estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la Edicin Small Business est dirigida a pequeas empresas con menos de 25 usuarios y con un slo servidor o una infraestructura TIC relativamente sencilla. Por otra parte, la Edicin Enterprise est dirigida a pequeas y medianas empresas con ms de 25 usuarios y, por lo general, con mltiples servidores. Las ediciones comerciales del servidor Zentyal dan acceso a los siguientes servicios y herramientas:
Captulo: Zentyal: servidor Linux para pymes
Soporte tcnico completo por el Equipo de Soporte de Zentyal Soporte oficial de Ubuntu/Canonical Actualizaciones de software y de seguridad Plataforma de monitorizacin y gestin remota de servidores y escritorios Recuperacin de desastres Proxy HTTPS Mltiples administradores del servidor
As mismo Zentyal S.L. ofrece los siguientes servicios comerciales en la nube que pueden ser usados integrados a las ediciones comerciales del servidor Zentyal o de forma independiente:

Correo electrnico en la nube Comparticin corporativa de ficheros
Una infraestructura de red profesional con un coste mensual asequible
Zentyal S.L. ofrece a sus Partners Autorizados una serie de herramientas y servicios de gestin orientados a reducir los costes de mantenimiento de la infraestructura TIC de sus clientes y ayudarles a ofrecer servicios gestionados de alto valor aadido:

Plataforma de soporte Plataforma de monitorizacin y gestin remota de servidores y escritorios Formacin y certificacin del personal tcnico y comercial Portafolio de servicios gestionados Materiales de venta Programa de generacin de oportunidades de venta Descuentos
Captulo: Zentyal: servidor Linux para pymes
En el caso de que las pymes quieran contar con soporte y apoyo de un proveedor TIC local para desplegar un sistema basado en Zentyal, cuentan con los Partners Autorizados de Zentyal. Estos partners son proveedores locales de servicios TIC, consultores o proveedores de servicios gestionados que ofrecen servicios de asesora, despliegue, soporte y/o externalizacin de la infraestructura y servicios de red de sus clientes.
Zentyal Gateway
En este captulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red ms fiable y segura, gestionar el ancho de banda y definir polticas de conexiones y contenidos. Uno de los apartados fundamentales est centrado en el funcionamiento del mdulo de cortafuegos, el cual nos permite definir reglas para gestionar el trfico entrante y saliente tanto del servidor como de la red interna. Para simplificar la configuracin del cortafuego, dividiremos los tipos de trfico dependiendo de su origen y destino y haremos uso de los objetos y servicios definidos. A la hora de acceder a Internet, podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra dependiendo del trfico. Adems, tambin se ver cmo garantizar la calidad del servicio, configurando qu trfico tiene prioridad frente a otro o incluso limitar la velocidad en algn caso, como podra ser el P2P. Mediante RADIUS podremos autenticar a los usuarios en la red, especialmente til si deseamos evitar los problemas de seguridad asociados a contraseas simtricas en redes inalmbricas. Otro servicio necesario en muchos de los despliegues es el Proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una cach de navegacin y establecer diferentes polticas de filtrado de contenidos. El Portal Cautivo con monitorizacin de ancho de banda nos permitir dar acceso a Internet nicamente a los clientes que deseemos, redirigiendo el trfico a nuestra pgina de registro, con informes en tiempo real de usuarios conectados y su consumo de red. Por ltimo, gracias al mdulo de IDS podremos establecer unas heursticas con las que detectar automticamente un variado rango de amenazas a nuestra seguridad, tanto en redes internas como externas.
Cortafuegos
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter, que proporciona funcionalidades de filtrado, marcado de trfico y de redireccin de conexiones.
http://www.netfilter.org/ Captulo: Zentyal Gateway
Configuracin de un cortafuegos con Zentyal
El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible en su configuracin predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras aadir un nuevo servicio. Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la mquina con el router debe marcarse como Externo en Red -> Interfaces para permitir al cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones procedentes de fuera.
Interfaz externa
La poltica por defecto para las interfaces externas es denegar todo intento de nueva conexin a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexin a Zentyal excepto los que se realizan a servicios definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones. La definicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de paquetes. Se pueden definir reglas en 5 diferentes secciones segn el flujo de trfico sobre el que sern aplicadas:
Captulo: Cortafuegos
Trfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local). Trfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet a unas direcciones internas o restringir la comunicaciones entre las subredes internas). Trfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor). Trfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet). Trfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).
Hay que tener en cuenta que los dos ltimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.
Esquema de los diferentes flujos de trfico en el cortafuegos
Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel introducidos
Estudiando el esquema, podemos determinar en que seccin se encontrara cualquier tipo de trfico que deseemos controlar en nuestro cortafuegos. Las flechas slo indican origen y destino, como es natural, todo el trfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de los equipos de la LAN es el origen y una mquina en Internet el destino, pero la conexin ser procesada por Zentyal, que es la puerta de enlace para esa mquina.
anteriormente: los Servicios de red para especificar a qu protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qu direcciones IP de origen o de destino se aplican.
Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin IP o un Objeto en el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal como el Origen en Trfico de Zentyal a redes externas. Adems cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
1 0
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones:

Aceptar la conexin. Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin. Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs de Mantenimiento Registros -> Consulta registros -> Cortafuegos podemos ver las conexiones que se estn produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba hacia abajo), una vez que una regla acepta una conexin, no se sigue evaluando el resto. Una regla genrica al principio, puede hacer que otra regla ms especfica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico a la evaluacin de miembros de una regla con Coincidencia Inversa para la definicin de polticas ms avanzadas.
Creando una nueva regla en el firewall
Por omisin, la decisin es siempre denegar las conexiones y tendremos que explcitamente aadir reglas que las permitan. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Trfico de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas hacia las externas (en
1 1
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada ya que la regla anterior ya acepta la conexin. Igualmente si queremos restringir la salida a Internet, primero explcitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden dara acceso a todos los sitios a todo el mundo.
Trfico entre redes internas y de redes internas a Internet). Adems cada mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son modificadas automticamente en el futuro. Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro de la poltica global del cortafuegos.
Servicio de configuracin de red (DHCP)

Para configurar el servicio de DHCP, Zentyal usa ISC DHCP Software, el estndar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor. Configuracin de un servidor DHCP con Zentyal El servicio DHCP necesita una interfaz configurada estticamente sobre la cual se despliega el servicio. Esta interfaz deber adems ser interna. Desde el men DHCP podemos encontrar una lista de interfaces sobre las que podremos ofrecer el servicio.
Interfaces sobre las que podemos servir DHCP
Opciones personalizadas
Una vez damos clic en la configuracin de una de estas interfaces, se nos mostrar el siguiente formulario:
1 2
Captulo: Servicio de configuracin de red (DHCP)
Configuracin del servicio DHCP
Los siguientes parmetros se pueden configurar en la pestaa de Opciones personalizadas: Puerta de enlace predeterminada: Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no estn en su red local, como podra ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red Routers o una Direccin IP personalizada. Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas bajo el mismo subdominio, se podra configurar este como el dominio de bsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin xito (por ejemplo host), se intentar de nuevo aadindole el dominio de bsqueda al final (host.zentyal.lan). Servidor de nombres primario: Especifica el servidor DNS que usar el cliente en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la direccin IP
1 3
de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el mdulo DNS debe estar habilitado. Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP de un servidor DNS. Servidor NTP: Servidor NTP que usar el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o la direccin IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el mdulo NTP habilitado. Servidor WINS: Servidor WINS (Windows Internet Name Service) que el cliente usar para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el mdulo de Comparticin de ficheros tiene que estar habilitado. Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las asignaciones estticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estticas; en caso contrario el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red.
Configuracin de los rangos de DHCP
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas. Para aadir un rango en la seccin Rangos se introduce un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima.
1 4
Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en el apartado Asignaciones estticas. Para ello tendremos que crear un objeto, cuyos miembros sean nicamente parejas de direcciones IP de host (/32) y direcciones MAC. Podemos crear este objeto bien desde Red Objetos, bien usando el men rpido que se nos ofrece desde la interfaz de DHCP. Una direccin asignada de este modo no puede formar parte de ningn rango. Se puede aadir una Descripcin opcional para la asignacin. Podremos ver los clientes DHCP con asignaciones dinmicas (las estticas no se mostrarn) gracias a un widget que aparecer en nuestro Dashboard:
Cliente con asignacin dinmica activa
Opciones de DNS dinmico
Las opciones de DNS dinmico permiten asignar nombres de dominio a los clientes DHCP mediante la integracin de los mdulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las mquinas presentes en la red por medio de un nombre de dominio nico en lugar de por una direccin IP que puede cambiar.
Configuracin de actualizaciones DNS dinmicas
Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y para habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se debe disponer de un Dominio dinmico y un Dominio esttico, ambos se aadirn a la configuracin de DNS automticamente. El dominio dinmico aloja los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado es el que enva el cliente DHCP, normalmente el nombre de la mquina, si no enva ninguno usar el patrn dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Si existe conflictos
1 5
con alguna asignacin esttica se sobrescribir la direccin esttica establecida manualmente. Con respecto al dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en los miembros asociados al objeto que est en la tabla de Asignaciones estticas.
Opciones avanzadas
Opciones avanzadas de DHCP
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200. Esta limitacin tambin se aplica a las asignaciones estticas. Zentyal soporta arranque de clientes ligeros o Thin Clients por DHCP. En la pestaa Opciones Avanzadas podemos configurar el cliente ligero que anunciaremos por DHCP. Si no usamos Zentyal como servidor de cliente ligero, en Host seleccionaremos la mquina remota y en Ruta del fichero la ruta para encontrar la imagen dentro del servidor.
1 6
En caso de que nuestro servidor de clientes ligeros sea Zentyal, tendremos que escoger la Arquitectura de la imagen. Podemos elegir tambin si deseamos cliente ligero o pesado.
Servicio de resolucin de nombres de dominio (DNS)

Nuestra configuracin de DNS es vital para el funcionamiento de la autenticacin en redes locales (implementada con Kerberos a partir de Zentyal 3.0), los clientes de la red consultan el dominio local, sus registros SRV y TXT para encontrar los servidores de tickets de autenticacin. Como hemos comentado anteriormente, este dominio viene preconfigurado para resolver los servicios Kerberos a partir de la instalacin. Es importante no confundir el cliente de DNS de Zentyal, que se encuentra en Red -> DNS, con el servidor de DNS de Zentyal en Infrastructure -> DNS. Si nuestro servidor DNS est habilitado, nuestro cliente DNS lo usar siempre. En caso de que Zentyal no disponga de servidor DNS podremos consultar servidores externos. El servidor DNS, a su vez, puede ser configurado para reenviar las consultas para las que no tenga respuesta a otros servidores DNS externos. BIND es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versin BIND 9, reescrita desde cero para soportar las ltimas funcionalidades del protocolo DNS, es la usada por el mdulo de DNS de Zentyal.
http://www.isc.org/software/bind Configuracin Protocolo DNS Captulo: Servicio de resolucin de nombres de dominio (DNS)
El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las redes marcadas como internas en Zentyal, as que si solamente queremos que nuestro servidor realice cach de las consultas DNS, bastar con habilitar el mdulo. En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN. Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travs de un fichero de configuracin. Podremos aadir estas redes en el fichero /etc/zentyal/dns.conf mediante la opcin intnets=: # Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes.
1 7
# Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets = Tras reiniciar el mdulo DNS se aplicarn los cambios. El servidor DNS cach de Zentyal consultar directamente a los servidores DNS raz a qu servidor autoritario tiene que preguntar la resolucin de cada peticin DNS y las almacenar localmente durante el perodo de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el consumo real de trfico hacia Internet. El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de bsqueda se configura en los clientes, pero se puede servir automticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuracin inicial de red, podrn adquirir tambin este dato. Por ejemplo, nuestro dominio de bsqueda podra ser foocorp.com, el usuario intentara acceder a la mquina example; al no estar presente en sus mquinas conocidas, la resolucin de este nombre fallara, por lo que su sistema operativo probara automticamente con example.foocorp.com, resultando en una resolucin de nombre con xito en este segundo caso. En Red Herramientas disponemos de la herramienta de Resolucin de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red DNS.
Resolucin de un nombre de dominio usando el DNS cach local
1 8
Captulo: Servicio de resolucin de nombres de dominio (DNS)
Proxy DNS transparente
El proxy DNS transparente nos permite forzar el uso de nuestro servidor DNS sin tener que cambiar la configuracin de los clientes. Cuando esta opcin est activada todas las peticiones DNS que pasen por Zentyal son redirigidas al servidor DNS de Zentyal que se encargar de responder. Los clientes debern usar Zentyal como puerta de enlace para asegurarnos que sus peticiones DNS sean redirigidas. Para habilitar esta opcin es necesario tener activado el mdulo de cortafuegos.
Proxy DNS transparente
Redirectores DNS:
Redirector DNS
En caso de no tener ningn redirector configurado, el servidor DNS de Zentyal usar los servidores raz DNS para resolver consultas no almacenadas.
1 9
Los redirectores o forwarders son servidores DNS a los que nuestro servidor reenviar las consultas. Nuestro servidor buscar en primer lugar en su cache local, compuesta de los dominios registrados en la mquina y anteriores consultas cachedas; en caso de no tener respuesta registrada, acudir a los redirectores. Por ejemplo, la primera vez que consultemos www.google.com, suponiendo que no tenemos el dominio google.com registrado en nuestro servidor, el servidor de DNS de Zentyal consultar a los redirectores y almacenar la respuesta en el cache.
Configuracin de un servidor DNS autoritario con Zentyal
Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responder a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor cach responder a consultas sobre cualquier dominio solamente desde redes internas. La configuracin de este mdulo se realiza a travs del men DNS, dnde podremos aadir cuantos dominios y subdominios deseemos.
Lista de dominios
Para configurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nuevo. Desde ste se configurar el Nombre del dominio.
Aadiendo un dominio
2 0
Podemos observar el dominio local, que se configur durante la instalacin o en el wizard de DNS ms adelante. Uno de los registros TXT de este dominio contiene el realm (concepto similar a dominio) de autenticacin de Kerberos. En sus registros de servicios (SRV) podremos encontrar tambin informacin sobre los host y puertos necesarios para la autenticacin de los usuarios. De nuevo, si decidimos eliminar este dominio, sera conveniente replicar esta informacin en el nuevo. Podemos tener cualquier nmero de dominios simultneamente, no causar ningn problema a los mecanismos de autorizacin mencionados.
Dentro del dominio nos encontramos con diferentes registros que podemos configurar, en primer lugar las Direcciones IP del dominio. Un caso tpico es agregar todas las direcciones IP de Zentyal en las interfaces de red locales como direcciones IP del dominio. Una vez creado un dominio, podemos definir cuantos nombres (registros A) queramos dentro de l mediante la tabla Nombres de mquinas. Zentyal configurar automticamente la resolucin inversa. Adems para cada uno de los nombres podremos definir cuantos Alias queramos. De nuevo, podemos asociar ms de una direccin IP a nuestro nombre de mquina, lo cual nos puede servir para que los clientes sepan balancear entre diferentes servidores, por ejemplo dos servidores de LDAP replicados con la misma informacin.
Aadiendo un host
A la hora de aadir mquinas o alias de estas al dominio, se da por supuesto el nombre de dominio, es decir aadiremos la mquina www, no la www.example.com.
Aadiendo un alias
2 1
Normalmente, los nombres apuntan a la mquina dnde est funcionando el servicio y los alias a los servicios alojados en ella. Por ejemplo, la mquina amy.example.com tiene los alias smtp.example.com y mail.example.com para los servicios de mail y la mquina rick.example.com tiene los alias www.example.com o store.example.com entre otros, para los servicios web.
Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cul de estos servidores le intentarn entregar los mensajes otros servidores. Si el de ms preferencia falla lo reintentarn con el siguiente.
Aadiendo un intercambiador de correo
Aadiendo un nuevo servidor de nombres
Los registros de texto son registros DNS que suplementn un dominio o un nombre de maquina con informacin adicional en forma de texto. Esta informacin puede ser para consumo humano o, ms frecuentemente, para uso de software. Se usa extensivamente para diferentes aplicaciones antispam (SPF o DKIM).
2 2
Tambin podemos configurar los registros NS para cada dominio mediante la tabla Servidores de nombres.
Aadiendo un registro de texto
Para crear un registro de texto, acudiremos al campo Registros de texto del dominio. Podremos elegir si el campo est asociado a un nombre de maquina especifico o al dominio y el contenido del mismo. Es posible asociar ms de un campo de texto, tanto al dominio como a un nombre de mquina.
Los registros de servicio informan sobre los servicios disponibles en el dominio y en qu mquinas residen. Podremos acceder a la lista de Registros de servicios a travs del campo Registros de servicio de la lista de dominios. En cada registro de servicio se indicar el Nombre del servicio y su Protocolo. Identificaremos la maquina que proveer el servicio con los campos Destino y Puerto de destino. Para aumentar la disponibilidad del servicio y/o repartir carga es posible definir ms de un registro por servicio, en este caso los campos Prioridad y Peso ayudarn a elegir el servidor a emplear. A menor valor en la prioridad, mayor es la posibilidad de ser elegido. Cuando dos mquinas tienen el mismo nivel de prioridad se usar el peso para determinar cual de las mquinas recibir mayor carga de trabajo. El protocolo XMPP que se usa para la mensajera instantnea hace uso extensivo de estos registros DNS. Kerberos tambin los necesita para la autenticacin distribuida de usuarios en diferentes servicios.
2 3
Aadiendo un registro de servicio
Servicio de Proxy HTTP

Zentyal utiliza Squid para proxy HTTP junto a Dansguardian para el control de contenidos. http://www.squid-cache.org/ http://www.dansguardian.org/
Configuracin general del Proxy HTTP con Zentyal Captulo: Servicio de Proxy HTTP
Para configurar el proxy HTTP iremos a Proxy HTTP General. Podremos definir si el proxy funciona en modo Proxy Transparente para forzar la poltica establecida o si por el contrario requerir configuracin manual. En este ltimo caso, en Puerto estableceremos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador. El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece en Tamao de cach y corresponde a
2 4
cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado.
Proxy HTTP
Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tenemos servidores web locales, no se acelerar su acceso usando la cach y se desperdiciara memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la cach. A su vez, puede interesarnos que ciertas pginas no se sirvan a travs del proxy, sino que se conecte directamente desde el navegador del cliente, ya sea por cuestiones de funcionamiento incorrecto o de privacidad de los usuarios. En esos casos, podemos aadir una excepcin en Excepciones del Proxy Transparente.
Captulo: Servicio de Proxy HTTP
La caracterstica Activar Single Sign-On (Kerberos) sirve para validar el usuario automticamente usando el ticket de Kerberos creado al inicio de sesin, por lo tanto nos puede ser til si estamos usando proxy No Transparente, polticas de acceso por grupos y, por supuesto, un esquema de autorizaciones basado en Kerberos. Advertencia: Si vamos a usar autenticacin automtica con Kerberos, al configurar el navegador cliente tendremos que especificar nuestro proxy (el servidor zentyal) por su nombre en el dominio local, nunca por IP. El proxy HTTP puede eliminar anuncios de las paginas web. Esto ahorrara ancho de banda y reducir distracciones e incluso riesgos de seguridad para los usuarios. Para usar esta caracterstica, debemos activar la opcin Bloqueo de Anuncios.
2 5
Reglas de acceso
Una vez hayamos decidido nuestra configuracin general, tendremos que definir reglas de acceso. Por defecto, la seccion Proxy HTTP Reglas de acceso contiene una regla permitiendo todo acceso. Al igual que en el Cortafuegos, la poltica por omisin de regla siempre ser denegar y la regla que tendr preferencia en caso de que varias sean aplicacables ser la que se encuentre ms arriba.
Nueva regla de acceso al proxy
Mediante el Perodo de tiempo podemos definir en que momento se tendr en consideracin esta regla, tanto las horas como los das. Por defecto se aplica en todo momento. El Orgen es un parmetro muy flexible, ya que nos permite definir si esta regla se aplicacar a los miembros de un Objeto de Zentyal o a los usuarios de un determinado Grupo (recordemos que las restricciones por grupo slo estn disponibles para el modo de Proxy no transparente). La tercera opcin es aplicar la regla sobre cualquier tipo de trfico que atraviese el proxy. Advertencia: Por limitaciones de DansGuardian no son posibles ciertas combinaciones de reglas basadas en grupo y reglas basadas en objeto. La interfaz de Zentyal avisar al usuario cuando se de uno de estos casos. De forma similar al Cortafuegos, una vez Zentyal haya decidido que el trfico coincide con una de las reglas definidas, debemos indicarle una Decisin, en el caso del Proxy hay tres opciones:
Permitir todo: Permite todo el trfico sin hacer ninguna comprobacin, nos permite an as, seguir disfrutando de cach de contenidos web y registros de accesos. Denegar todo: Deniega la conexin web totalmente. Aplicar perfil de filtrado: Para cada peticin, comprobar que los contenidos no incumplen ninguno de los filtros definidos en el perfil, se desarrollarn los perfiles de filtrado en el siguiente apartado.
2 6
Observemos el siguiente ejemplo:
Ejemplo configuracin de acceso al proxy
Cualquiera podr acceder sin restricciones durante el fin de semana, ya que es la regla situada ms arriba. El resto del tiempo, las peticiones que provengan del objeto de red Marketing se tendrn que aprobar por los filtros y polticas definidos en filtro_estricto, las peticiones que provengan del objeto Desarrolladores podrn acceder sin restricciones. Las peticiones que no estn contempladas en ninguna de estas tres reglas, sern denegadas.
Filtadro de contenidos con Zentyal
Zentyal permite el filtrado de pginas web en base a su contenido. Se pueden definir mltiples perfiles de filtrado en Proxy HTTP Perfiles de Filtrado.
Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios
2 7
Accediendo a la Configuracin de estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaa podemos encontrar los Umbrales de contenido y el filtro del antivirus. Para que aparezca la opcin de antivirus, el mdulo Antivirus debe estar instalado y activado.
Configuracin del perfil
Estos dos filtros son dinmicos, es decir analizarn cualquier pgina en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser ms o menos estricto, esto influir en la cantidad de palabras inapropiadas que permitir antes de rechazar una pgina. En la siguiente pestaa Reglas de dominios y URLs podemos decidir de forma esttica que dominios estarn permitidos en este perfil. Podemos decidir Bloquear sitios especificados slo como IP, para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. As mismo con la opcin Bloquear dominios y URLs no listados podemos decidir si la lista de dominios ms abajo se comporta como una blacklist o una whitelist, es decir, si el comportamiento por defecto ser aceptar o denegar una pgina no listada.
Reglas de dominios y URLs
2 8
Finalmente, en la parte inferior, tenemos la lista de reglas, donde podremos especificar los dominios que queremos aceptar o denegar. Para usar los filtros por Categoras de dominios debemos, en primer lugar, cargar una lista de dominios por categoras. Configuraremos la lista de dominios para el Proxy desde Proxy HTTP Listas por categoras
Lista por categoras
Una vez hayamos configurado la lista, podemos seleccionar que categora en concreto deseamos permitir o denegar desde la pestaa Categoras de dominios del filtro.
Denegando toda la categora de redes sociales
2 9
En las dos pestaas restantes podemos decidir los tipos de contenido o ficheros que sern aceptados por este perfil, ya sea por tipo MIME o por extensin de fichero. Los tipos MIME son un identificador de formato en Internet, por ejemplo application/pdf.
Filtro de tipos MIME
Denegando los ficheros con extension exe.
3 0
Como podemos ver en la imagen, la propia columna Permitir tiene una casilla donde podremos elegir si el comportamiento por defecto ser denegar todos o aceptar todos los tipos. Contamos con una interfaz similar para las extensiones de ficheros descargados mediante nuestro proxy:
Limitacin de ancho de banda
El Proxy nos permite implementar un lmite flexible para controlar el ancho de banda que consumen nuestros usuarios. Este lmite est basado en los algoritmos de cubeta con goteo o Token bucket. En estos algoritmos tenemos una cubeta con una reserva (en nuestro caso de ancho de banda) y una velocidad de llenado de la cubeta. La velocidad de vaciado depender de las descargas del usuario. Si el usuario hace un uso razonable de la conexin, la cubeta se rellenar ms rpido de lo que la vaca, por lo que no habr penalizacin. Si el usuario empieza a vaciar la cubeta mucho ms rpido de lo que esta se llena, se vaciar, y a partir de entonces se tendr que conformar con la velocidad de llenado nicamente. Este tipo de algoritmos es til para permitir descargas de cierto tamao, si no son sostenidas en el tiempo. Por ejemplo, en un centro educativo, podemos descargar un PDF, esto consumir parte de la cubeta pero descargar a mxima velocidad. Sin embargo, si el usuario utiliza una aplicacin de P2P, consumir rpidamente toda su reserva. Por cada lmite de ancho de banda que definamos para un objeto determinado, podemos configurar dos tipos de cubetas: globales del objeto y por cliente. Como su nombre indica, dentro del objeto, cada uno de los puestos consumir de su cubeta por cliente y todos consumirn de la cubeta global.
Limitacin de ancho de banda
3 1
En el ejemplo de la captura de pantalla, cada uno de los usuarios individuales del objeto Ventas cuenta con una cubeta de 50MB, si la gastan completamente, la conexin web funcionar a 30KB/s como mximo hasta que dejen de descargar por un tiempo. Una vez vaca, la cubeta tardar unos 28 minutos aproximadamente en volver a contener 50MB. En el ejemplo no se configura una cubeta global para el objeto.
Conclusiones
Mediante la realizacin del presente trabajo, hemos podido conocer a fondo y muy detenidamente sobre la realizacin de servidores web, en algunas de las plataformas ms utilizadas, siendo estas: Windows Server y Zentyal. Cabe mencionar, que el ltimo de los dos, se ha convertido en la actualidad en uno de los ms importantes de todos, pues por ser de cdigo abierto le permite a los usuarios acceder de manera ms sencilla; adems, tambin es posible configurar mltiples servicios de manera ms sencilla. Antes de finalizar, es necesario mencionar tambin, que actualmente existen 3 diferentes versiones de Zentyal 3.0 (el cual hemos utilizado en nuestro trabajo), las cuales mencionaremos a continuacin: SUSCRIPCION BASICA: Es desarrollada para entornos de prueba nicamente. No incluye mantenimiento o actualizaciones. No incluye Soporte Tecnico. EDICION SMALL BUSINESS: Tiene un nmero mximo de 25 usuarios. Trae mantenimiento y actualizacin incluidos. Incluye sistema de recuperacin de desastres local. Incluye un acceso completo a plataforma de gestin remota. Soporte tcnico completo Cuenta con nivel de servicio hasta el siguiente da laborable.
EDICION ENTERPRISE: No tiene nmero de usuarios, pues es ilimitado. Viene con mantenimiento y actualizacin incluidos. Cuenta con sistema de recuperacin de desastres completo. Tiene acceso completo a la plataforma de gestin remota. Cuenta con soporte tcnico completo. Tiene un nivel de servicio con un tiempo mximo de 4 horas.
3 2
Captulo: Conclusiones
Bibliografa
Referencias de Sitios Web:
http://www.zentyal.com/es/pricing-editions/ http://www.somoslibres.org/modules.php?name=News&file=article&sid=3797 http://es.wikipedia.org/wiki/Zentyal
3 3
Captulo: Bibliografa

Zentyal para PYMES

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Zentyal para PYMES

Uploaded by

Copyright:

Available Formats

Servidor de red unificado para las PYMES con ZENTYAL

Las pymes y las TICs

Captulo: Las pymes y las TICs

Zentyal: servidor Linux para pymes

Captulo: Zentyal: servidor Linux para pymes

Correo electrnico en la nube Comparticin corporativa de ficheros

Una infraestructura de red profesional con un coste mensual asequible

Captulo: Zentyal: servidor Linux para pymes

Configuracin de un cortafuegos con Zentyal

Esquema de los diferentes flujos de trfico en el cortafuegos

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Creando una nueva regla en el firewall

Servicio de configuracin de red (DHCP)

Interfaces sobre las que podemos servir DHCP

Captulo: Servicio de configuracin de red (DHCP)

Configuracin del servicio DHCP

Configuracin de los rangos de DHCP

Captulo: Servicio de configuracin de red (DHCP)

Cliente con asignacin dinmica activa

Opciones de DNS dinmico

Configuracin de actualizaciones DNS dinmicas

Captulo: Servicio de configuracin de red (DHCP)

Opciones avanzadas de DHCP

Captulo: Servicio de configuracin de red (DHCP)

Servicio de resolucin de nombres de dominio (DNS)

Resolucin de un nombre de dominio usando el DNS cach local

Captulo: Servicio de resolucin de nombres de dominio (DNS)

Proxy DNS transparente

Proxy DNS transparente

Captulo: Servicio de resolucin de nombres de dominio (DNS)

Configuracin de un servidor DNS autoritario con Zentyal

Captulo: Servicio de resolucin de nombres de dominio (DNS)

Captulo: Servicio de resolucin de nombres de dominio (DNS)

Aadiendo un intercambiador de correo

Aadiendo un nuevo servidor de nombres

Captulo: Servicio de resolucin de nombres de dominio (DNS)

Aadiendo un registro de texto

Aadiendo un registro de servicio

Servicio de Proxy HTTP

Nueva regla de acceso al proxy

Captulo: Servicio de Proxy HTTP

Observemos el siguiente ejemplo:

Ejemplo configuracin de acceso al proxy

Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios

Captulo: Servicio de Proxy HTTP

Configuracin del perfil

Reglas de dominios y URLs

Captulo: Servicio de Proxy HTTP

Lista por categoras

Denegando toda la categora de redes sociales

Captulo: Servicio de Proxy HTTP

Filtro de tipos MIME

Denegando los ficheros con extension exe.

Captulo: Servicio de Proxy HTTP

Limitacin de ancho de banda

Limitacin de ancho de banda

Captulo: Servicio de Proxy HTTP

You might also like