You are on page 1of 94

Manual completo Instalacion de Zentyal Firewall de Linux

Zentyal
Este manual de Zentyal se presentara por partes Instalacion, configuracion inicial, infraestructura y asi sucesivamente ya que el manual es muy largo, seran descritos en varios post llamados parte1, 2...etc, lo hago ya que los Post que han publicado de Zentyal aunque muy buenos carecen de manuales para su instalacion, espero les gusten y comenten

Introduccin a Zentyal
* Presentacin o Las pymes y las TICs o Zentyal: servidor Linux para pymes o Acerca de esta documentacin * Instalacin o El instalador de Zentyal o Configuracin inicial o Requisitos de hardware * Primeros pasos con Zentyal o La interfaz web de administracin de Zentyal o Emplazamiento en la red de Zentyal o Configuracin de red en Zentyal Zentyal Infrastructure * Zentyal Infrastructure * Servicio de resolucin de nombres de dominio (DNS) o Introduccin a DNS o Configuracin de un servidor DNS cach con Zentyal o Configuracin de un servidor DNS autoritario con Zentyal * Servicio de sincronizacin de hora (NTP) o Introduccin a NTP o Configuracin de un servidor NTP con Zentyal * Servicio de configuracin de red (DHCP) o Introduccin a DHCP o Configuracin de un servidor DHCP con Zentyal * Autoridad de certificacin (CA) o Infraestructura de clave pblica (PKI) o Configuracin de una Autoridad de Certificacin con Zentyal * Servicio de publicacin de pginas web (HTTP) o Introduccin a HTTP o Configuracin de un servidor HTTP con Zentyal * Servicio de Transferencia de ficheros (FTP) o Introduccin a FTP o Configuracin de un servidor FTP con Zentyal Zentyal Gateway

* Zentyal Gateway * Abstracciones de red de alto nivel en Zentyal o Objetos de red o Servicios de red * Cortafuegos o Introduccin al sistema de cortafuegos o Configuracin de un cortafuegos con Zentyal o Redireccin de puertos con Zentyal * Encaminamiento o Introduccin al encaminamiento o routing o Configuracin del encaminamiento con Zentyal o Configuracin del balanceo con Zentyal o Configuracin de la tolerancia a fallos con Zentyal * Calidad de servicio o Configuracin de la calidad de servicio con Zentyal * Servicio de autenticacin de red (RADIUS) o Introduccin a RADIUS o Configuracin de un servidor RADIUS con Zentyal * Servicio de Proxy HTTP o Introduccin al servicio de Proxy HTTP o Configuracin del Proxy HTTP con Zentyal o Limitacin de las descargas con Zentyal o Filtrado de contenidos con Zentyal Zentyal Unified Threat Manager * Zentyal Unified Threat Manager * Configuracin Avanzada para el proxy HTTP o Configuracin de perfiles de filtrado o Perfil de filtrado por objeto o Filtrado basado en grupos de usuarios o Filtrado basado en grupos de usuarios para objetos * Servicio de redes privadas virtuales (VPN) o Introduccin a las redes privadas virtuales (VPN) o Configuracin de un servidor VPN con Zentyal o Configuracin de un servidor VPN para la interconexin de redes con Zentyal * Sistema de Deteccin de Intrusos (IDS) o Introduccin al Sistema de Deteccin de Intrusos o Configuracin de un IDS con Zentyal o Alertas del IDS * Filtrado de correo electrnico o Esquema del filtrado de correo en Zentyal o Listas de control de conexiones externas o Proxy transparente para buzones de correo POP3 Zentyal Office * Zentyal Office * Servicio de directorio (LDAP) o Introduccin al servicio de directorio (LDAP) o Configuracin de un servidor Zentyal maestro o Configuracin de Zentyal como esclavo de Windows Active Directory o Configuracin de un servidor LDAP con Zentyal

o Rincn del Usuario o Ejemplos prcticos o Ejercicios propuestos * Servicio de comparticin de ficheros y de autenticacin o Introduccin a la comparticin de ficheros y a la autenticacin o Configuracin de un servidor de ficheros con Zentyal o Configuracin de un servidor de autenticacin con Zentyal * Servicio de comparticin de impresoras o Acerca de la comparticin de impresoras o Configuracin de un servidor de impresoras con Zentyal * Servicio de groupware o Introduccin al servicio de groupware o Configuracin de un servidor groupware (Zarafa) con Zentyal Zentyal Unified Communications * Zentyal Unified Communications * Servicio de correo electrnico (SMTP/POP3-IMAP4) o Introduccin al servicio de correo electrnico o Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal * Servicio de correo web o Introduccin al servicio de correo web o Configuracin del correo web con Zentyal * Servicio de mensajera instantnea (Jabber/XMPP) o Introduccin al servicio de mensajera instantnea o Configuracin de un servidor Jabber/XMPP con Zentyal * Servicio de Voz sobre IP o Introduccin a la Voz sobre IP o Configuracin de un servidor Voz IP con Zentyal o Uso de las funcionalidades de Voz IP de Zentyal Mantenimiento de Zentyal * Mantenimiento de Zentyal * Registros o Consulta de registros en Zentyal o Configuracin de registros en Zentyal * Eventos y alertas o La configuracin de eventos y alertas en Zentyal * Monitorizacin o La monitorizacin en Zentyal o Mtricas o Alertas * Copias de seguridad o Backup de la configuracin de Zentyal o Configuracin de las copias de seguridad de un servidor Zentyal o Cmo recuperarse de un desastre * Actualizacin de software o La actualizacin de software en Zentyal o Gestin de componentes de Zentyal o Actualizaciones del sistema o Actualizaciones automticas * Cliente de Zentyal Cloud

o Acerca de Zentyal Cloud o Subscribir un servidor Zentyal a Zentyal Cloud o Copia de seguridad de la configuracin a Zentyal Cloud * Herramientas de soporte o Acerca del soporte en Zentyal o Informe de la configuracin o Acceso remoto de soporte Presentacin Las pymes y las TICs Alrededor del 99% de las empresas del mundo son pymes, y generan ms de la mitad del PIB mundial. Pero en periodos de crisis como el actual suelen ser el segmento del tejido econmico ms vulnerable y, por lo tanto, el que con mayor urgencia necesita reducir costes y aumentar su productividad. Uno de los mbitos donde mayor impacto se puede lograr en la reduccin de costes y aumento de productividad en pymes es mediante la implantacin de tecnologas de informacin y comunicaciones (TIC). Y los datos estadsticos de los ltimos aos as lo corroboran, con crecimientos anuales en adopcin de soluciones TIC de ms del 50% en segn qu segmentos. Por otro lado, las pymes suelen operar bajo presupuestos muy escasos y con una fuerza laboral limitada. De nuevo, los datos estadsticos del mercado corroboran esta percepcin, puesto que slo una quinta parte de las empresas pequeas y nicamente la mitad de las empresas medianas disponen de personal con funciones TIC especficas. Esto demuestra el reducido nivel de recursos de las pymes y su alta dependencia de los servicios provistos de manera rpida, sencilla y eficiente por parte de proveedores TIC externos. Merece la pena contrastar el enorme potencial y necesidades particulares de las pymes con el escaso inters que han mostrado tradicionalmente los fabricantes de tecnologa por desarrollar soluciones que se adapten a la realidad de las pymes. Por lo general, las soluciones corporativas disponibles en el mercado se han desarrollado pensando en las grandes corporaciones, por lo que requieren inversiones considerables en tiempo y recursos y demandan un alto nivel de conocimientos tcnicos. En el mercado de los servidores, esto ha significado que hasta ahora las pymes han dispuesto de pocas opciones donde elegir, consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales, complejas de gestionar y con elevados costes de licencias. En este contexto parece razonable considerar a Linux como una alternativa ms que interesante como servidor para pymes, puesto que tcnicamente ha demostrado una calidad y nivel funcional muy elevados y su precio, gratuito, es imbatible. Sin embargo la presencia de Linux en entornos de pyme es testimonial y su crecimiento relativamente reducido. Cmo es posible explicar estos datos? La razn es sencilla: para que un servidor de empresa se adapte a un entorno de pyme necesita que sus distintos componentes estn bien integrados entre s y que sean sencillos de administrar. Las pymes no tienen los recursos ni el tiempo necesario para desplegar soluciones de altas prestaciones pero complejas. As mismo, los proveedores de servicios TIC para pymes tambin precisan de soluciones que consuman poco tiempo en despliegue y mantenimiento para poder ser competitivos, y las tradicionales distribuciones de Linux para servidor no cumplen con estas premisas. Zentyal: servidor Linux para pymes Zentyal [1] se desarroll con el objetivo de acercar Linux a las pymes y permitirles aprovechar todo su potencial como servidor de empresa. Es la alternativa en cdigo abierto a Windows Small Business Server, basado en la popular distribucin Ubuntu. Zentyal permite a profesionales TIC administrar todos los servicios de una red informtica, tales como el acceso a Internet, la seguridad de la red, la comparticin de recursos, la infraestructura

de la red o las comunicaciones, a travs de una nica plataforma. Zentyal Zentyal permite gestionar la red de una forma fcil y centralizada Durante su desarrollo se hizo un especial nfasis en la usabilidad, creando una interfaz intuitiva que incluye nicamente aqullas funcionalidades de uso ms frecuente, aunque tambin dispone de los medios necesarios para realizar toda clase de configuraciones. Otra de las caractersticas ms importantes de Zentyal es que todas sus funcionalidades, construidas a partir de una serie de aplicaciones en principio independientes, estn estrechamente integradas entre s, automatizando la mayora de las tareas y ahorrando tiempo en la administracin de sistemas. Teniendo en cuenta que el 42% de los fallos de seguridad y el 80% de los cortes de servicio en una empresa se deben a errores humanos en la configuracin y administracin de los mismos [2], el resultado es una solucin no slo ms sencilla de manejar sino tambin ms segura y fiable. Adems de acercar Linux y el Software Libre a las pymes con los importantes ahorros que ello supone, Zentyal mejora la seguridad y disponibilidad de los servicios en la empresa. El desarrollo de Zentyal se inici en el ao 2004 con el nombre de eBox Platform y actualmente es una solucin consolidada de reconocido prestigio que integra alrededor de 30 herramientas de cdigo abierto para la administracin de sistemas y redes en una sola tecnologa. Zentyal est incluido en Ubuntu desde el ao 2007, en la actualidad tiene ms de 30.000 descargas mensuales y dispone de una comunidad activa de ms de 4.000 miembros. Se estima que hay unas 40.000 instalaciones activas de Zentyal, principalmente en Amrica y Europa, aunque su uso est extendido a prcticamente todos los pases del globo, siendo Estados Unidos, Alemania, Espaa, Italia y Brasil los pases que cuentan con ms instalaciones. Zentyal se usa principalmente en pymes, pero tambin en otros entornos como centros educativos, administraciones pblicas, hospitales o incluso en instituciones de alto prestigio como la propia NASA. El desarrollo de Zentyal est financiado por eBox Technologies que adems ofrece a las pymes y otros usuarios de Zentyal de todo el mundo, herramientas y servicios de gestin orientados a reducir los costes de mantenimiento de la infraestructura TIC. Estas herramientas y servicios comerciales se agrupan en Suscripciones de Servidor y se ofrecen a los clientes a travs de Zentyal Cloud: * actualizaciones del sistema con garanta de calidad, * notificaciones y alertas de los eventos ocurridos en el servidor y los distintos servicios, * informes peridicos sobre el uso del sistema por los usuarios y un resumen de los eventos ms relevantes, * inventario, monitorizacin y administracin centralizada de mltiples servidores Zentyal junto con informes de los cambios en la configuracin.

Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un coste reducido Las suscripciones estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la Suscripcin Profesional est dirigida a pequeas empresas o proveedores TIC con un nmero reducido de servidores Zentyal que deben ser mantenidos al da, asegurando su contnuo funcionamiento, que se benefician de las actualizaciones garantizadas, las alertas y los informes. Por otra parte, la Suscripcin Empresarial est dirigida a grandes empresas o proveedores de servicios gestionados que adems tienen la necesidad de monitorizar y administrar mltiples instalaciones Zentyal de forma remota. As mismo, los clientes que dispongan de una suscripcin, pueden obtener acceso a suscripciones adicionales como la recuperacin de desastres, actualizaciones avanzadas de seguridad o llamadas mediante Voz IP a un bajo coste. Estas subscripciones se complementan con otros servicios adicionales como formacin, despliegue o soporte tcnico provistos generalmente por alguno de sus partners certificados. Zentyal dispone de una Red Global de Partners en rpida expansin, a travs de la cual consigue llevar la atencin necesaria para distribuir el producto y los servicios a las pymes de todo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de servicios TIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesora, despliegue, soporte y/o externalizacin completa de la infraestructura y servicios de red de sus clientes. Para ms informacin sobre los beneficios y cmo convertirse en partner dirjase a la seccin de partners de zentyal.com [3]. La combinacin entre el servidor y las subscripciones aportan unos beneficios muy importantes que se traducen en ahorros superiores al 50% del coste total de instalacin y mantenimiento de un servidor para pymes, comparando los costes de Zentyal con los de una instalacin tpica de Windows Small Business Server. [1] http://www.zentyal.com/ [2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos%20polanco.pdf [3] http://www.zentyal.com/es/partners/ Acerca de esta documentacin Esta documentacin describe las principales caractersticas tcnicas de Zentyal, ayudando a comprender la forma en la que se pueden configurar los distintos servicios de red en Zentyal y a ser productivo en la administracin de una infraestructura TIC en un entorno pyme con sistemas Linux.

La documentacin est dividida en siete captulos. Este primer captulo introductorio ayuda a comprender el contexto de Zentyal, as como su instalacin y a dar los primeros pasos con el sistema. Los siguientes cinco captulos explican en profundidad cinco perfiles tpicos de instalacin, como servidor de infraestructura de una red, como servidor de acceso a Internet o Gateway, como servidor de seguridad o UTM, como servidor de oficina o como servidor de comunicaciones. Esta diferenciacin en cinco grupos funcionales se hace slo para facilitar los despliegues de Zentyal en los escenarios ms tpicos, pero un servidor Zentyal puede ofrecer cualquier combinacin funcional sin ms lmites que los que impongan el hardware sobre el que est instalado y el uso que se haga del servidor. Finalmente, el ltimo captulo describe las herramientas y servicios disponibles para facilitar el mantenimiento de un servidor Zentyal, garantizando su funcionamiento, optimizando su uso, solventando las incidencias y recuperando el sistema en caso de desastre.

Instalacin
Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma, en principio, exclusiva. Esto no impide que se puedan instalar otros servicios o aplicaciones adicionales, no gestionados a travs de la interfaz de Zentyal, que debern ser instalados y configurados manualmente. Funciona sobre la distribucin Ubuntu [1] en su versin para servidores, usando siempre las ediciones LTS (Long Term Support) [2], cuyo soporte es mayor: cinco aos en lugar de tres. La instalacin puede realizarse de dos maneras diferentes: * usando el instalador de Zentyal (opcin recomendada), * instalando a partir de una instalacin de Ubuntu Server Edition. En el segundo caso es necesario aadir los repositorios oficiales de Zentyal y proceder a la instalacin de aquellos mdulos que se deseen [3]. Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya que todas las dependencias se encuentran en un slo CD y adems se incluye un entorno grfico que permite usar el interfaz web desde el propio servidor. La documentacin oficial de Ubuntu incluye una breve introduccin a la instalacin y configuracin de Zentyal [4], en el captulo de eBox (anterior nombre del proyecto). [1] Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a ordenadores porttiles, de sobremesa y servidores: http://www.ubuntu.com/. [2] Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la consulta de la gua Ubuntu: https://wiki.ubuntu.com/Releases. [3] Para ms informacin sobre la instalacin a partir del repositorio dirjase a http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide. [4] https://help.ubuntu.com/10.04/serverguide/C/ebox.html El instalador de Zentyal El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el proceso de instalacin resultar muy familiar a quien ya lo conozca. En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usaremos Espaol.

Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la opcin expert mode que permite realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser que estn instalando en un servidor con RAID por software o quieran hacer un particionado ms especfico a sus necesidades concretas.

En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema una vez instalado, para ello nos pregunta por el pais donde nos localizamos, en este caso Espaa.

Localizacin geogrfica

Podemos usar la deteccin de automtica de la distribucin del teclado, que har unas cuantas preguntas para asegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendo No.

Autodeteccin del teclado

Seleccin del teclado

Despus elegiremos un nombre para nuestro servidor; este nombre es importante para la identificacin de la mquina dentro de la red.

Nombre de la mquina

En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurar dependiendo del pas de origen que hayamos seleccionado anteriormente, pero se puede modificar en caso de que sea errnea.

Zona horaria

Una vez terminados estos pasos, comenzar la instalacin que ir informando de su estado mediante el avance de la barra de progreso. A continuacin se nos pregunta por el nombre del administrador.

Nombre del usuario

Despus habr que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuario tendr privilegios de administracin y adems ser el utilizado para acceder a la interfaz de Zentyal.

Nombre de usuario en el sistema

En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el anterior usuario con esta contrasea podr acceder tanto al sistema (mediante SSH o login local) como a la interfaz web de Zentyal, por lo que seremos especialmente cuidadosos en elegir una contrasea segura (ms de 12 carcteres incluyendo letras, cifras y smbolos de puntuacin).

E introduciremos de nuevo la contrasea para su verificacin.

Confirmar contrasea

Esperaremos a que nuestro sistema bsico se instale, mientras muestra una barra de progreso. Este proceso puede durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.

Instalacin del sistema base

La instalacin del sistema base est completada; ahora podremos extraer el disco de instalacin y reiniciar.

Reiniciar

Nuestro sistema Zentyal est funcionando! El sistema arrancar un interfaz grfico con un navegador que permite acceder a la interfaz de administracin, y aunque tras este primer reinicio el sistema haya iniciado el entorno grfico automticamente, de aqu en adelante, necesitar autenticarse antes de que ste arranque.

Entorno grfico con el interfaz de administracin

Para comenzar a configurar los perfiles o mdulos de Zentyal, usaremos el usuario y contrasea indicados durante la instalacin. Cualquier otro usuario que aadamos posteriormente al grupo admin podr acceder al interfaz de Zentyal al igual que tendr privilegios de sudo en el sistema. [5] LVM es el administrador de volmenes lgicos en Linux, una introduccin su gestin puede encontrarse en http://www.howtoforge.com/linux_lvm.

Manual completo Instalacion de Zentyal Firewall 2 parte


Seguimos con la 2 parte de la instalacion de Zentyal esta vez se mostrara como hacer la configuracion inicial Configuracin inicial
Una vez autenticado por primera vez en la interfaz web comienza un asistente de configuracin, en primer lugar podremos seleccionar qu funcionalidades queremos incluir en nuestro sistema. Existen dos mtodos para esta seleccin: Simple: Se seleccionar el o los perfiles de instalacin que deseemos para nuestro servidor. Un perfil de instalacin es un conjunto de paquetes que agrupan una serie de funcionalidades segn la tarea que vaya a desempear el servidor. Avanzado: Se seleccionarn los paquetes de manera individualizada y sus dependencias se resolvern automticamente al confirmar la instalacin. La seleccin simple se realiza a travs de la lista de perfiles de instalacin disponibles. Estos perfiles de instalacin facilitan y simplifican la realizacin de despliegues de Zentyal en los escenarios ms tpicos, aunque esto no impide combinar la funcionalidad disponible conforme las necesidades lo requieran. Como se puede observar en la figura Perfiles de Zentyal dicha lista concuerda con los apartados siguientes de este manual.

Perfiles de Zentyal

Perfiles de Zentyal que podemos instalar: Zentyal Gateway: Zentyal acta como la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. Zentyal Unified Threat Manager: Zentyal protege la red local contra ataques externos, intrusiones, amenazas a la seguridad interna y posibilita la interconexin segura entre redes locales a travs de Internet u otra red externa. Zentyal Infrastructure: Zentyal gestiona la infraestructura de la red local con los servicios bsicos: DHCP, DNS, NTP, servidor HTTP, etc. Zentyal Office: Zentyal acta como servidor de recursos compartidos de la red local: ficheros, impresoras, calendarios, contactos, perfiles de usuarios y grupos, etc. Zentyal Unified Communications:

Zentyal se convierte en el centro de comunicaciones de la empresa, incluyendo correo, mensajera instantnea y Voz IP. Podemos seleccionar varios perfiles para hacer que Zentyal tenga, de forma simultnea, diferentes roles en la red. Sin embargo, mediante la selecin avanzada aparecer la lista de mdulos de Zentyal y se podrn seleccionar individualmente aqullos que se necesiten.

Seleccin avanzada

Para nuestro ejemplo usaremos una instalacin del perfil de Gateway nicamente. Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios y adems si hay algn complemento recomendado se preguntar si lo queremos instalar tambin. Esta seleccin no es definitiva, ya que posteriormente podremos instalar y desinstalar el resto de mdulos de Zentyal a travs de la gestin de software.

Confirmacin y complementos recomendados

El sistema comenzar con el proceso de instalacin de los modulos requeridos, mostrando una barra de progreso donde adems podemos leer una breve introduccin sobre las funcionalidades y servicios adicionales disponibles en Zentyal.

Instalacin e informacin adicional

Una vez terminado el proceso de instalacin el asistente configurar los nuevos mdulos realizando algunas

preguntas. En primer lugar se solicitar informacin sobre la configuracin de red, definiendo para cada interfaz de red si es interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas o si est conectada a la red local. Se aplicarn polticas estrictas en el cortafuegos para todo el trfico entrante a travs de interfaces de red externas.

Configuracin inicial de interfaces de red

A continuacin tendremos que seleccionar el tipo de servidor para el modo de operacin del mdulo Usuarios y Grupos. Si slo vamos a tener un servidor elegiremos Servidor stand-alone. Si por el contrario estamos desplegando una infraestructura maestro-esclavo con varios servidores Zentyal y gestin de usuarios y grupos centralizada o si queremos sincronizar los usuarios con un Microsoft Active Directory, elegiremos Configuracin avanzada. Este paso aparecer solamente si el mdulo Usuarios y Grupos est instalado.

Modo de operacin de Usuarios y Grupos

Una vez hayan sido respondidas estas cuestiones, se proceder a la configuracin de cada uno de los mdulos instalados.

Configuracin inicial finalizada

Guardando cambios

Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: nuestro servidor Zentyal ya est listo!

Dashboard

Manual completo Instalacion de Zentyal Firewall 3 parte


Primeros pasos con Zentyal La interfaz web de administracin de Zentyal
Una vez instalado Zentyal, podemos acceder al interfaz web de administracin tanto a travs del propio entorno grfico que incluye el instalador como desde cualquier lugar de la red interna, mediante la direccin: https://direccion_ip/, donde direccion_ip es la direccin IP o el nombre de la mquina donde est instalado Zentyal que resuelve a esa direccin. Dado que el acceso es mediante HTTPS, la primera vez el navegador nos pedir si

queremos confiar en este sitio, aceptaremos el certificado autogenerado y no nos lo volver a solicitar en adelante. Advertencia Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet Explorer no estn soportados. La primera pantalla solicita el nombre de usuario y la contrasea, podrn autenticarse como administradores tanto el usuario creado durante la instalacin como cualquier otro perteneciente al grupo admin.

Login

Una vez autenticados, aparecer la interfaz de administracin que se encuentra dividida en tres partes fundamentales: Men lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categoras. Cuando se ha seleccionado algn servicio en este men puede aparecer un submen para configurar cuestiones particulares de dicho servicio.

Men lateral

Men superior: Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, as como el cierre de sesin.

Men superior

Contenido principal: El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la configuracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro de la seccin a la que hemos accedido.

Contenido de un formulario

El Dashboard

El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo momento se pueden reorganizar pulsando en los ttulos y arrastrndolos. Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno nuevo, se busca en el men superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la esquina uperior derecha de cada uno de ellos.

Configuracin del Dashboard

Hay un widget importante dentro del Dashboard que muestra el estado de todos los mdulos instalados en Zentyal.

Widget de estado de los mdulos

La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre l. Los estados disponibles son los siguientes: Ejecutndose: El servicio se est ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usando Reiniciar. Ejecutndose sin ser gestionado: Si no se ha activado todava el mdulo, se ejecutar con la configuracin por defecto de la distribucin. Parado: El servicio est parado bien por accin del administrador o porque ha ocurrido algn problema. Se puede iniciar el servicio mediante Arrancar. Deshabilitado:

El mdulo ha sido deshabilitado explcitamente por el administrador.

Configuracin del estado de los mdulos


Zentyal tiene un diseo modular, en el que cada mdulo gestiona un servicio distinto. Para poder configurar cada uno de estos servicios se ha de habilitar el mdulo correspondiente desde Estado del mdulo. Todas aquellas funcionalidades que hayan sido seleccionadas durante la instalacin se habilitan automticamente.

Configuracin del estado del mdulo

Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el mdulo DHCP necesita que el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de las interfaces de red configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede habilitar tampoco el mdulo. La primera vez que se habilita un mdulo, se pide confirmacin de las acciones que va a realizar en el sistema as

como los ficheros de configuracin que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros, habr que guardar cambios para que la configuracin sea efectiva.

Confirmacin para habilitar un mdulo

Aplicando los cambios en la configuracin


Una particularidad importante del funcionamiento de Zentyal es su forma de hacer efectivas las configuraciones que hagamos en la interfaz. Para ello, primero se tendrn que aceptar los cambios en el formulario actual, pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendr que Guardar Cambios en el men superior. Este botn cambiar a color rojo para indicarnos que hay cambios sin guardar. Si no se sigue este procedimiento se perdern todos los cambios que se hayan realizado a lo largo de la sesin al finalizar sta. Una excepcin a este funcionamiento es la gestin de usuarios y grupos, dnde los cambios se efectan directamente.

Guardar Cambios

Advertencia Si se cambia la configuracin de las interfaces de red, el cortafuegos o el puerto del interfaz de administracin, se podra perder la conexin teniendo que cambiar la URL en el navegador o reconfigurar a travs del entorno grfico en local.

Configuracin general

Hay varios parmetros de la configuracin general de Zentyal que se pueden modificar en Sistema General.

Configuracin general

Contrasea: Podemos cambiar la contrasea de un usuario. Ser necesario introducir su nombre de Usuario, la Contrasea actual, la Nueva contrasea y confirmarla de nuevo en la seccin Cambiar contrasea. Idioma: Podemos seleccionar el idioma de la interfaz mediante Seleccin de idioma. Puerto del interfaz de administracin: Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habr que cambiarlo a otro distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/. Nombre de la mquina: Es posible cambiar el hostname o nombre de la mquina, por ejemplo: zentyal.home.local. El nombre de la mquina sirve para identificarla de otras dentro de la red.

Emplazamiento en la red de Zentyal


Zentyal puede utilizarse de dos maneras fundamentales: * puerta de enlace y cortafuegos de la conexin a internet, * servidor de los servicios en la red (o local o Internet). Ambas funcionalidades pueden combinarse en una misma mquina o separarse en varias, dependiendo de las

caractersticas de cada despliegue. La figura Ubicaciones en la red escenifica las distintas ubicaciones que puede tomar un servidor Zentyal dentro de la red, tanto haciendo de pasarela entre redes como un servidor dentro de la propia red.

Ubicaciones en la red

A lo largo de esta documentacin se ver cmo configurar Zentyal para desempear un papel de puerta de enlace y cortafuegos. Y por supuesto tambin veremos la configuracin en los casos que acte como un servidor ms dentro de la red.

Configuracin de red en Zentyal


A travs de Red Interfaces se puede acceder a la configuracin de cada una de las tarjetas de red detectadas por el sistema y se pueden establecer como direccin de red esttica (configurada manualmente), dinmica (configurada mediante DHCP), VLAN (802.1Q) trunk, PPPoE o bridged.

Adems cada interfaz puede definirse como Externa si est conectada a una red externa, normalmente Internet, para aplicar polticas ms estrictas en el cortafuegos. En caso contrario se asumir interna, conectada a la red local. Cuando se configure como DHCP, no slamente se configurar la direccin IP sino tambin los servidores DNS y la puerta de enlace. Esto es habitual en mquinas dentro de la red local o en las interfaces externas conectadas a los routers ADSL.

Configuracin DHCP de la interfaz de red

Si configuramos la interfaz como esttica especificaremos la direccin IP, la mscara de red y adems podremos asociar una o ms Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales. Estas direcciones adicionales son tiles para ofrecer un servicio en ms de una direccin IP o subred, para facilitar la migracin desde un escenario anterior o para tener en un servidor web diferentes dominios usando certificados SSL.

Configuracin esttica de la interfaz de red

Si se dispone de un router ADSL PPPoE [1] (un mtodo de conexin utilizado por algunos proveedores de Internet), podemos configurar tambin este tipo de conexiones. Para ello, slo hay que seleccionar PPPoE e introducir el Nombre de usuario y Contrasea proporcionado por el proveedor.

Configuracin PPPoE de la interfaz de red

En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos Trunk (802.11q). Una vez seleccionado este mtodo podremos crear tantas interfaces asociadas al tag definido como queramos y las podremos tratar como si de interfaces reales se tratase. La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sin la inversin en hardware fsico que sera necesaria para cada segmento.

Configuracin VLAN de interfaces de red

El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nuestro servidor conectadas a dos redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjeta conectada a la red local. Mediante esta asociacin podemos conseguir que el trfico de la red conectada a una de las tarjetas se redirija a la otra de modo transparente. Esto tiene la principal ventaja de que las mquinas clientes de la red local no necesitan modificar absolutamente ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin

embargo, podemos gestionar el trfico que efectivamente pasa a travs de nuestro servidor con el cortafuegos, filtrado de contenidos o deteccin de intrusos. Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red. Podemos ver como al seleccionar esta opcin nos aparece un nuevo selector, Puente de red para que seleccionemos a qu grupo de interfaces queremos asociar esta interfaz.

Creacin de un bridge

Esto crear una nueva interfaz virtual bridge que tendr su propia configuracin como una interfaz real, por lo cual aunque el trfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podra ser el propio interfaz de administracin de Zentyal o un servidor de ficheros.

Configuracin de interfaces bridged

En el caso de configurar manualmente la interfaz de red ser necesario definir la puerta de enlace de acceso a Internet en Red Puertas de enlace. Normalmente esto se hace automticamente si usamos DHCP o PPPoE pero no en el resto de opciones. Para cada uno podremos indicar Nombre, Direccin IP, Interfaz a la que est conectada, su Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos. Adems si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos configurarlo tambin en esta

seccin. Este proxy ser utilizado por Zentyal para conexiones como las de actualizacin e instalacin de paquetes o la actualizacin del antivirus.

Configuracin de las puertas de enlace

Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios servidores de nombres en Red DNS.

Configuracin de los servidores DNS

Si la conexin a Internet asigna una direccin IP dinmica y queremos que un nombre de dominio apunte a ella, se necesita un proveedor de DNS dinmico. Utilizando Zentyal se puede configurar alguno de los proveedores de DNS dinmico ms populares. Para ello iremos a Red DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de usuario, Contrasea y Nombre de mquina que queremos actualizar cuando la direccin pblica cambie, slo resta Habilitar DNS dinmico.

Configuracin de DNS Dinmico Zentyal se conecta al proveedor para conseguir la direccin IP pblica evitando cualquier traduccin de direccin red (NAT) que haya entre el servidor e Internet. Si estamos utilizando esta funcionalidad en un escenario con multirouter [2], no hay que olvidar crear una regla que haga que las conexiones al proveedor usen siempre la misma puerta de enlace. [1] http://es.wikipedia.org/wiki/PPPoE [2] Consultar Configuracin del balanceo con Zentyal para obtener ms detalles.

Diagnstico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red Diagnstico. ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (Internet Control Message Protocol) para comprobar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.

Herramientas de diagnstico de redes, ping

Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta llegar a la mquina remota determinada.

Herramienta traceroute

Y por ltimo tambin contamos con la herramienta de resolucin de nombres de dominio que se utiliza para comprobar el correcto funcionamiento del servicio.

Manual completo Instalacion de Zentyal Firewall 4 parte


Zentyal Infrastructure
En este captulo se explican los servicios para gestionar la infraestructura de una red local y optimizar el trfico interno, incluyendo la gestin de nombres de dominio, la sincronizacin de la hora, la auto-configuracin de red, la gestin de la autoridad de certificacin y la publicacin de sitios Web. El servicio de nombres de dominio o DNS permite acceder a las mquinas y servicios utilizando nombres en lugar de direcciones IP, que son ms fciles de memorizar.

El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sistema en las mquinas. Para la auto-configuracin de red, se usa el servicio de DHCP que permite asignar diversos parmetros de red a las mquinas conectadas como pueden ser la direccin IP, los servidores DNS o la puerta de enlace para acceder a Internet. La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones ha aumentado el inters por el despliegue de autoridades de certificacin que permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayora de los servicios y certificados para la autenticacin de los usuarios. Adems, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas bajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS. Servicio de resolucin de nombres de dominio (DNS) Introduccin a DNS BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versin BIND 9, reescrita desde cero para soportar las ltimas funcionalidades del protocolo DNS, es la usada por el mdulo de DNS de Zentyal. [4] http://www.isc.org/software/bind Configuracin de un servidor DNS cach con Zentyal El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las redes marcadas como internas en Zentyal, as que si solamente queremos que nuestro servidor realice cach de las consultas DNS, bastar con habilitar el mdulo. En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN. Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travs de un fichero de configuracin. Podremos aadir estas redes en el fichero /etc/ebox/80dns.conf mediante la opcin intnets=: # Internal networks allowed to do recursive queries # to Zentyal DNS caching server. Localnetworks are already # allowed and this settings is intended to allow networks # reachable through static routes. # Example: intnets = 192.168.99.0/24,192.168.98.0/24 intnets = Y tras reiniciar el mdulo DNS se aplicarn los cambios. El servidor DNS cach de Zentyal consultar directamente a los servidores DNS raz a qu servidor autoritario tiene que preguntar la resolucin de cada peticin DNS y las almacenar localmente durante el perodo de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el consumo real de trfico hacia Internet. Para que el servidor Zentyal utilice su propio servidor DNS cach, que acabamos de configurar, tendremos que ir a Red DNS y configurar 127.0.0.1 como primer servidor DNS.

DNS configurado como cach local

El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de bsqueda se configura en los clientes, pero se puede servir automticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuracin inicial de red, podrn adquirir tambin este dato. Por ejemplo nuestro dominio de bsqueda podra ser foocorp.com, el usuario intentara acceder a la mquina example; al no estar presente en sus hosts conocidos, la resolucin de este nombre fallara, por lo que su sistema operativo probara automticamente con example.foocorp.com, resultando en una resolucin de nombre con xito en este segundo caso. En Red Herramientas de diagnstico disponemos de la herramienta de Resolucin de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red DNS.

Resolucin de un nombre de dominio usando el DNS cach local

Configuracin de un servidor DNS autoritario con Zentyal


Adems de DNS cach, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responder a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor cach responder a consultas sobre cualquier dominio solamente desde redes internas. La configuracin de este mdulo se realiza a travs del men DNS, dnde podremos aadir cuantos dominios y subdominios deseemos.

Lista de dominios

Para configurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nuevo. Desde ste se configurar el Nombre del dominio y opcionalmente la Direccin IP a la que har referencia el dominio.

Aadiendo un nuevo dominio

Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de l mediante la tabla Nombres. Para cada uno de estos nombres Zentyal configurar automticamente la resolucin inversa. Adems para cada uno de los nombres podremos definir cuantos Alias queramos. Normalmente los nombres apuntan a la mquina dnde est funcionando el servicio y los alias a los servicios alojados en ella. Por ejemplo, la mquina amy.zentyal.com tiene los alias smtp.zentyal.com y mail.zentyal.com para los servicios de mail y la mquina rick.zentyal.com tiene los alias www.zentyal.com o store.zentyal.com entre otros, para los servicios web.

Aadiendo un nuevo alias

Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cul de estos servidores le intentarn entregar los mensajes otros servidores. Si el de ms preferencia falla lo reintentarn con el siguiente.

Aadiendo un nuevo intercambiador de correo

Adems tambin podemos configurar los registros NS para cada dominio o subdominio mediante la tabla Servidores de nombres.

Aadiendo un nuevo servidor de nombres

Hay que mencionar que cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo llamado Dinmico con valor falso. Un dominio se establece como dinmico cuando es actualizado automticamente por un proceso externo sin reiniciar el servidor. Si un dominio se establece como dinmico no puede configurarse a travs del interfaz. En Zentyal los dominios dinmicos son los actualizados automticamente por DHCP con los nombres de las mquinas a las que ha asignado una direccin IP, vase Actualizaciones dinmicas.

Servicio de sincronizacin de hora (NTP) Introduccin a NTP


Zentyal integra ntpd [2] como servidor NTP. Este servicio NTP utiliza el puerto 123 del protocolo UDP. [2] http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

Configuracin de un servidor NTP con Zentyal


Zentyal utiliza el servidor NTP tanto para la sincronizacin de su propio reloj como para ofrecer este servicio en la red, as que es importante activarlo aunque slo sea para si mismo. Una vez habilitado el mdulo, en Sistema Fecha/hora deberemos habilitar la sincronizacin mediante NTP y despus seleccionar contra qu servidores queremos sincronizar. Normalmente es conveniente sincronizar contra el repositorio de servidores del proyecto NTP [3] que ya vienen preconfigurados en Zentyal, aunque podemos cambiar estos valores para sincronizar contra un servidor NTP local que tengamos instalado o cualquier otro de nuestra eleccin.

Configuracin de Fecha y Hora Una vez que Zentyal est sincronizado, podr ofrecer su hora de reloj mediante el servicio NTP. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita slo para redes internas.

Servicio de configuracin de red (DHCP) Introduccin a DHCP

Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estndar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor. [4] https://www.isc.org/software/dhcp

Configuracin de un servidor DHCP con Zentyal


El servicio DHCP necesita una interfaz configurada estticamente sobre la cul se despliega el servicio. Esta interfaz adems deber ser interna. Desde el men DHCP se configura el servidor DHCP.

Configuracin del servicio DHCP

Los siguientes parmetros se pueden configurar en la pestaa de Opciones personalizadas: Puerta de enlace predeterminada: Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no estn en su red local, como podra ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red Routers o una Direccin IP personalizada. Dominio de bsqueda: En una red cuyas mquinas estuvieran nombradas bajo el mismo subdominio, se podra configurar este como el dominio de bsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin xito (por ejemplo host), se intentar de nuevo aadindole el dominio de bsqueda al final (host.zentyal.local). Servidor de nombres primario: Especifica el servidor DNS que usar el cliente en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la direccin IP de otro servidor DNS. Si queremos que se consulte el

propio servidor DNS de Zentyal, hay que tener en cuenta que el mdulo DNS [5] debe estar habilitado. Servidor de nombres secundario: Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP de un servidor DNS. Servidor NTP: Servidor NTP que usar el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o la direccin IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el mdulo NTP [6] habilitado. Servidor WINS: Servidor WINS (Windows Internet Name Service) [7] que el cliente usar para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el mdulo de Compartir de ficheros [8] tiene que estar habilitado.

Configuracin de los rangos de DHCP

Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las asignaciones estticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estticas; en caso contrario el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red. Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estticas. Para aadir un rango en la seccin Rangos se introduce un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima.

Se pueden realizar asignaciones estticas de direcciones IP a determinadas direcciones fsicas en el apartado Asignaciones estticas. Una direccin asignada de este modo no puede formar parte de ningn rango. Se puede aadir una Descripcin opcional para la asignacin tambin. [5] Vase la seccin Servicio de resolucin de nombres de dominio (DNS) para ms detalles. [6] Vase la seccin Servicio de sincronizacin de hora (NTP) para ms detalles. [7] http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service [8] Vase la seccin Servicio de comparticin de ficheros y de autenticacin para ms detalles.

Optiones avanzadas

Opciones avanzadas de DHCP

La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200. Esta limitacin tambin se aplica a las asignaciones estticas. Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente servidor a qu servidor PXE se debe conectar el cliente ligero y este se encargar de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. El servidor PXE puede ser una direccin IP o un nombre de mquina. Ser necesario indicar la ruta de la imagen de arranque, o si Zentyal es el servidor PXE, se podr subir el fichero con la imagen a travs de la interfaz web.

Actualizaciones dinmicas
Las actualizaciones dinmicas de DNS permiten asignar nombres de dominio a los clientes DHCP mediante la

integracin de los mdulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las mquinas presentes en la red por medio de un nombre de dominio nico en lugar de por una direccin IP que puede cambiar.

Configuracin de actualizaciones DNS dinmicas

Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y para habilitar esta caracterstica, el mdulo DNS debe estar habilitado tambin. Se debe disponer de un Dominio dinmico y un Dominio esttico, que ambos se aadirn a la configuracin de DNS automticamente. El dominio dinmico aloja los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue el patrn dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Con respecto al dominio esttico, el nombre de mquina seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en la tabla de Asignaciones estticas.

Autoridad de certificacin (CA) Infraestructura de clave pblica (PKI)


Zentyal integra OpenSSL [4] para la gestin de la Autoridad de Certificacin y del ciclo de vida de los certificados expedidos por esta. [4] http://www.openssl.org/

Configuracin de una Autoridad de Certificacin con Zentyal


En Zentyal, el mdulo Autoridad de Certificacin es autogestionado, lo que quiere decir que no necesita ser habilitado en Estado del Mdulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del mdulo no estarn disponibles hasta que no hayamos efectuado esta accin.

Accederemos a Autoridad de Certificacin General y nos encontraremos con el formulario para inicializar la CA. Se requerir el Nombre de Organizacin y el nmero de Das para expirar. Adems, tambin es posible especificar opcionalmente Cdigo del Pas (acrnimo de dos letras que sigue el estndar ISO-3166-1 [5]), Ciudad y Estado.

Crear Certificado de la Autoridad de Certificacin A la hora de establecer la fecha de expiracin hay que tener en cuenta que en ese momento se revocarn todos los certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estos certificados. Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Comn del certificado y los Das para Expirar. Este ltimo dato est limitado por el hecho de que ningn certificado puede ser vlido durante ms tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podra ser un servidor web o un servidor de correo, el Nombre Comn deber coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.local para acceder al interfaz de administracin web de Zentyal, ser necesario un certificado con ese Nombre Comn. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su direccin de correo como Nombre Comn. Opcionalmente se pueden definir Subject Alternative Names [6] para el certificado. Estos sirven para establecer nombres comunes a un certificado: un nombre de dominio o direccin IP para dominio virtual HTTP o una direccin de correo para firmar los mensajes de correo electrnico. Una vez el certificado haya sido creado, aparecer en la lista de certificados, estando disponible para el administrador y el resto de mdulos. A travs de la lista de certificados podemos realizar distintas acciones con ellos: * Descargar las claves pblica, privada y el certificado. * Renovar un certificado. * Revocar un certificado.

Listado de certificados

El paquete con las claves descargadas contiene tambin un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc. Si renovamos un certificado, el actual ser revocado y uno nuevo con la nueva fecha de expiracin ser expedido. Y si se renueva la CA, todos los certificados se renovarn con la nueva CA tratando de mantener la antigua fecha de expiracin. Si esto no es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se establecer la fecha de expiracin de la CA.

Renovar un certificado

Si revocamos un certificado no podremos utilizarlo ms, ya que esta accin es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razn para revocarlo: * unspecified: motivo no especificado, * keyCompromise: la clave privada ha sido comprometida, * CACompromise: la clave privada de la autoridad de certificacin ha sido comprometida,

* affilliationChanged: se ha producido un cambio en la afiliacin de la clave pblica firmada hacia otra organizacin, * superseded: el certificado ha sido renovado y por tanto reemplaza al emitido, * cessationOfOperation: cese de operaciones de la entidad certificada, * certificateHold: certificado suspendido, * removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocacin ha cambiado.

Revocar un certificado

Cuando un certificado expire, el resto de mdulos sern notificados. La fecha de expiracin de cada certificado se comprueba una vez al da y cada vez que se accede al listado de certificados. [5] http://es.wikipedia.org/wiki/ISO_3166-1 [6] Para ms informacin sobre los Subject Alternative Names vase http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Certificados de Servicios
En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos de Zentyal que usan certificados para su funcionamiento. Cada mdulo genera sus certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA. Para cada servicio se puede generar un certificado especificando su Nombre Comn. Si no existe un certificado con el nombre especificado, la Autoridad de Certificacin lo crear automticamente.

Certificados de Servicios

Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado.

Servicio de publicacin de pginas web (HTTP) Introduccin a HTTP


El servidor HTTP Apache [5] es el ms usado en Internet, alojando ms del 54% de las pginas. Zentyal usa Apache para el mdulo de servidor HTTP y para su interfaz de administracin. [5] http://httpd.apache.org/

Configuracin de un servidor HTTP con Zentyal


A travs del men Servidor web podemos acceder a la configuracin del servidor HTTP.

Configuracin del mdulo Servidor web

En la Configuracin General podemos modificar los siguientes parmetros: Puerto de escucha: Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP. Puerto de escucha SSL: Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administracin de Zentyal a un puerto distinto si queremos usar el 443 aqu. Habilitar el public_html por usuario: Con esta opcin, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal, ser accesible a travs de la URL http://<zentyal>/~<usuario>/. En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada pgina web. Cuando se define un nuevo dominio con esta opcin, si el mdulo DNS est instalado, se intenta crear ese dominio, y si est ya creado, se aade el subdominio en caso de que ste tampoco exista. Este dominio o subdominio se crea apuntando a la direccin de la primera interfaz interna configurada con direccin esttica, aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades. Adems de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS. El DocumentRoot o directorio raz para cada una de estas pginas est en el directorio /srv/www/<dominio>/. Adems existe la posibilidad de aplicar cualquier configuracin de Apache personalizada para cada Virtual host mediante ficheros en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/.

Servicio de Transferencia de ficheros (FTP) Introduccin a FTP


Zentyal usa vsftpd [4] (very secure FTP) para proporcionar este servicio. [4] http://vsftpd.beasts.org/

Configuracin de un servidor FTP con Zentyal


A travs del men FTP podemos acceder a la configuracin del servidor FTP:

Configuracin del Servidor FTP El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar acceso remoto a un directorio pblico y/o a los directorios personales de los usuarios del sistema. La ruta predeterminada del directorio pblico es /srv/ftp mientras que los directorios personales estn en /home/usuario/ para cada uno de ellos. En Acceso annimo, tenemos tres configuraciones posibles para el directorio pblico: Desactivado: No se permite el acceso a usuarios annimos. Slo lectura: Se puede acceder al directorio con un cliente de FTP, pero nicamente se puede listar los archivos y descargarlos. Esta configuracin es adecuada para poner a disposicin de todo el mundo contenido para su descarga. Lectura y escritura: Se puede acceder al directorio con un cliente de FTP y todo el mundo puede aadir, modificar, descargar y borrar archivos en este directorio. No se recomienda esta configuracin a menos de estar muy seguro de lo que se hace. El otro parmetro de configuracin Directorios personales permite acceder a su directorio personal a cada uno de los usuarios en Zentyal. Como siempre, habr que comprobar que las reglas del cortafuegos abren los puertos para este servicio, antes de ponerlo en funcionamiento.

Manual completo Instalacion de Zentyal Firewall 5 parte


Zentyal Gateway
En este captulo se describen las funcionalidades de Zentyal como puerta de enlace o gateway. Zentyal puede hacer la red ms fiable y segura, gestionar el ancho de banda y definir polticas de conexiones y contenidos. Hay un apartado centrado en el funcionamiento del mdulo de cortafuegos, el cual nos permite definir reglas para gestionar el trfico entrante y saliente tanto del servidor como de la red interna. Para ayudar en la configuracin del cortafuegos, existen dos mdulos que facilitan la gestin de objetos y servicios de red. A la hora de acceder a Internet podemos balancear la carga entre varias conexiones y definir diferentes reglas para usar una u otra segn el trfico. Adems, tambin se ver como garantizar la calidad del servicio, configurando que trfico tiene prioridad frente a otro o incluso limitar la velocidad en algn caso, como podra ser el P2P. Mediante RADIUS podremos autenticar a los usuarios en la red y finalmente, se ofrece una introduccin al servicio de proxy HTTP. Este servicio permite acelerar el acceso a Internet, almacenando una cach de navegacin y establecer diferentes polticas de filtrado de contenidos.

Abstracciones de red de alto nivel en Zentyal Objetos de red


Los Objetos de red son una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red, pudiendo dotar de un nombre fcilmente reconocible al elemento o al conjunto y aplicar la misma configuracin a todos ellos. Por ejemplo, podemos dar un nombre reconocible a una direccin IP o a un grupo de ellas. En lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP, simplemente bastara con definirla para el objeto de red que contiene las direcciones.

Representacin de un objeto de red

Gestin de los Objetos de red con Zentyal


Para empezar a trabajar con los objetos en Zentyal, accederemos la seccn Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que sern usados ms tarde por otros mdulos.

Objetos de red

Cada uno de estos objetos se compondr de una serie de miembros que podremos modificar en cualquier momento. Los miembros tendrn al menos los siguientes valores: Nombre, Direccin IP y Mscara de red. La Direccin MAC es opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina y se aplicar en aquellos contextos que la direccin MAC sea accesible.

Aadir un nuevo miembro

Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener cuidado al usarlos en el resto de mdulos para obtener la configuracin deseada y no tener problemas.

Servicios de red
Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y puertos usados por una aplicacin. La utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer referencia a un conjunto de direcciones IP usando un nombre significativo, podemos as mismo identificar un conjunto de puertos por el nombre de la aplicacin que los usa.

Conexin de un cliente a un servidor

Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP, 80/TCP. Pero adems tambin tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP. De nuevo, no tenemos que aplicar una regla que afecte a la navegacin web a cada uno de los puertos, sino al al servicio que la representa que contiene estos tres puertos. Otro ejemplo puede ser la comparticin de ficheros en redes Windows, donde el servidor escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.

Gestin de los Servicios de red con Zentyal

Para trabajar con los servicios en Zentyal se debe ir al men Servicios donde se listan los servicios existentes creados por cada uno de los mdulos que se hayan instalado y los que hayamos podidos definir adicionalmente. Para cada servicio podemos ver su Nombre, Descripcin y un indicador de si es Interno o no. Un servicio es Interno si los puertos configurados para dicho servicio se estn usando en el mismo servidor. Adems cada servicio tendr una serie de miembros, cada uno de estos miembros tendr los valores: Protocolo, Puerto origen y Puerto destino. En todos estos campos podemos introducir el valor Cualquiera, por ejemplo para especificar servicios en los que sea indiferente el puerto origen o un Rango de puertos. El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para evitar tener que aadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.

Servicios de red

Cortafuegos Introduccin al sistema de cortafuegos


Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter [2] que proporciona funcionalidades de filtrado, marcado de trfico y de redireccin de conexiones. [2] http://www.netfilter.org/

Configuracin de un cortafuegos con Zentyal

El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible en su configuracin predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras aadir un nuevo servicio. Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna y el router conectado a Internet. La interfaz de red que conecta la mquina con el router debe marcarse como Externo en Red -> Interfaces de red para permitir al cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones procedentes de fuera.

Interfaz externa

La poltica para las interfaces externas es denegar todo intento de nueva conexin a Zentyal mientras que para las interfaces internas se deniegan todos los intentos de conexin excepto los que se realizan a servicios definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones.

Filtrado de paquetes

La definicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de paquetes.

Se pueden definir reglas en 5 diferentes secciones segn el flujo de trfico sobre el que sern aplicadas: * Trfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local). * Trfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet o determinadas direcciones a unas direcciones internas o restringir la comunicaciones entre las subredes internas). * Trfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor). * Trfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet). * Trfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet). Hay que tener en cuenta que los dos ltimos tipos de reglas pueden crear un compromiso en la seguridad de Zentyal y la red, por lo que deben utilizarse con sumo cuidado.

Esquema de los diferentes flujos de trfico en el cortafuegos

Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red para especificar a qu protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qu direcciones IP de origen o de destino se aplican.

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin IP o un Objeto en el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones el Origen o el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal como el Origen en Trfico de Zentyal a redes externas. Adems cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente. El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: * Aceptar la conexin. * Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin. * Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs de Registros -> Consulta registros -> Cortafuegos podemos ver sobre qu conexiones se estn produciendo. Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una vez que una regla acepta una conexin, no se sigue evaluando el resto. Una regla genrica al principio puede hacer que otra regla ms especfica posterior no sea evaluada, es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar un no lgico a la evaluacin de la regla con Inversa para la definicin de polticas ms avanzadas.

Creando una nueva regla en el firewall

Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada ya que la regla anterior ya acepta la conexin. Igualmente si queremos restringir la salida a Internet, primero explcitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden dara acceso a todos los sitios a todo el mundo. Por omisin, la decisin es siempre denegar las conexiones y tendremos que explcitamente aadir reglas que las permitan. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (en Trfico de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas hacia las externas (en Trfico entre redes internas y de redes internas a Internet. Adems cada mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son modificadas automticamente en el futuro. Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro de la poltica global del cortafuegos.

Redireccin de puertos con Zentyal


Las redirecciones de puertos de destino se configuran en Cortafuegos Redirecciones de puertos. Para configurar una redireccin hay que establecer la Interfaz donde se recibe el trfico sobre el que se va a hacer la traduccin, el Destino original (que puede ser el servidor Zentyal, una direccin IP o un objeto), el Puerto de destino original (que puede ser Cualquiera, un Puerto determinado o un Rango de puertos), el Protocolo y el Origen (que tambin puede ser Cualquiera, una Direccin IP o un Objeto). Adems estableceremos la direccin IP de Destino y finalmente, el Puerto donde la mquina destino recibir las peticiones, que puede ser el mismo que el original o no. Existe tambin un campo opcional de Descripcin para aclarar el propsito de la regla.

Redireccin de puertos

Encaminamiento Introduccin al encaminamiento o routing


Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente iproute2 [1]. [1] http://www.policyrouting.org/iproute2.doc.html

Configuracin del encaminamiento con Zentyal Puerta de enlace


La puerta de enlace o gateway es el router por omisin para las conexiones cuyo destino no est en la red local. Es decir, si el sistema no tiene definidas rutas estticas o si ninguna de stas coincide con una transmisin a realizar, sta se har a travs de la puerta de enlace. Para configurar una puerta de enlace en Zentyal se utiliza Red Puertas de enlace, que tiene los siguientes parmetros configurables.

Aadiendo una puerta de enlace

Habilitado: Indica si realmente esta puerta de enlace es efectiva o est desactivada. Nombre: Nombre por el que identificaremos a la puerta de enlace. Direccin IP: Direccin IP de la puerta de enlace. Esta direccin debe ser directamente accesible desde la mquina que contiene Zentyal, es decir, sin otros enrutamientos intermedios. Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de enlace se enviarn a travs de esta interfaz. Peso Cuanto mayor sea el peso, ms paquetes se enviarn por esa puerta de enlace si activamos el balanceo de trfico. Predeterminado Si esta opcin est activada, esta ser la puerta de enlace por defecto. Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden aadir puertas de enlace explcitamente para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.

Lista de puertas de enlace con DHCP

Adems Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las actualizaciones de software y del antivirus, o para la redireccin del propio proxy HTTP. Para configurar este proxy externo iremos a Red Puertas de enlace, all podremos indicar la direccin del Servidor proxy as como el Puerto del proxy. Tambin podremos especificar un Usuario y Contrasea en caso de que el proxy requiera autenticacin. [2] http://es.wikipedia.org/wiki/PPPoE

Tabla de rutas estticas


Si queremos hacer que todo el trfico dirigido a una red pase por una puerta de enlace determinada, tendremos que aadir una ruta esttica. Esto puede servirnos, por ejemplo, para interconectar dos redes locales a travs de sus puertas de enlace predeterminadas. Para realizar la configuracin manual de una ruta esttica se utiliza Red Rutas estticas.

Configuracin de rutas Estas rutas podran ser sobreescritas si se utiliza el protocolo DHCP.

Configuracin del balanceo con Zentyal


Como se ha comentado anteriormente, una misma mquina puede tener varias puertas de enlace predeterminadas, lo que conduce a una situacin especial en la que hay que tener en cuenta nuevos parmetros en la configuracin de un servidor Zentyal.

Lista de puertas de enlace

Las reglas de encaminamiento para mltiples puertas de enlace, conocidas tambin como reglas multigateway permiten que una red pueda usar varias conexiones a Internet de una manera transparente. Esto es muy til para organizaciones que requieran ms ancho de banda que el que ofrece una nica conexin ADSL o que no puedan permitirse interrupciones en su acceso a Internet, una situacin cada vez ms comn. El balanceo de trfico reparte de manera equitativa las conexiones salientes hacia Internet, permitiendo utilizar la totalidad del ancho de banda disponible. La forma ms simple de configuracin es establecer diferentes pesos para cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso ptimo de ellas.

Balanceo de trfico

Adems, Zentyal se puede configurar para hacer que determinado tipo de trfico se enve siempre por un router especfico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrnico o todo el trfico de una determinada subred por un determinado router. Las reglas multigateway y el balanceo de trfico se establecen en la seccin Red Balanceo de trfico. En esta seccin podemos aadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de la Interfaz de entrada, el Origen (puede ser una Direccin IP, un Objeto, el propio servidor Zentyal o Cualquiera), el Destino (una Direccin IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway queremos direccionar el tipo de trfico especificado.

Configuracin de la tolerancia a fallos con Zentyal


Si se est balanceando trfico entre dos o ms puertas de enlace, se recomienda habilitar la caracterstica de tolerancia a fallos. Supngase que se est balanceando el trfico entre dos routers y uno de ellos sufre un fallo. Si no se ha activado esta caracterstica, una parte del trfico seguira intentando salir por el router fuera de servicio, causando problemas de conectividad a los usuarios de la red. En la configuracin del failover se pueden definir conjuntos de pruebas para cada puerta de enlace que revisen si est operativa o si por el contrario est sufriendo algn problema y debe dejar de utilizarse como salida a Internet. Estas pruebas pueden ser un ping a la puerta de enlace, a una mquina externa, una resolucin de DNS o una peticin HTTP. Tambin se puede definir cuntas pruebas se quieren realizar as como el porcentaje de aceptacin exigido. Si cualquiera de las pruebas falla, no llegando al porcentaje de aceptacin, la puerta de enlace asociada a ella ser desactivada. Las pruebas se siguen ejecutando, as que cuando estas se ejecuten satisfactoriamente, la puerta de enlace volver a ser activada de nuevo. Deshabilitar una puerta de enlace sin conexin tiene como consecuencia que todo el trfico salga por el resto de

puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y tambin se consolidan las reglas de calidad de servicio. De esta forma, los usuarios de la red no deberan sufrir problemas con su conexin a Internet. Una vez que Zentyal detecta que la puerta de enlace cada est completamente operativa se restaura el comportamiento normal de balanceo de trfico, reglas multigateway y calidad de servicio. El failover est implementado como un evento de Zentyal. Para usarlo, primero se necesita tener el mdulo Eventos habilitado, y posteriormente habilitar el evento WAN Failover.

WAN failover

Para configurar las opciones y pruebas del failover se debe acudir al men Red WAN Failover. Se puede especificar el periodo del evento modificando el valor de la opcin Tiempo entre revisiones. Para aadir una regla simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los siguientes campos: Habilitado: Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de los routers. Se pueden aadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de nuevo. Gateway: Se selecciona la puerta de enlace de la lista de previamente configuradas. Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Enva un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una respuesta de esta, de este modo comprueba que existe conectividad entre ambas mquinas y que la puerta de enlace est activa. No comprueba que la puerta de enlace tenga conexin con Internet.

Ping a mquina: Como en el tipo anterior, esta prueba enva un paquete de control y espera una respuesta, solo que esta vez se enva a una mquina externa a la red, por lo que ya no slo se comprueba que se puede conectar con la puerta de enlace, si no que tambin se comprueba si esta tiene conexin con Internet. Resolucin DNS: Intenta obtener la direccin IP para el nombre de mquina especificado, lo que requiere que, como en el caso anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero adems, que los servidores de DNS sigan siendo accesibles. Peticin HTTP: Esta prueba sera la ms completa, ya que intenta descargar el contenido del sitio web especificado, lo que requiere que todos los requisitos de las pruebas anteriores se satisfagan. Mquina: El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace. Nmero de pruebas: Nmero de veces que se repite la prueba. Ratio de xito requerido: Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la prueba. Con la configuracin predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el evento queda registrado solamente en el fichero de registro /var/log/ebox/ebox.log. Si deseamos recibir notificaciones por otras vas, podemos configurar un emisor de eventos para ello como se detalla en el captulo Eventos y alertas o bien adquirir la Subscripcin Profesional de Zentyal [3] que incluye el envo automtico de alertas.

Calidad de servicio Configuracin de la calidad de servicio con Zentyal


Zentyal es capaz de realizar moldeado de trfico en el trfico que atraviesa el servidor, permitiendo aplicar una tasa garantizada, limitada y una prioridad a determinados tipos de conexiones de datos a travs del men Moldeado de trfico Reglas. Para poder realizar moldeado de trfico es necesario disponer de al menos una interfaz interna y una interfaz externa. Tambin debe existir al menos una puerta de enlace. Adems, desde Moldeado de trfico Tasas de Interfaz debemos configurar las tasas de subida y bajada de las interfaces externas con el ancho de banda que soporten las puertas de enlace conectadas a cada una de ellas. Las reglas de moldeado son especficas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas. Si se moldea la interfaz externa, entonces se estar limitando el trfico de salida de Zentyal hacia Internet. En cambio, si se moldea la interfaz interna, entonces se estar limitando la salida de Zentyal hacia sus redes internas. El lmite mximo de tasa de salida y entrada viene dado por la configuracin en Moldeado de trfico Tasas de Interfaz. Como se puede esperar, no se puede moldear el trfico entrante en s, debido a que el trfico proveniente de la red no es predecible y controlable de casi ninguna forma. Existen tcnicas especficas a diversos protocolos para tratar de controlar el trfico entrante a Zentyal, como por ejemplo, TCP con el ajuste artificial del tamao de ventana de flujo de la conexin TCP o controlando la tasa de confirmaciones (ACK) devueltas al emisor. Para cada interfaz se pueden aadir reglas para dar Prioridad (0: mxima prioridad, 7: mnima prioridad), Tasa garantizada o Tasa limitada. Esas reglas se aplicarn al trfico determinado por el Servicio, Origen y Destino de la conexin.

Reglas de moldeado de trfico

Opcionalmente puede instalarse el componente Layer-7 Filter (Filtro de capa 7) que permite el moldeado de trfico en base a un anlisis ms complejo de los paquetes centrado en identificar los protocolos de alto nivel por su contenido y no solo por su puerto. Como veremos si lo instalamos, podremos utilizar este filtro seleccionando Servicio basado en aplicacin o Grupo de servicios basados en aplicacin como Servicio. Podemos editar los grupos de servicios o crear nuevos desde Moldeado de trfico Protocolos de aplicacin. Las reglas que utilizan este tipo de filtrado son ms eficaces que las que simplemente comprueban el puerto, ya que puede haber servidores sirviendo desde puertos no habituales que pasaran inadvertidos si no se analizara su trfico. Por otro lado, y como es de esperar, este anlisis tambin suele conllevar una mucho mayor carga de procesamiento en el servidor Zentyal.

Servicio de autenticacin de red (RADIUS) Introduccin a RADIUS


Zentyal integra el servidor FreeRADIUS [2], el servidor RADIUS ms extendido en entornos Linux. [2] http://freeradius.org/

Configuracin de un servidor RADIUS con Zentyal


Para configurar el servidor RADIUS en Zentyal, primero comprobaremos en Estado del Mdulo si Usuarios y Grupos est habilitado, ya que RADIUS depende de l. Podremos crear un grupo de usuarios desde el men Usuarios y Grupos Grupos y aadir usuarios al sistema desde el men Usuarios y Grupos Usuarios. Mientras se edita un grupo, se pueden elegir los usuarios que pertenecen a ste. Las opciones de configuracin de los usuarios y grupos se explican con detalle en el captulo de Servicio de directorio (LDAP). Una vez dispongamos de usuarios y grupos en nuestro sistema, habilitaremos el mdulo en Estado del Mdulo marcando la casilla RADIUS.

Configuracin general de RADIUS

Para configurar el servicio, accederemos a RADIUS en el men izquierdo. All podremos definir si Todos los usuarios o slamente los usuarios que pertenecen a uno de los grupos existentes podrn acceder al servicio. Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacin a Zentyal deben ser especificados en Clientes RADIUS. Para cada uno podemos definir: Habilitado: Indicando si el NAS est habilitado o no. Cliente: El nombre para este cliente, como podra ser el nombre de la mquina. Direccin IP: La direccin IP o el rango de direcciones IP desde las que se permite enviar peticiones al servidor RADIUS. Contrasea compartida: Contrasea para autenticar y cifrar las comunicaciones entre el servidor RADIUS y el NAS. Esta contrasea deber ser conocida por ambas partes.

Servicio de Proxy HTTP Introduccin al servicio de Proxy HTTP


Zentyal utiliza Squid [1] para proxy HTTP junto a Dansguardian [2] para el control de contenidos. [1] http://www.squid-cache.org/ [2] http://www.dansguardian.org/

Configuracin del Proxy HTTP con Zentyal


Para configurar el proxy HTTP iremos a Proxy HTTP General. Podremos definir si el proxy funciona en modo

Proxy Transparente para forzar la poltica establecida o si por el contrario requerir configuracin manual. En este ltimo caso, en Puerto estableceremos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador. El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece en Tamao de cach y corresponde a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado. Adems tambin estableceremos aqu la Poltica predeterminada para el acceso al contenido web HTTP a travs del proxy. Esta poltica determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede configurarse de las siguientes maneras: Permitir todo: Con esta poltica se permite a los usuarios navegar sin ningn tipo de restricciones pero todava disfrutando de las ventajas de la cach, ahorro de trfico y mayor velocidad. Denegar todo: Esta poltica deniega totalmente el acceso a la web. Aunque a primera vista podra parecer poco til ya que el mismo efecto se podra conseguir con una regla de cortafuegos, sin embargo podemos establecer posteriormente polticas particulares para objetos, usuarios o grupos, pudiendo usar esta poltica para denegar en principio y luego aceptar explcitamente en determinadas condiciones. Filtrar: Esta poltica permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web segn el contenido solicitado por los usuarios. Autorizar y filtrar, permitir todo o denegar todo: Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. La autorizacin se explicar en la seccin Configuracin Avanzada para el proxy HTTP.

Proxy HTTP

Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tenemos servidores web locales no se acelerar su acceso usando la cach y se desperdiciara memoria que podra ser usada por elementos de servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos. Estos dominios se definen en Excepciones a la cach. Tras establecer la poltica global, podemos definir polticas particulares para Objetos de red en Proxy HTTP Poltica de objetos. Podremos elegir cualquiera de las seis polticas para cada objeto; cuando se acceda al proxy desde cualquier miembro del objeto esta poltica tendr preferencia sobre la poltica global. Una direccin de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad. Se aplicar la poltica del objeto de mayor prioridad que contenga la direccin de red. Adems existe la posibilidad de definir un rango horario fuera del cual no se permitir acceso al objeto de red aunque esta opcin slo es compatible con polticas de permitir o denegar y no con polticas de filtrado de contenidos.

Polticas de objeto

Limitacin de las descargas con Zentyal


Otra de las caractersticas configurables en Zentyal es limitar el ancho de banda de las descargas usando objetos de red mediante Delay Pools. Para configurarlas accederemos a HTTP Proxy Limitacin de ancho de banda. Las Delay Pools pueden entenderse como cajas en las que se dispone de una determinada cantidad de ancho de banda; se van llenando poco a poco y se van vaciando mientras se usa la red, cuando se vacan se limita el ancho de banda, la velocidad de descarga. Teniendo en cuenta esta explicacin, veamos los valores que podemos establecer por cada caja: Ratio: Ancho de banda mximo que se podr utilizar cuando se vace la caja. Volumen: Capacidad mxima de la caja en bytes, es decir, la caja se vaciar si se han transmitido tantos bytes como los indicados en el volumen. Zentyal permite limitar el ancho de banda mediante dos mtodos diferentes, las Delay Pools de clase 1 y las de clase 2. Las restricciones de la clase 1 tienen prioridad sobre las de la clase 2, si un objeto de red no se corresponde con los limitados por alguna de las reglas no se le aplica ninguna. Delay pools de clase 1: Limitan el ancho de banda globalmente para una subred, permiten configurar un lmite de datos transferidos, el Mximo Tamao de Red y una restriccin de ancho de banda mximo, el Ratio de Red. La limitacin se activa cuando el lmite de datos ha sido superado. Estas Delay Pools se componen de una sola caja compartida por todo el objeto de red. Delay pools de clase 2: Estas Delay Pools se componen de dos tipos de cajas, una general en la que como en las de clase 1 se va acumulando todo el trfico transmitido a la subred y una dedicada a cada cliente. Si un miembro de la subred vaca su caja se limitar su ancho de banda al Ratio del Cliente, pero no a los dems, si entre todos vacan la caja agregada, se limita el ancho de banda de todos los clientes a Ratio.

Limitacin de ancho de banda

Filtrado de contenidos con Zentyal


Zentyal permite el filtrado de pginas web en base a su contenido. Para ello, es necesario que la poltica global o la poltica particular de cada objeto desde el que se accede sea de Filtrar o Autorizar y Filtrar. Se pueden definir mltiples perfiles de filtrado en Proxy HTTP Perfiles de Filtrado pero si no hay ninguno especfico aplicndose al usuario, grupo u objeto se aplicar el perfil default.

Perfiles de filtrado

El filtrado de contenidos de las pginas web se utiliza diferentes mtodos incluyendo filtrado heurstico, tipos MIME, extensiones, listas blancas y listas negras entre otros. La conclusin final es determinar si una pgina o un recurso web puede ser visitado o no. El primer filtro que podemos configurar es el antivirus. Para poder utilizarlo debemos tener el mdulo de Antivirus instalado y activado. Si est activado se bloquear el trfico HTTP en el que sean detectados virus. El filtrado heurstico consiste principalmente en el anlisis de los textos presentes en las paginas web, si se considera que el contenido no es apropiado (pornografa, racismo, violencia, etc) se bloquear el acceso a la pgina. Para controlar este proceso se puede establecer un umbral ms o menos restrictivo, siendo este el valor que se comparar con la puntuacin asignada a la pgina para decidir si se bloquea o no. El lugar donde establecer el umbral es la seccin Umbral de filtrado de contenido. Se puede desactivar este filtro eligiendo el valor Desactivado. Hay que tener en cuenta que con este anlisis se pueden llegar a bloquear pginas no deseadas, lo que se conoce como un falso positivo. Este problema se puede remediar aadiendo los dominios de estas pginas a una lista blanca, pero siempre existir el riesgo de un falso positivo con nuevas pginas. Tambin tenemos a continuacin el Filtrado de extensiones de fichero, el Filtrado de tipos MIME y el Filtrado de dominios.

Perfil de filtrado

En la pestaa de Filtrado de extensiones de fichero se puede seleccionar qu extensiones sern bloqueadas. De manera similar en Filtrado de tipos MIME se pueden indicar qu tipos MIME se quieren bloquear y aadir otros nuevos si es necesario, al igual que con las extensiones. En la pestaa de Filtrado de dominios encontraremos la configuracin del filtrado basado en dominios. Podemos: * Bloquear dominios especificados slo como IP, esta opcin bloquea cualquier pgina que se intente acceder especificado nicamente su direccin IP y no el dominio asociado. * Bloquear dominios no listados, esta opcin bloquea todos los dominios que no estn presentes en la seccin Reglas de dominios o en las categoras presentes en Ficheros de listas de dominios y cuya poltica no sea Ignorar. A continuacin tenemos la lista de dominios, donde podemos introducir nombres de dominio y seleccionar una poltica para ellos entre las siguientes:

Permitir siempre: El acceso a los contenidos del dominio ser siempre permitido, todos los filtros son ignorados. Denegar siempre: El acceso nunca se permitir a los contenidos de este dominio. Filtrar: Se aplicarn las reglas usuales a este dominio. Resulta til si est activada la opcin Bloquear dominios no listados.

Filtrado de dominios

Podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son normalmente mantenidas por terceros y tienen la ventaja de que los dominios estn clasificados por categoras, permitindonos seleccionar una poltica para una categora entera de dominios. Estas listas son distribuidas en forma de archivo comprimido. Una vez descargado el archivo, podemos incorporarlo a nuestra configuracin y establecer polticas para las distintas categoras de dominios. Las polticas que se pueden establecer en cada categora son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha

categora. Existe una poltica adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la categora a la hora de filtrar. Dicha poltica es la elegida por defecto para todas las categoras.

Listado de categoras

Mediante las Actualizaciones Avanzadas de Seguridad de Zentyal [3] podemos instalar automticamente una base de datos actualizada de categoras de dominios para disponer de las funcionalidades requeridas para una poltica de filtrado de contenidos de nivel profesional.

Manual completo Instalacion de Zentyal Firewall 6 parte


Servicio de correo electrnico (SMTP/POP3-IMAP4)

Introduccin al servicio de correo electrnico


Para el envo/recepcin de correos Zentyal usa Postfix como servidor SMTP. As mismo, para el servicio de recepcin de correos (POP3, IMAP) Zentyal usa Dovecot [6]. Ambos con soporte para comunicacin segura con SSL. Por otro lado, para obtener el correo de cuentas externas, Zentyal usa el programa Fetchmail. Postfix The Postfix Home Page http://www.postfix.org . Dovecot Secure IMAP and POP3 Server http://www.dovecot.org . http://fetchmail.berlios.de/

Configuracin de un servidor SMTP/POP3-IMAP4 con Zentyal Recibiendo y retransmitiendo correo


Para comprender la configuracin de un sistema de correo se debe distinguir entre recibir y retransmitir correo. La recepcin se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor. El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Sin embargo, la retransmisin ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados, requiriendo por tanto su reenvo a otro servidor. La retransmisin de correo est restringida, de otra manera los spammers podran usar el servidor para enviar spam en Internet. Zentyal permite la retransmisin de correo en dos casos: 1. Usuarios autenticados 2. Una direccin de origen que pertenezca a un objeto que tenga una poltica de retransmisin permitida.

Configuracin general
A travs de Correo General Opciones del servidor de correo Autenticacion podemos gestionar las opciones de autenticacin. Estn disponibles las siguientes opciones: TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del contenido por personas maliciosas. Exigir la autenticacin: Este parmetro activa el uso de autenticacin. Un usuario debe usar su direccin de correo y su contrasea para identificarse; una vez autenticado podr retransmitir correo a travs del servidor. No se puede usar un alias de la cuenta de correo para autenticarse.

Configuracin general del correo

En la seccin Correo General Opciones del servidor de correo Opciones se pueden configurar los parmetros generales del servicio de correo:

Smarthost al que enviar el correo: Direccin IP o nombre de dominio del smarthost. Tambin se puede establecer un puerto aadiendo el texto :[numero de puerto] despus de la direccin. El puerto por defecto es el puerto estndar SMTP, 25. Si se establece esta opcin Zentyal no enviar directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. En este caso, Zentyal actuar como un intermediario entre el usuario que enva el correo y el servidor que enviar finalmente el mensaje. Autenticacin del smarthost: Determina si el smarthost requiere autenticacin y si es as provee un usuario y contrasea. Nombre del servidor de correo: Determina el nombre de correo del sistema; ser usado por el servicio de correo como la direccin local del sistema. Direccin del postmaster: La direccin del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier direccin, perteneciente a los dominios virtuales de correo gestionados o no. Esta cuenta est pensada para tener una manera estndar de contactar con el administrador de correo. Correos de notificacin automticos suelen usar postmaster como direccin de respuesta. Tamao mximo permitido del buzn de correo: En esta opcin se puede indicar un tamao mximo en MiB para los buzones del usuario. Todo el correo que exceda el limite ser rechazado y el remitente recibir una notificacin. Esta opcin puede sustituirse para cada usuario en la pgina Usuarios y Grupos -> Usuarios. Tamao mximo de mensaje aceptado: Seala, si es necesario, el tamao mximo de mensaje aceptado por el smarthost en MiB. Esta opcin tendr efecto sin importar la existencia o no de cualquier lmite al tamao del buzn de los usuarios. Periodo de expiracin para correos borrados: Si esta opcin est activada el correo en la carpeta de papelera de los usuarios ser borrado cuando su fecha sobrepase el lmite de das establecido. Periodo para correos de spam: Esta opcin se aplica de la misma manera que la opcin anterior pero con respecto a la carpeta de spam de los usuarios. Para configurar la obtencin de los mensajes, hay que ir a la seccin Servicios de obtencin de correo. Zentyal puede configurarse como servidor de POP3 o IMAP adems de sus versiones seguras POP3S y IMAPS. En esta seccin tambin

pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarn a partir de la seccin Obtencin de correo desde cuentas externas. Tambin se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. Para ello, se permite una poltica de reenvo con objetos de red de Zentyal a travs de Correo General Poltica de retransmisin para objetos de red basndonos en la direccin IP del cliente de correo origen. Si se permite el reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de Zentyal.

Poltica de retransmisin para objetos de red

Advertencia Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que con alta probabilidad nuestro servidor de correo se convertir en una fuente de spam. Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos para los mensajes [9]. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estar escuchando la respuesta. A travs de Correo General Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar Zentyal como servidor de filtrado. En la seccin Filtrado de correo electrnico se amplia este tema.

Opciones del filtrado de correo

Creacin de cuentas de correo a travs de dominios virtuales

Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que proveen de nombre de dominio a las cuentas de correo de los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.

Dominios virtuales de correo

Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros, acudimos a Usuarios y Grupos Usuarios Crear cuenta de correo. Es ah donde seleccionamos el dominio virtual principal del usuario. Si queremos asignar al usuario a ms de una cuenta de correo lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado

un alias o no, el correo sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias para autenticarse, se debe usar siempre la cuenta real.

Configuracin del correo para un usuario

Hay que tener en cuenta que se puede decidir si se deseas que a un usuario se le cree automticamente una cuenta de correo cuando se le da de alta. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto > Cuenta de correo. De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. Los alias de grupo son creados a travs de Usuarios y Grupos Grupos Crear un alias de cuenta de correo al grupo. Los alias de grupo estn slo disponibles cuando, al menos, un usuario del grupo tiene cuenta de correo. Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser retransmitido a la correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas. Gestin de cola Desde Correo Gestin de cola podemos ver los correos que todava no han sido enviados con la informacin acerca del mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de enviarlos (reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.

Gestin de cola

Obtencin de correo desde cuentas externas Se puede configurar Zentyal para recoger correo de cuentas externas y enviarlo a los buzones de los usuarios. Para ello,

debers activar en la seccin Correo General Opciones del servidor de correo Servicios de obtencin de correo. Una vez activado, los usuarios tendrn sus mensajes de correo de sus cuentas externas recogido en el buzn de su cuenta interna. Cada usuario puede configurar sus cuentas externas a travs del Rincn del Usuario [10]. Para ello debe tener una cuenta de correo. Los servidores externos son consultados peridicamente, as que la obtencin del correo no es instantnea. Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer clic en Recuperar correo de cuentas externas en el men izquierdo. En la pagina se muestra la lista de cuentas de correo del usuario, el usuario puede aadir, borrar y editar cuentas. Cada cuenta tiene los siguientes parmetros: Cuenta externa: El nombre de usuario o direccin de correo requerida para identificarse en el servicio externo de recuperacin de correo. Contrasea: Contrasea para autenticar la cuenta externa. Servidor de correo: Direccin del servidor de correo que hospeda la cuenta externa. Protocolo: Protocolo de recuperacin de correo usado por la cuenta externa; puede ser uno de los siguientes: POP3, POP3S, IMAP o IMAPS. Puerto: Puerto usado para conectar al servidor de correo externo.

Configuracin del correo externo en el user corner

[10] La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario. Lenguaje Sieve y protocolo ManageSieve El lenguaje Sieve [11] permite el control al usuario de cmo su correo es recibido, permitiendo, entre otras cosas, clasificarlo en carpetas IMAP, reenviarlo o responderlo automticamente con un mensaje por ausencia prolongada (o vacaciones). ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el cliente de correo pueda entender dicho protocolo [12].

Para usar ManageSieve en Zentyal debes activar el servicio en Correo General Opciones de servidor de correo -> Servicios de obtencin de correo y podr ser usado por todos los usuarios con cuenta de correo. Si ManageSieve est activado y el mdulo de correo web [13] en uso, el interfaz de gestin para scripts Sieve estar disponible en el correo web. La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est activado o no.

Servicio de correo web Introduccin al servicio de correo web


Zentyal integra Roundcube para implementar el servicio de webmail [1]. Roundcube est desarrollado con las ltimas tecnologas web, ofreciendo una experiencia de usuario superior a la de los clientes de webmail tradicionales. http://roundcube.net/

Configuracin del correo web con Zentyal


El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de Zentyal. Sin embargo, requiere que el mdulo de correo est configurado para usar IMAP, IMAPS o ambos adems de tener el mdulo webserver habilitado. Si no lo est, el servicio rehusar activarse. La configuracin de correo en Zentyal se explica de manera extensa en la seccin Servicio de correo electrnico (SMTP/POP3-IMAP4) y el mdulo web se explica en la seccin Servicio de publicacin de pginas web (HTTP). Opciones del correo web Podemos acceder a las opciones pulsando en la seccin Webmail de men izquierdo. Se puede establecer el titulo que usar el correo web para identificarse. Este titulo se mostrar en la pantalla de entrada y en los ttulos HTML de pgina.

Configuracin general de webmail

Entrar en el correo web


Para entrar en el correo web, primero necesitaremos que el trfico HTTP desde la direccin usada para conectar est permitido por el cortafuegos. La pantalla de entrada del correo web est disponible en http://[direccion del servidor]/webmail desde el navegador. A continuacin, se debe introducir su direccin de correo y su contrasea. Los alias no funcionarn, por tanto se debe usar la direccin real.

Acceso al correo web

Filtros Sieve
El correo web tambin incluye una interfaz para administrar filtros Sieve. Esta interfaz slo est disponible si el protocolo ManageSieve est activo en el servicio de correo. Visita la seccin Lenguaje Sieve y protocolo ManageSieve para obtener ms informacin.

Servicio de mensajera instantnea (Jabber/XMPP) Introduccin al servicio de mensajera instantnea


Zentyal usa Jabber/XMPP como protocolo de mensajera instantnea y el servidor XMPP ejabberd [3], integrando los usuarios de la red con las cuentas de Jabber. http://www.ejabberd.im/

Configuracin de un servidor Jabber/XMPP con Zentyal


Para configurar el servidor Jabber/XMPP en Zentyal, primero debemos comprobar en Estado del Mdulo si el mdulo

Usuarios y Grupos est habilitado, ya que Jabber depende de l. Entonces marcaremos la casilla Jabber para habilitar el mdulo de Zentyal de Jabber/XMPP. Para configurar el servicio, accederemos a Jabber en el men izquierdo, definiendo los siguientes parmetros:

Configuracin general del servicio Jabber

Dominio Jabber: Especifica el nombre de dominio del servidor. Esto har que las cuentas de los usuarios sean de la forma usuario@dominio. Soporte SSL: Especifica si las comunicaciones (autenticacin y mensajes) con el servidor sern cifradas o en texto plano. Podemos desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional ser en la configuracin del cliente Jabber donde se especifique si se quiere usar SSL. Conectarse a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. Si por el contrario queremos un servidor privado, slo para nuestra red interna, deber dejarse desmarcada. Activar MUC (Chat Multi Usuario): Habilita las salas de conferencias (conversaciones para ms de dos usuarios). Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si queremos crear una nueva cuenta o a Usuarios Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente.

Configuracin de cuenta Jabber de un usuario

Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos seleccionar si la cuenta est activada o desactivada. Adems, podemos especificar si el usuario en cuestin tendr privilegios de administrador. Los privilegios de administrador permiten ver los usuarios conectados al servidor, enviarles mensajes, configurar el mensaje mostrado al conectarse (MOTD, Message Of The Day) y enviar un anuncio a todos los usuarios conectados (broadcast).

Servicio de Voz sobre IP Introduccin a la Voz sobre IP


Zentyal usa Asterisk [6] para implementar el mdulo de Voz IP. Asterisk es una aplicacin exclusivamente software que funciona sobre cualquier servidor habitual proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar entre s distintos telfonos, a un proveedor de Voz IP, o bien a la red telefnica. Tambin ofrece servicios como buzn de voz, conferencias, respuesta interactiva de voz, etc. http://es.wikipedia.org/wiki/Asterisk

Configuracin de un servidor Voz IP con Zentyal


El mdulo de Voz IP de Zentyal permite gestionar un servidor Asterisk con los usuarios ya existentes en el servidor LDAP del sistema y con las funcionalidades ms habituales configuradas de una forma sencilla.

Esquema bsico del funcionamiento de la Voz IP

Como ya es habitual, en primer lugar deberemos habilitar el mdulo. Iremos a la seccin Estado del Mdulo del men de Zentyal y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el mdulo Usuarios y Grupos deber ser habilitado previamente ya que depende de l.

Pantalla de configuracin de la Voz Ip en Zentyal

A la configuracin general del servidor se accede a travs del men Voz IP General. Una vez all slo necesitamos configurar los siguientes parmetros generales: Habilitar extensiones demo: Habilita las extensiones 400, 500 y 600. Si llamamos a la extensin 400 podremos escuchar la msica de espera. Llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensin 600 se dispone de una prueba de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones nos permiten comprobar que nuestro cliente esta correctamente configurado.

Habilitar llamadas salientes: Habilita las llamadas salientes a travs del proveedor SIP que tengamos configurado para llamar a telfonos convencionales. Para realizar llamadas a travs del proveedor SIP tendremos que aadir un cero adicional antes del nmero a llamar, por ejemplo si queremos llamar a las oficinas de Zentyal (+34 976733506, o mejor 0034976733506), pulsaramos 00034976733506. Extensin de buzn de voz: Es la extensin donde podemos consultar nuestro buzn de voz. El usuario y la contrasea son la extensin adjudicada por Zentyal al crear el usuario o al asignrsela por primera vez. Se recomienda cambiar la contrasea inmediatamente desde el Rincn del Usuario [11]. La aplicacin que reside en esta extensin nos permite cambiar el mensaje de bienvenida a nuestro buzn, escuchar los mensajes en l y borrarlos. Esta extensin solamente es accesible por los usuarios de nuestro servidor, no aceptar llamadas entrantes de otros servidores por seguridad. El Rincn del Usuario se describe en la seccin Rincn del Usuario. Dominio Voz IP: Es el dominio que se asignar a las direcciones de nuestros usuarios. As pues un usuario usuario, que tenga una extensin 1122 podr ser llamado a usuario@dominio.tld o a 1122@dominio.tld. En la seccin de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor SIP para que Zentyal pueda redirigir las llamadas a travs de l: Proveedor: Si estamos usando Zentyal VoIP Credit [12], seleccionaremos esta opcin que preconfigurar el nombre del proveedor y el servidor. En otro caso usaremos Personalizado. Nombre: Identificador que se da al proveedor dentro de Zentyal. Nombre de usuario: Nombre de usuario del proveedor. Contrasea: Contrasea de usuario del proveedor. Servidor: Nombre de dominio del servidor del proveedor.

Destino de las llamadas entrantes: Extensin interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor. Puedes comprar Zentyal VoIP credit en la tienda de Zentyal si dispones de subscripcin Professional o Enterprise. En la seccin de Configuracin NAT definiremos la posicin en la red de nuestra mquina Zentyal. Si tiene una IP pblica la opcin por defecto Zentyal est tras NAT: No es correcta. Si tiene una IP privada deberemos indicar a Asterisk cul es la IP pblica que obtenemos al salir a Internet. En caso de tener una IP pblica fija simplemente la introduciremos en Direccin IP fija; si nuestra IP pblica es dinmica tendremos que configurar el servicio de DNS dinmico (DynDNS) de Zentyal disponible en Red DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre de mquina dinmico. En la seccin de Redes locales podremos aadir las redes locales a las que accedemos desde Zentyal sin hacer NAT, como pueden ser redes VPN, u otra serie de segmentos de red no configurados desde Zentyal como pudiera ser una red wireless. Esto es necesario debido al comportamiento del protocolo SIP en entornos con NAT. A la configuracin de las conferencias se accede a travs Voz IP Conferencias. Aqu podemos configurar salas de reunin multiconferencia. La extensin de estas salas deber residir en el rango 8001-8999 y podrn tener opcionalmente una contrasea de entrada, una contrasea administrativa y una descripcin. A estas extensiones se podr acceder desde cualquier servidor simplemente marcando extension@dominio.tld.

Pantalla del listado de conferencias

Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de Voz IP de este usuario y cambiar su extensin. Hay que tener en cuenta que una extensin slamente puede asignarse a un usuario y no a ms, si necesitas llamar a ms de un usuario desde una extensin ser necesario utilizar colas.

Gestin de la Voz IP para cada usuario

Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola es una extensin donde al recibir una llamada, se llama a todos los usuarios que pertenecen a este grupo.

Gestin de las colas de Voz IP por cada grupo

Uso de las funcionalidades de Voz IP de Zentyal Transferencia de llamadas


La transferencia de llamadas es muy sencilla. Durante el transcurso de una conversacin, pulsando # y despus introduciendo la extensin a dnde queremos reenviar la llamada podremos realizar una transferencia. En ese momento, podremos colgar ya que esta llamada estar marcando la extensin a donde ha sido transferida. Aparcamiento de llamadas El aparcamiento de llamadas se realiza sobre la extensin 700. Durante el transcurso de una conversacin, pulsaremos # y despus marcaremos 700. La extensin donde la llamada habr sido aparcada, ser anunciada a la parte llamada. Quien estaba llamando comenzar a escuchar la msica de espera, si est configurada. Podremos colgar en ese momento. Desde un telfono distinto u otro usuario distinto marcando la extensin anunciada podremos recoger la llamada aparcada y restablecer la conversacin. En Zentyal, el aparcamiento de llamadas soporta 20 conversaciones y el periodo mximo que una llamada puede esperar son 300 segundos.