You are on page 1of 242

eBox 1.

4 para Administradores de Redes
R EVISIÓN 1.4

E B OX

P LATFORM - F ORMACIÓN

http://www.ebox-technologies.com/
G UÍA
DEL ESTUDIANTE

eBox 1.4 para Administradores de Redes

Este Documento se distribuye bajo licencia Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5 ( http://creativecommons.org/licenses/by-sa/2.5/

es/ )

En este documento se han empleado imágenes de “Tango Desktop Project” distribuídas bajo Creative Commons Reconocimiento-Compartir bajo la misma licencia 2.5.

http://tango.freedesktop.org/

Contents

1 eBox Platform: servidor Linux para PYMEs 1.1 1.2 1.3 Presentación 1.2.1 1.3.1 1.3.2 1.3.3 1.4 1.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El instalador de eBox Platform . . . . . . . . . . . . . . . . . . . . . . . Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aplicando los cambios en la configuración . . . . . . . . . . . . . . . . . Configuración del estado de los módulos . . . . . . . . . . . . . . . . . . La interfaz web de administración . . . . . . . . . . . . . . . . . . . . . . . . . .

1 1 5 6 12 16 19 20 21 22 22 23 26 33 33 34 40 40 41 46 46 49 50 50 52 52 55

¿Cómo funciona eBox Platform? . . . . . . . . . . . . . . . . . . . . . . . . . . Emplazamiento en la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5.1 1.5.2 1.5.3 Configuración de la red local . . . . . . . . . . . . . . . . . . . . . . . . Configuración de red con eBox Platform . . . . . . . . . . . . . . . . . . Diagnóstico de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 eBox Infrastructure 2.1 2.2 Servicio de configuración de red (DHCP) . . . . . . . . . . . . . . . . . . . . . . 2.1.1 2.2.1 2.2.2 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 Configuración de un servidor DHCP con eBox . . . . . . . . . . . . . . . . Configuración de un servidor caché DNS con eBox . . . . . . . . . . . . . Configuración de un servidor DNS con eBox . . . . . . . . . . . . . . . . Servicio de resolución de nombres (DNS) . . . . . . . . . . . . . . . . . . . . . .

Servicio de publicación de información web (HTTP) . . . . . . . . . . . . . . . . . Hyper Text Transfer Protocol . . . . . . . . . . . . . . . . . . . . . . . . El servidor HTTP Apache . . . . . . . . . . . . . . . . . . . . . . . . . . Dominios virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuración de un servidor HTTP con eBox . . . . . . . . . . . . . . . . Configuración de un servidor NTP con eBox . . . . . . . . . . . . . . . .

Servicio de sincronización de hora (NTP) . . . . . . . . . . . . . . . . . . . . . .

3 eBox Gateway

i

3.1

Abstracciones de red a alto nivel de eBox . . . . . . . . . . . . . . . . . . . . . . 3.1.1 3.1.2 Objetos de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servicios de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . El cortafuegos en GNU/Linux: Netfilter . . . . . . . . . . . . . . . . . . . Modelo de seguridad de eBox . . . . . . . . . . . . . . . . . . . . . . .

55 56 57 60 60 61 66 66 71 73 75 75 76 78 79 80 80 82 84 85 85 91 91 92 100 100 100 101 101 104 107 109 110 114 115 121

3.2

Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 3.2.2

3.3

Encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 3.3.2 3.3.3 Tablas de encaminamiento . . . . . . . . . . . . . . . . . . . . . . . . . Reglas multirouter y balanceo de carga . . . . . . . . . . . . . . . . . . . Tolerancia a fallos (WAN Failover) . . . . . . . . . . . . . . . . . . . . . . Calidad de servicio (QoS) . . . . . . . . . . . . . . . . . . . . . . . . .

3.4

Moldeado de tráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 3.4.2 Configuración de la calidad de servicio en eBox . . . . . . . . . . . . . . . Configuración del servidor RADIUS con eBox . . . . . . . . . . . . . . . . Configuración del Punto de Acceso . . . . . . . . . . . . . . . . . . . . . Configuración de política de acceso . . . . . . . . . . . . . . . . . . . . . Conexión al proxy y modo transparente . . . . . . . . . . . . . . . . . . . Control de parámetros de la caché . . . . . . . . . . . . . . . . . . . . . Filtrado de contenidos web . . . . . . . . . . . . . . . . . . . . . . . . .

3.5

RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 3.5.2

3.6

Servicio Proxy HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.6.1 3.6.2 3.6.3 3.6.4

4 eBox Office 4.1 4.2 Servicio de directorio (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.3 4.4 Usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compartición de ficheros . . . . . . . . . . . . . . . . . . . . . . . . . . SMB/CIFS y su implementación Linux Samba . . . . . . . . . . . . . . . . Primary Domain Controller (PDC) . . . . . . . . . . . . . . . . . . . . . . eBox como servidor de ficheros . . . . . . . . . . . . . . . . . . . . . . . Configuración de clientes SMB/CIFS . . . . . . . . . . . . . . . . . . . . eBox como un servidor de autenticación . . . . . . . . . . . . . . . . . . Configuración de clientes PDC . . . . . . . . . . . . . . . . . . . . . . . Servicio de compartición de ficheros y de autenticación . . . . . . . . . . . . . . .

Servicio de compartición de impresoras . . . . . . . . . . . . . . . . . . . . . . . Servicio de groupware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Configuración de servicio de groupware con eBox . . . . . . . . . . . . . .

5 eBox Unified Communications 5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4) . . . . . . . . . . . . . . . .

121

ii

2. . . . . . . . . . . . . . . 6 eBox Unified Threat Manager 6. . . . . . . . . . . . .4. . . . . .7 5. .2 5. .1 5. Parámetros para ManageSieve .3. . . . . . . Configuración de un servidor Jabber/XMPP con eBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1. . . . . . . . . . . . . .4 6. . . . . . . .1. .2 6. . . . Configuración de un servidor SMTP/POP3-IMAP4 con eBox . . Configuración de una VPN con eBox . . .4 6. . . . . . . .1. . . . . . Configuración de un cliente Jabber . . . .3 6. . . . . Filtrado basado en grupos de usuarios para objetos . . . 122 124 124 131 132 132 133 135 136 137 138 139 145 149 150 150 151 151 155 159 162 165 165 166 175 176 178 178 178 179 180 182 182 183 184 189 199 Servicio de correo web . . . Configurando el correo web en eBox . . . . . . . .4 5. . . . . . . Protocolos . . . . . . Parámetros SMTP . . . . . . .2 5. . . . . . .3 5. . . . . . .3. . . . . . . . . . . . . . . .2 6. . . . . . . . . . .3. . . . . . . . . . . . . . . . . Sistema de Detección de Intrusos (IDS) iii . . . . . . . Interconexión segura entre redes locales . . . . . . .1 Filtrado de correo electrónico . . . . . . . . . . . . . Parámetros IMAP . . . . . . . . . . . . . . .1 6. . . . . . . .1 5. . . . . . . . . . . . . . . . . . . . . . . . . .3 5. . . . . . . . . . . . . . . . . . . . . . .4 5. . . . .4 Esquema del filtrado de correo de eBox . .3 6. . . . . .4 5. . . . . . . . . . . . . .1 5. . . . . . . . . . Usando las funcionalidades de eBox Voz IP . . . . . . Ejemplo práctico . . . . .1. Configurando salas de conferencia Jabber . . . . . . . . Filtrado basado en grupos de usuarios . . . . . . . . . . Configuración Avanzada para el proxy HTTP . . . . . . . . .2 6. .1. . Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) Configuración de una Autoridad de Certificación con eBox .5. . . . .2 5. . . . . .2 5. . .3. . . . . . . . . . . .1 5. . . . . . . . . . .3 6. . . . . . . . . . . .3. . . 6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Parámetros POP3 . . . . . . .6 Cómo funciona el correo electrónico en Internet . . . . . . . Servicio de mensajería instantánea (Jabber/XMPP) . . . . . . . .6 5. . Configurando un softphone para conectar a eBox . . . . . . .2. . . . . . . . . . . . . . . . . . Recibiendo y retransmitiendo correo . . Configuración de perfiles de filtrado . . . . . . .3.1 6.2 6. . .1 6. . . . . . .4. . . . . .3 6. . . . .4. . . . . .1. . . Servicio de Voz sobre IP . . . . . Perfil de filtrado por objeto . . . . . . . . . .3. Proxy transparente para buzones de correo POP3 . . . . . . . . . . . . . Listas de control de conexiones externas . Configuración de un servidor Asterisk con eBox . . . . . .1. . Redes privadas virtuales (VPN) . . . . . . . . . . . . . . . . . .1. . . . .5 5. . . . . . . . . . . . . . . Despliegue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2. . . . .2. . . .4.4. .2. . . . . . . . . . . . . . . . .4 5. . . .1. . . . . . . . . . . . . .3. . . . . . . .1. . . . .3 5. .5 5. .4. . . . . . . . . . . . . . . . . . . . . . . . .3 5. . . . . . . . . . . . . . . . . . . . . . . Códecs . .

6. . . . . . . . . . . . . . . . . . . .1 6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 7.6. . Como recuperarse de un desastre . . . . . . . . .6 Cliente del Centro de Control . . . . . . . . . . . . . . . . 7. . . . . . . . . . . . . . . . .3. . . . . . . . . . . .4. Diseño de un sistema de copias de seguridad .4. . . . . . . .2. . . . . . . . . . . . . . . . . . . . .5. . . .5 Actualización de software 7.4. . . . . .2 7 eBox Core 7. .2 iv . . . . . Configuración de las copias de seguridad con eBox . . . . . . . . . Alertas del IDS . . . . . . . . . . . . . . . . . 199 201 203 Registros 7. . . . . . . . . . . . .1 7. .1 7. . .3 7. . . . .6. . . . .4.1 7. . . . . . . . . . . 7. . . . . . . . .4. .3 7. . .2. . . . . . 203 205 209 210 214 215 218 219 219 220 225 228 230 230 231 232 234 234 235 Configuración de registros . . . . . . . . . . . . . . . . . .2 Configuración de un IDS con eBox . . . . . . . . . . . . . . . . .2 7. . . . . . . . . . . . . . . . . . . . . . . . Copias de seguridad de la configuración Gestión de componentes de eBox Actualizaciones del sistema Monitorización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. . .5. . . . . . . . . .5. . . . . . . . . . . . . . . . . . . . . . . Ejemplo práctico . . . .1 7.3 . . . . . . . . . . Métricas . . . . . . .1 7. . . . . . . 7. . . . . . . Copia de seguridad de la configuración al Centro de Control . . . . . . . . . . . . . . . . .1. . . . Actualizaciones automáticas . . . . . . . . . . . . . . . .2 . . . . . . . . . . . . . . . Alertas . 7. . . . . . . . . . . . . . . . . . . . Subscribir eBox al Centro de Control . . . . . . . . . . . . . . . . . . . . . . .4 Incidencias (eventos y alertas) . . . . .1 7.4 Copias de seguridad . .4.2 7. . . . . .

consistentes por lo general en soluciones sobredimensionadas a sus necesidades reales y con elevados costes de licencia. Sin emabrgo.1 Presentación Aunque las PYMEs constituyen la inmensa mayoría del tejido empresarial mundial. de igual manera que otras tecnologías disruptivas. flexible y de bajo coste que pueda ser soportada por una multitud de proveedores externos potenciales. De hecho. Spamassasin. Snort. sin que tampoco tuvieran alternativas de gestión de redes que integrasen todos los componentes necesarios y que fueran sencillas de administrar. ¿Por qué? Linux. eGroupware. esto ha significado que hasta ahora las PYMEs han dispuesto de pocas opciones donde elegir. combinado con otras herramientas de software libre para la gestión de redes (Samba. siendo Microsoft el principal actor del mercado con Windows Small Business Server. Postfix. empezaron ofreciendo un nivel de funcionalidad menor que sus alternativas en software propietario. escalable. puesto que aportan una gran ventaja en precio (de hecho. son gratis). el uso de Linux como servidor de PYME es ínfimo. Squid.Chapter 1 eBox Platform: servidor Linux para PYMEs 1. Linux parece ser una opción perfecta como servidor para PYMEs. ClamAV. Pero han evolucionado y las han alcanzado o incluso superado en muchos mercados (cerca del 90% de los supercomputadores 1 . etc) tiene un potencial disruptivo enorme en el mercado de servidores para PYMEs. Además. sorprendentemente suelen carecer de soluciones tecnológicas que se ajusten a sus necesidades o recursos (humanos. monetarios o técnicos) disponibles. En el mercado de los servidores. Aparentemente es una buena oportunidad para que el software libre entre en el mercado con una solución potente. gestionando la totalidad de la infraestructura de red y comunicaciones de organizaciones pequeñas.

a pesar de estas condiciones. eBox Platform es un software de código abierto. existen decenas de miles de implantaciones en todo el mundo.500 colaboradores activos. siendo Estados Unidos. Además. superando las 12. lo que es un buen indicador del nivel de calidad que ha alcanzado esta tecnología). eBox Platform es un servidor Linux para PYMEs. los recursos compartidos o las comunicaciones. Estas características pueden desplegarse en distintas máquinas o en un único servidor. tales como el acceso a Internet. lo que ayuda a aumentar su difusión y credibilidad como producto tecnológico. Las PYMEs no disponen de los recursos ni del tiempo para desplegar soluciones complejas de altas prestaciones. Italia y Brasil los países que cuentan con más instalaciones. las soluciones de software libre tienen una presencia muy reducida como servidores de PYMEs. un producto alojado en la nube que permite la administración y monitorización centralizada. eBox Platform permite a profesionales TIC y a proveedores de servicios gestionados administrar todos los servicios de una red informática. Además.000 descargas mensuales y con una comunidad de unos 2. La razón es sencilla: para que una solución de servidor sea adoptada en una PYME necesita que todos sus componentes estén estrechamente integrados y que sea fácil de administrar. En este panorama. Sin embargo. a través de una única plataforma. Es aquí donde una solución como eBox Platform (<http://ebox-platform. pero también en otros entornos como centros educativos.com/>) encuentra su encaje en el mercado. llamado eBox Control Center. Alemania. eligiendo para cada caso la combinación funcional y de hardware más conveniente. eBox Platform aumenta significativamente la capacidad de estos recursos. España. Igualmente. hospitales o incluso en instituciones de alto prestigio como la propia NASA. el cual se puede descargar libremente de Internet. Los diversos despliegues de eBox Platform pueden ser gestionados desde un punto central. Todas estas características son de gran importancia para los departamentos TIC de PYMEs y proveedores de servicio técnico. permitiendo disminuir la curva de aprendizaje de los nuevos administradores de sistemas. la seguridad y la infraestructura de la red.4 para Administradores de Redes del mundo funcionan con Linux. posibilita la progra- 2 . la alternativa en software libre a Windows Small Business Server. automatizando la mayoría de las tareas y ahorrando tiempo en la administración de sistemas. ya que tienen que hacerse cargo de un cada vez mayor tráfico de redes y crecientes demandas de fiabilidad. eBox Platform es parte integral de la distribución Ubuntu desde hace tres años. Basado en Ubuntu. eliminar riesgos de cometer errores de configuración y aumentar la seguridad de los sistemas automatizando la mayoría de las tareas. por lo que productos bien integrados como el SBS de Microsoft cubren bien las necesidades tecnológicas de las PYMEs. segura y a tiempo real de múltiples redes eBox. Su uso está extendido a prácticamente todos los países del globo.eBox 1. ahorrar tiempo de los profesionales experimentados. Todas estas funcionalidades están estrechamente integradas. administraciones públicas. eBox Platform se usa principalmente en PYMEs. Actualmente. seguridad y servicios adicionales con recursos mínimos.

llegando a un nivel de integración que alcanza todos los aspectos que influyen en la gestión de redes.4 de eBox Platform.1Q) * Soporte para múltiples puertas de enlace.CHAPTER 1. además de soporte técnico y formación certificada. balanceo de carga y auto-adaptación ante la pérdida de conectividad. Adicionalmente. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES mación de tareas para grupos de redes. Este manual describe las principales características técnicas incluidas en la versión 1. tanto de forma directa como a través de su red Global de Partners. la aplicación masiva de actualizaciones de seguridad o la realización de informes de actividad periódicos. eBox Platform junto con eBox Control Center y los servicios remotos asociados constituyen una solución muy atractiva tanto para las PYMEs como para proveedores de servicios gestionados (MSPs) y revendedores de valor añadido (VARs) puesto que pueden obtener toda la tecnología y servicios necesarios para gestionar de forma sencilla sus redes y las de sus clientes desde un único proveedor. eBox Technologies es la empresa detrás del desarrollo y comercialización de eBox Platform y sus productos y servicios asociados. basando su modelo de negocio en la subscripción a eBox Control Center y a los servicios remotos asociados. * Moldeado de tráfico (soportando filtrado a nivel de aplicación) * RADIUS * Monitorización de tráfico * Soporte de DNS dinámico – Objetos y servicios de red de alto nivel – Infraestructura de red * Servidor DHCP 3 . a través de eBox Control Center se ofrecen una serie de servicios de subscripción complementarios. incluyendo los siguientes servicios: • Gestión de redes: – Cortafuegos y encaminador * Filtrado de tráfico * NAT y redirección de puertos * Redes locales virtuales (VLAN 802. como pueden ser backup remoto y seguro de datos para la recuperación rápida de desastres o la contratación de crédito VoIP para la realización de llamadas a bajo coste a cualquier teléfono del mundo a través de eBox como centralita telefónica.

4 para Administradores de Redes * Servidor DNS * Servidor NTP – Redes privadas virtuales (VPN) * Auto-configuración dinámica de rutas – Proxy HTTP * Caché * Autenticación de usuarios * Filtrado de contenido (con listas categorizadas) * Antivirus transparente – Servidor de correo * Filtro de Spam y Antivirus * Filtro transparente de POP3 * Listas blancas. . – Servidor de VozIP * Buzón de voz 4 . negras y grises * Servicio de correo web – Servidor web * Dominios virtuales – Sistema de Detección de Intrusos (IDS) – Autoridad de Certificación • Trabajo en grupo: – Directorio compartido usando LDAP (Windows/Linux/Mac) * Autenticación compartida (incluyendo PDC de Windows) – Almacenamiento compartido actuando como NAS (almacenamiento pegado a la red) – Impresoras compartidas – Servidor de Groupware: calendarios.. agendas.eBox 1..

CHAPTER 1. exclusiva. sobremesa y servidores <http://www. en principio. carga. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES * Conferencias * Llamadas a través de proveedor externo – Servidor de mensajería instantánea (Jabber/XMPP) * Conferencias – Rincón del usuario para que estos puedan modificar sus datos • Informes y monitorización – Dashboard para tener la información de los servicios centralizada – Monitorización de disco. correo y subscripción de noticias (RSS) • Gestión de la máquina: – Copia de seguridad de configuración y datos – Actualizaciones – Centro de control para administrar y monitorizar fácilmente varias máquinas eBox desde un único punto 1 1. memoria.ebox-technologies. 3 Cuyo soporte es mayor que en una versión normal y para la versión para servidores llega a los 5 años. semanales. temperatura y CPU de la máquina – Estado del RAID por software e información del uso de disco duro – Registros de los servicios de red en BBDD. 5 .com/products/controlcenter/. permitiendo la realización de informes diarios. Funciona sobre el sistema operativo GNU/Linux con la distribución Ubuntu Server Edition 3 2 ver- sión estable Long Term Support (LTS) .com/>. Ubuntu es una distribución de GNU/Linux desarrollada por Canonical y la comunidad orientada a ordenadores portátiles.ubuntu. mensuales y anuales – Sistema de monitorización a través de eventos * Notificación vía Jabber. Esto no impide que se puedan instalar otros servicios no gestionados a través de la interfaz que deberán ser configurados manualmente.2 Instalación eBox Platform está pensada para su instalación en una máquina (real o virtual) de forma. La instalación puede realizarse de dos maneras diferentes: 1 2 Para más información sobre este servicio ir a http://www.

La mayoría de los usuarios deberían elegir la opción por omisión a no ser que estén instalando en un servidor con requisitos especiales. 6 . Tras instalar el sistema base y reiniciar. como por ejemplo RAID por software.1 El instalador de eBox Platform El instalador de eBox Platform está basado en el instalador de Ubuntu así que el proceso de instalación resultará muy familiar a quien ya lo conozca. En el segundo caso es necesario añadir los repositorios oficiales de eBox Platform y proceder a instalar eBox con aquellos paquetes que se deseen.4 para Administradores de Redes • Usando el instalador de eBox Platform (opción recomendada). El primer paso será crear un usuario en el sistema. Este usuario podrá entrar en el sistema y tendrá privilegios de administrador mediante el comando sudo. en el primer caso se facilita la instalación y despliegue de eBox Platform ya que se encuentran todas las dependencias en un sólo CD y además se realizan algunas preconfiguraciones durante el proceso de instalación. • Instalando a partir de una instalación de Ubuntu Server Edition.2.eBox 1. comenzará la instalación de eBox Platform. Figure 1.1: Selección del idioma Podemos instalar utilizando la opción por omisión que elimina todo el contenido del disco duro y crea las particiones necesarias para eBox usando LVM y realizando menos preguntas. 1. Sin embargo. También podemos seleccionar la opción expert mode que permite realizar un particionado personalizado.

CHAPTER 1.2: Pantalla de inicio del instalador Figure 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.3: Usuario administrador 7 .

Si algún paquete tiene como dependencia otro.4: Contraseña administrativa Se preguntará de nuevo la contraseña para confirmar que no ha habido ninguna equivación al teclearla. 8 .4 para Administradores de Redes Después preguntará la contraseña para este usuario recién creado.5: Confirmar contraseña administrativa Ahora podremos seleccionar que funcionalidades queremos incluir en nuestro sistema.eBox 1. Figure 1. Avanzado: Se seleccionarán los paquetes de manera individualizada. posteriormente se seleccionará automáticamente. Figure 1. Esta contraseña además se usará para identificarse en la interfaz de eBox. Existen dos métodos para esta selección: Simple: Se instalarán un conjunto de paquetes que agrupan una serie de funcionalidades según la tarea que vaya a desempeñar el servidor.

NTP.CHAPTER 1. Como se puede observar en la figura Perfiles de eBox a instalar dicha lista concuerda con los apartados siguientes de este manual. eBox Unified Threat Manager: eBox protege la red local contra ataques externos. contactos. autenticación. eBox Infrastructure: eBox gestiona la infraestructura de la red local con los servicios básicos: DHCP. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1. 9 . servidor HTTP.7: Perfiles de eBox a instalar eBox Gateway: eBox es la puerta de enlace de la red local ofreciendo un acceso a Internet seguro y controlado. calendarios. impresoras. aparecerá la lista de perfiles disponibles. intrusiones. etc. Figure 1.6: Método de instalación de paquetes Si la selección es simple. eBox Office: eBox es el servidor de recursos compartidos de la red local: ficheros. perfiles de usuarios y grupos. etc. amenazas en la seguridad interna y posibilita la interconexión segura entre redes locales a través de Internet u otra red externa. DNS.

El instalador tratará de preconfigurar algunos parámetros importantes dentro de la configuración. entonces aparecerá la larga lista de módulos de eBox Platform y se podrán seleccionar individualmente aquellos que se necesiten.4 para Administradores de Redes eBox Unified Communications: eBox se convierte en el centro de comunicaciones de la empresa incluyendo correo. es decir. Una vez seleccionados los componentes a instalar. elegiremos Avanzado. Además esta selección no es definitiva.8: Paquetes de eBox a instalar Al terminar la selección. Se aplicarán políticas estrictas para 10 . si va a ser utilizada para conectarse a Internet u otras redes externas. Si por el contrario estamos desplegando una infraestructura maestro-esclavo o si queremos sincronizar los usuarios con un Microsoft Windows Active Directory. pudiendo posteriormente instalar y desinstalar paquetes según se necesite. Podemos seleccionar varios perfiles para hacer que eBox tenga. Primero tendremos que seleccionar el tipo de servidor para el modo de operación de Usuarios y Grupos. mensajería instantánea y voz sobre IP. si alguna de las interfaces de red es externa a la red local. Figure 1. diferentes roles en la red.eBox 1. se instalarán también los paquetes adicionales necesarios. de forma simultánea. Sin embargo. También preguntará. Este paso aparecerá solamente si el módulo usuarios y grupos está instalado. Si sólo vamos a tener un servidor elegiremos Un sólo servidor. si el método seleccionado es avanzado. comenzará la instalación que irá informando de su estado con una barra de progreso.

9: Instalando eBox Platform Figure 1.10: Tipo de servidor 11 . EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.CHAPTER 1.

12 . 1. Una vez terminado el proceso de instalación de eBox Platform.4 para Administradores de Redes todo el tráfico entrante a través de interfaces de red externas. seguiremos con la configuración del correo. Este paso aparecerá solamente si el módulo de red está instalado y el servidor tiene más de una interfaz de red. Una vez hayan sido respondidas estas preguntas. la dirección para acceder a la interfaz web de administración. Este paso solo presentará si hemos instalado el módulo de correo. desde cualquier máquina de la red interna.3 La interfaz web de administración Una vez instalado eBox Platform.eBox 1. definiendo el principal dominio virtual. se realizará la preconfiguración de cada uno de los módulos instalados preparados para su utilización desde la interfaz web. Figure 1.11: Selección de la interfaz de red externa Después. es: https://direccion_de_red/ebox/ Donde direccion_de_red es la dirección IP o el nombre de la máquina donde está instalado eBox que resuelve a esa dirección. obtendremos un interfaz gráfico con un navegador para autenticarnos en la interfaz web de administración de eBox utilizando la contraseña introducida en los primeros pasos del instalador.

12: Configuración del servidor de correo Figure 1.CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.13: Preconfiguración de los paquetes 13 .

eBox 1. 14 . Cuando se ha seleccionado algún servicio en este menú puede aparecer un submenú para configurar cuestiones particulares de dicho servicio.4 para Administradores de Redes Figure 1. Menú superior: Contiene las acciones para guardar los cambios realizados en el contenido y hacerlos efectivos. La primera pantalla solicita la contraseña del administrador: Tras autenticarse aparece la interfaz de administración que se encuentra dividida en tres partes fundamentales: Menú lateral izquierdo: Contiene los enlaces a todos los servicios que se pueden configurar mediante eBox Platform. ya que otros navegadores como Microsoft Internet Explorer pueden dar problemas.14: Interfaz web de administración de eBox Warning: Para acceder a la interfaz web se debe usar Mozilla Firefox. separados por categorías. así como para el cierre de sesión.

16: Menú lateral izquierdo 15 .CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.15: Pantalla principal Figure 1.

18: Formulario de configuración 1.eBox 1. Para añadir uno nuevo. En ocasiones. Figure 1. que ocupa la parte central.17: Menú superior Contenido principal: El contenido. permitiendo retirar y añadir nuevos widgets. aparecerá una barra de pestañas en la que cada pestaña representará una subsección diferente dentro de la sección a la que hemos accedido. comprende uno o varios formularios o tablas con información acerca de la configuración del servicio seleccionado a través del menú lateral izquierdo y sus submenús.1 Dashboard El dashboard es la pantalla inicial de la interfaz. 16 . Pulsando en Configurar Widgets la interfaz cambia. Estado de los módulos Hay un widget muy importante dentro del dashboard que muestra el estado de todos los módulos instalados en eBox.4 para Administradores de Redes Figure 1. en la parte superior. En todo momento se pueden reorganizar pulsando en los títulos y arrastrándolos.3. se busca en el menú superior y se arrastra a la parte central. Contiene una serie de widgets configurables.

20: Configuración del dashboard 17 . EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.CHAPTER 1.19: Dashboard Figure 1.

4 para Administradores de Redes Figure 1.21: Widget de estado de los módulos 18 .eBox 1.

Ejecutándose sin ser gestionado: Si no has configurado el servicio todavía. Se puede intentar iniciar el servicio pinchando en Arrancar. pero para que estos cambios sean efectivos y se apliquen de forma permanente se tendrá que presionar Guardar Cambios del menú superior. Parado: Ha ocurrido algún problema ya que el servicio debería estar ejecutándose pero está parado por alguna razón. 19 . Se puede reiniciar el servicio usando Reiniciar. primero se tendrán que aceptar los cambios en el formulario actual. Existen algunos casos especiales en los que no es necesario guardar los cambios pero se avisa adecuadamente.CHAPTER 1. Por tanto si has cambiado algo que no recuerdas o no estás seguro de hacerlo. se pueden revertir los cambios. Para recuperarla quizás debas reescribir la URL en el navegador. se deberían comprobar los ficheros de registro para el servicio o el fichero de registro de eBox mismo como describe la sección ¿Cómo funciona eBox Platform?. 1. puedes perder la conexión con eBox. no es gestionado por eBox hasta el momento. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES La imagen muestra el estado para un servicio y una acción que se puede ejecutar sobre él.3. Por tanto. Para ello. es posible encontrarlo ejecutando con la configuración por defecto de la distribución. Ten en cuenta que si modificas la configuración de las interfaces de red o el puerto de administración. Deshabilitado: El servicio ha sido deshabilitado explícitamente por el administrador como se explica en Configuración del estado de los módulos. Los estados disponibles son los siguientes: Ejecutándose: Los demonios del servicio se están ejecutando para aceptar conexiones de los clientes. siempre puedes descartar los cambios de manera segura.22: Guardar Cambios Además de esto. Figure 1. Si no se sigue este procedimiento se perderán todos los cambios que se hayan realizado a lo largo de la sesión al finalizar ésta. Para descubrirla. Este botón cambiará a color rojo para indicarnos que hay cambios sin guardar.2 Aplicando los cambios en la configuración Una particularidad importante del funcionamiento de eBox Platform es su forma de hacer efectivas las configuraciones que hagamos en la interfaz.

eBox 1.3.org/doc/debian-policy/ 20 . Dicha configuración se realiza una vez por módulo. Habilitar un módulo por primera vez es conocido dentro de la jerga eBox como configurar un módulo. Si es la primera vez. El objetivo de la mayoría de módulos es gestionar servicios de red que debes habilitar a través de Estado del módulo. eBox se construye modularmente.debian. el servicio DHCP necesita que el módulo de red esté habilitado para que pueda ofrecer direcciones IP a través de las interfaces de red configuradas. puedes guardar los cambios para llevar a acabo las modificaciones.4 para Administradores de Redes 1.23: Configuración del estado de los módulos Cada módulo puede tener dependencias sobre otros para que funcione.3 Configuración del estado de los módulos Como se ha discutido previamente. se presenta un diálogo para completar una serie de acciones y modificaciones a ficheros que implica la activación del módulo 4 . 4 Este proceso es obligatorio para cumplir la política de Debian/Ubuntu http://www. Figure 1. Por tanto. las dependencias se muestran en la columna Depende. habilitas o deshabilitas el módulo. Por ejemplo. Tras ello. Seleccionando la columna Estado.

Para ello utiliza un sistema de plantillas.net. Por tanto. no se deben editar Para mostrar la magnitud del proyecto.net/p/ebox/analyses/latest>. 5 21 . Con esta automatización se evitan los posibles errores cometidos de forma manual y ahorra a los administradores el tener que conocer los detalles de cada uno de los formatos de los ficheros de configuración de cada servicio. Toda la configuración de cada uno de los servicios es escrita por eBox de manera automática. podemos consultar el sitio independiente ohloh. donde se hace un análisis extenso al código de eBox Platform en <http://www.24: Diálogo de confirmación para configurar un módulo 1.4 ¿Cómo funciona eBox Platform? EBox Platform no es sólo una interfaz web que sirve para administrar los servicios de red más comunes 5 .ohloh.CHAPTER 1. Entre sus principales funciones destaca el dar cohesión y unicidad a un conjunto de servicios de red que de lo contrario funcionarían de forma independiente. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.

4 para Administradores de Redes los ficheros de configuración originales del sistema ya que se sobreescribirían al guardar cambios al estar gestionados automáticamente por eBox.d/ebox apache restart. /var/log/ebox/error. 1. Los informes de los eventos y posibles errores de eBox se almacenan en el directorio /var/log/ebox/ y se distribuyen en los siguientes ficheros: /var/log/ebox/ebox.5.eBox 1. • Servidor de los distintos servicios de red. 22 .conf.5 Emplazamiento en la red 1. A lo largo de esta documentación se verá cómo configurar eBox Platform para desempeñar un papel de puerta de enlace y encaminador. La figura Distintas ubicaciones en la red escenifica las distintas ubicaciones que puede tomar el servidor con eBox Platform dentro de la red. Tras habilitar esta opción se deberá reiniciar el servidor web de la interfaz mediante sudo /etc/init. Si se quiere aumentar la información sobre algún error que se haya producido. Y por supuesto también veremos la configuración en los casos que actúe como un servidor más dentro de la red. tanto haciendo nexo de unión entre redes como un servidor dentro de la propia red. Ambas funcionalidades pueden combinarse en una misma máquina o separarse en varias.1 Configuración de la red local eBox Platform puede utilizarse de dos maneras fundamentales: • Encaminador y filtro de la conexión a internet.log: Los errores relacionados con eBox Platform.log: Los errores relacionados con el servidor web de la interfaz.log: Los accesos al servidor web de la interfaz. se puede habilitar el modo de depuración de errores a través de la opción debug en el fichero /etc/ebox/99ebox. /var/log/ebox/access.

lo más probable es que se nos asigne una dirección IP a través del protocolo DHCP. Figure 1. Si no se dispone de un router con soporte PPPoE. para la creación de redes VLAN. eBox puede gestionar también este tipo de conexiones.1Q. solo hay que seleccionar PPPoE como Método e introducir el Nombre de usuario y Contraseña proporcionado por el proveedor de ADSL.2 Configuración de red con eBox Platform Si colocamos el servidor en el interior de una red.CHAPTER 1.25: Distintas ubicaciones en la red 1.26: Configuración de interfaces de red Si configuramos la interfaz como estática podemos asociar una o más Interfaces Virtuales a dicha interfaz real para servir direcciones IP adicionales con lo que se podría atender a diferentes redes o a la misma con diferente dirección. 23 .5. Para ello. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1. A través de Red → Interfaces se puede acceder a cada una de las tarjetas de red detectadas por el sistema y se puede configurar de manera estática (dirección configurada manualmente). dinámica (dirección configurada por DHCP) o como Trunk 802.

28: Configuración PPPoE de interfaces de red 24 .27: Configuración estática de interfaces de red Figure 1.eBox 1.4 para Administradores de Redes Figure 1.

eBox da soporte para conectar con algunos de los proveedores de DNS dinámico más populares. se necesita un proveedor de DNS dinámico. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Para que eBox sea capaz de resolver nombres de dominio debemos indicarle la dirección de uno o varios servidores de nombres en Red → DNS. Sólo resta Activar DNS Dinámico y Guardar Cambios. Figure 1. Figure 1.29: Configuración de servidores DNS Si tu conexión a Internet tiene una IP pública dinámica y quieres que un nombre de dominio apunte a ella. Para configurar un nombre de DNS dinámico en eBox desde Red → DynDNS selecciona el proveedor del servicio y configura el nombre de usuario.30: Configuración de DNS Dinámico 25 . contraseña y nombre de dominio que queremos actualizar cuando la dirección pública cambie.CHAPTER 1.

31: Herramientas de diagnóstico de redes ping es una herramienta que utiliza el protocolo de diagnóstico de redes ICMP para observar la conectividad hasta una máquina remota mediante una sencilla conversación entre ambas. Ejemplo práctico A Vamos a configurar eBox para que obtenga la configuración de la red mediante DHCP. → Diag- Figure 1. Si estamos utilizando esta funcionalidad en un escenario con multirouter 6 . 1.3 Diagnóstico de redes Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red nóstico.4 para Administradores de Redes eBox se conecta al proveedor para conseguir la dirección IP pública evitando cualquier traducción de dirección red que haya entre nosotros e Internet.eBox 1. Para ello: 6 Consultar Reglas multirouter y balanceo de carga para obtener más detalles.5. no hay que olvidar crear una regla que haga que las conexiones al proveedor use siempre la misma puerta de enlace. Y también contamos con la herramienta dig que se utiliza para comprobar el correcto funcionamiento del servicio de resolución de nombres. 26 . Adicionalmente disponemos de la herramienta traceroute que se encarga de trazar los paquetes encaminados a través de las distintas redes hasta llegar a una máquina remota determinada. Con esta herramienta podemos ver el camino que siguen los paquetes para diagnósticos más avanzados.

CHAPTER 1. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.32: Herramienta ping 27 .

eBox 1.33: Herramienta traceroute 28 .4 para Administradores de Redes Figure 1.

34: Herramienta dig 29 . EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Figure 1.CHAPTER 1.

Acción: Acceder a la interfaz de eBox.com. 6.eBox 1. Acción: Entrar en Estado del módulo y activar el módulo Red. Acción: Acceder a Red technologies. Ejecutar traceroute hacia ebox- 30 .4 para Administradores de Redes 1. Una vez que ha terminado lo muestra. entrar en Red → Interfaces y seleccionar para la interfaz de red eth0 el Método DHCP. Hacer ping a ebox-platform. Acción: Acceder a Red → Herramientas de Diagnóstico. Acción: Acceder a Red → Herramientas de Diagnóstico. Efecto: eBox muestra el progreso mientras aplica los cambios. Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos introducidos. 3. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con el servidor de internet. Efecto: Se muestra como resultado la serie de máquinas que un paquete recorre hasta llegar a la máquina destino. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos. Pulsar el botón Cambiar. 7. Acción: Guardar los cambios. → Herramientas Diagnóstico. Efecto: Se ha activado el botón Guardar Cambios y algunos módulos que dependen de red ahora pueden ser activados. 5. para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para sobreescribir algunos ficheros.com. Hacer ping a una eBox de un compañero de aula. 4. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. Ahora eBox gestiona la configuración de la red.

De todas maneras. EBOX PLATFORM: SERVIDOR LINUX PARA PYMES Ejemplo práctico B Para el resto de ejercicios del manual es una buena práctica habilitar los registros. → 31 . Puedes echar un vistazo en Registros Consultar registros. Efecto: eBox solicita permiso para realizar una serie de acciones. para ello marcar su casilla en la columna Estado. 3. Acción: Guardar los cambios. Una vez que ha terminado lo muestra. en la sección Registros. Acción: Acceder a la interfaz de eBox. Acción: Leer los acciones que va a realizar eBox y aceptarlas. Para ello: 1. Efecto: Se ha activado el botón Guardar Cambios. entrar en Estado del módulo y activar el módulo Registros. Ahora eBox tiene los registros activados.CHAPTER 1. Efecto: eBox muestra el progreso mientras aplica los cambios. 2.

eBox 1.4 para Administradores de Redes 32 .

El servicio de DHCP es ampliamente utilizado para configurar automáticamente diversos parámetros de red como pueden ser la dirección IP de una máquina. La configuración de dichos servicios requiere un esfuerzo importante.1 Servicio de configuración de red (DHCP) Como hemos comentado. en muchas empresas se utilizan aplicaciones Web a las que sólo se tiene acceso de manera interna. la auto-configuración de red en los clientes. Sin embargo. la publicación de sitios Web internos y la sincronización de la hora via Internet.isc. DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir y obtener una dirección IP desde un servidor que tiene una lista de direcciones disponibles para asignar. 2. Además.Chapter 2 eBox Infrastructure En este apartado explicaremos varios de los servicios para gestionar y optimizar el tráfico interno y la infraestructura de una red local. las direcciones IP de los servidores de nombres o el dominio 1 eBox usa “ISC DHCP Software” (https://www. eBox facilita enormemente esta tarea. incluyendo la gestión de dominio. El servicio de DNS permite acceder a servicios y máquinas utilizando nombres en lugar de direcciones IP. la máscara de red. las cuales son más difíciles de memorizar. o la puerta de enlace o gateway que utilizará para alcanzar Internet. El servicio DHCP 1 se usa también para obtener otros muchos parámetros tales como la puerta de enlace por defecto.org/software/dhcp) para configurar el servicio de DHCP 33 .

Por ejemplo. Como hemos dicho. Podemos escribir el dominio de búsqueda. Su valor puede ser eBox. El servidor DHCP responde a esa petición con una dirección IP. se facilita el acceso a la red sin la necesidad de una configuración manual por parte del cliente. El servidor guarda una tabla con las asignaciones anteriores para intentar volver a asignar la misma IP a un cliente en sucesivas peticiones.eBox 1. Existen dos métodos de asignación de direcciones: Manual: La asignación se hace a partir de una tabla de correspondencia entre direcciones físicas (MAC) y direcciones IP. estos parámetros se pueden configurar en la pestaña de Opciones comunes. Una vez la tenemos.dominio.dominio.4 para Administradores de Redes de búsqueda entre otros. o podemos seleccionar uno que se haya configurado en el servicio de DNS.dominio. una puerta de enlace ya configurada en el apartado Red → Routers o una dirección IP personalizada. De esta manera. Cuando un cliente DHCP se conecta a la red envía una petición de difusión (broadcast).com.sub. su tiempo de concesión y los otros parámetros explicados previamente. cuando se intente resolver un nombre de dominio sin éxito. De esta forma. se intentará de nuevo añadiéndole el dominio de búsqueda al final o partes de ese dominio. 2. Dominio de búsqueda: En una red cuyas máquinas estuvieran nombradas siguiendo la forma <máquina>. Dinámica: El administrador de la red asigna un rango de direcciones IP por un proceso de petición y concesión que usa el concepto de alquiler con un período controlado de tiempo en el que la IP concedida es válida. si smtp no se puede resolver como dominio.com en la máquina cliente. La petición suele suceder durante el período de arranque del cliente y debe completarse antes de seguir con el arranque del resto de servicios de red. se necesita al menos una interfaz configurada estáticamente.1 Configuración de un servidor DHCP con eBox Para configurar el servicio DHCP con eBox. 34 .1. se pueden enviar algunos parámetros de la red junto con la dirección IP.com”. se intentará resolver smtp. El administrador de la red se encarga del mantenimiento de esta tabla. vamos al menú DHCP donde se configurará el servidor DHCP. Puerta de enlace por defecto: Es la puerta de enlace que va a emplear el cliente si no conoce otra ruta por la que enviar el paquete a su destino. se podría configurar el dominio de búsqueda como “sub.

CHAPTER 2. EBOX INFRASTRUCTURE Figure 2.1: Vista general de configuración del servicio DHCP 35 .

hay que tener en cuenta que el módulo dns debe estar habilitado) o una dirección IP de otro servidor DNS. De hecho. Servidor de nombres secundario: Servidor DNS con el que contactará el cliente si el primario no está disponible. desde el punto de vista del cliente. Las asignaciones estáticas también están limitadas en el tiempo. Debajo de las opciones comunes. Su valor puede ser eBox DNS local (si queremos que se consulte el propio servidor DNS de eBox. Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas. Se puede añadir una descripción opcional para la asignación también. ir a la 3 2 sección Servicio de compartición de ficheros y de autenticación. Su valor puede ser ninguno. 36 . eBox local (hay que tener en cuenta que el módulo samba debe estar habilitado) o uno personalizado. Para que el servicio DHCP esté activo. Comprobar la sección Servicio de sincronización de hora (NTP) para obtener detalles sobre el servicio de sincronización de hora 4 WINS es una implementación para NBNS (NetBIOS Name Service). Su valor debe ser una dirección IP de un servidor DNS. La concesión dinámica de direcciones tiene un tiempo límite. Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas en el apartado Asignaciones estáticas. Su valor puede ser ninguno. al menos debe haber un rango de direcciones a distribuir o una asignación estática. En caso contrario. el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red. Servidor NTP: Este es el servidor NTP (Network Transport Protocol) 3 que el cliente usará cuando quiera sincronizar su reloj usando la red.eBox 1. Para obtener más información sobre ello. eBox NTP local (hay que tener en cuenta que el módulo ntp debe estar habilitado) o un servidor NTP personalizado. Una dirección asignada de este modo no puede formar parte de ningún rango. Una vez expirado este tiempo se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una determinada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Ir a la sección Servicio de resolución de nombres (DNS) para tener más detalles sobre este servicio. Añadir un rango en la sección Rangos se hace introduciendo un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima. Este tiempo varía desde 1800 segundos hasta 7200. Servidor WINS: Este es el servidor WINS (Windows Internet Name Service) 4 que el cliente usará para resolver nombres NetBIOS. se nos muestran los rangos de direcciones que se distribuyen mediante DHCP y las direcciones asignadas de forma manual.4 para Administradores de Redes Servidor de nombres primario: Se trata de aquel servidor DNS 2 con el que contactará el cliente en primer lugar cuando tenga que resolver un nombre o traducir una dirección IP a un nombre. no hay diferencia entre ellas.

que se encargará de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. eBox permite configurar a qué servidor PXE 5 se debe conectar el cliente. Preboot eXecution Environment es un entorno para arrancar ordenadores usando una interfaz de red independientemente de los dispositivos de almacenamiento (como disco duros) o sistemas operativos instalados (http://en. en cuyo caso será necesario indicar la ruta de la imagen de arranque. El servidor PXE puede ser una dirección IP o un nombre. en cuyo caso se puede cargar el fichero de la imagen. Actualizaciones dinámicas de DNS El servidor DHCP tiene la habilidad de actualizar dinámicamente el servidor DNS 6 . pidiendo el programa de arranque (sistema operativo) a un servidor de clientes ligeros.org/wiki/Preboot_Execution_Environment) 6 El RFC 2136 explica como hacer actualizaciones automáticas en el Sistema de Nombres de Dominio (DNS).wikipedia. El servicio PXE. EBOX INFRASTRUCTURE Figure 2. Esto es. La manera en que esto se hace es dependiente de la configuración del servidor DHCP. o eBox. 5 37 .CHAPTER 2. el servidor DHCP actualizará en tiempo real los registros A y PTR para mapear una dirección IP a un nombre de máquina y viceversa cuando se sirva una dirección IP.2: Aspecto de la configuración avanzada para DHCP Un Cliente Ligero es una máquina sin disco duro (y hardware modesto) que arranca a través de la red. se debe configurar por separado.

7 38 .1. para ello marcar su casilla en la columna Estado. Para configurar DHCP debemos tener activado y configurado el módulo Red.<dominio-estático> siendo el nombre que se establece en la tabla de Asignaciones estáticas.eBox 1. La interfaz de red sobre la cual vamos a configurar el servidor DHCP deberá ser estática (dirección IP asignada manualmente) y el rango a asignar deberá estar dentro de la subred determinada por la máscara de red de esa interfaz (por ejemplo rango 10. Se debe disponer un Dominio dinámico y un Dominio estático. El dominio dinámico mapea los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado sigue este patrón: dhcp-<dirección-IP-ofrecida>.3: Configuración de actualizaciones DNS dinámicas La actualización se hace usando un protocolo seguro 7 y.2. que ambos se añadirán a la configuración de DNS automáticamente. Figure 2. el nombre de máquina seguirá este patrón: <nombre>.1. 1.255. Comprobar desde otra máquina cliente usando dhclient que funciona correctamente.255.254/255. La comunicación se realiza usando TSIG (Transaction SIGnature) para autenticar las peticiones de actualizaciones dinámicas usando una clave secreta compartida. Para habilitar esta característica.4 para Administradores de Redes Con eBox es posible usar la actualización dinámica de DNS integrando los módulos de dhcp y dns de la misma máquina dentro la pestaña Opciones de DNS dinámico.1-10. actualmente.21 en una interfaz 10.2. Entrar en Estado del módulo y activar el módulo DHCP.0). Hay que tener en cuenta que una actualización desde el cliente DHCP es ignorada por eBox. Con respecto al dominio estático. Acción: Entrar en eBox y acceder al panel de control.1.2. el módulo DNS debe ser habilitado también. sólo el mapeo directo está soportado por eBox. Ejemplo práctico Configurar el servicio de DHCP para que asigne un rango de 20 direcciones de red.<dominio-dinámico>.

A continuación eBox nos informa del rango de direcciones disponibles. 39 . All rights reserved. La pasarela puede ser la propia eBox. EBOX INFRASTRUCTURE Efecto: eBox solicita permiso para sobreescribir algunos ficheros. Efecto: eBox muestra el progreso mientras aplica los cambios. please visit http://www. removed PID file Internet Systems Consortium DHCP Client V3.254 bound to 10.1 -.255. una dirección específica. 4.2. For info.pid with pid 9922 killed old client process.CHAPTER 2. 5. Efecto: Se ha activado el botón Guardar Cambios.1.1.org/sw/dhcp/ wmaster0: unknown hardware address type 801 wmaster0: unknown hardware address type 801 Listening on LPF/eth0/00:1f:3e:35:21:4f Sending on LPF/eth0/00:1f:3e:35:21:4f Sending on Socket/fallback DHCPREQUEST on wlan0 to 255. vamos a elegir un subconjunto de 20 direcciones y en Añadir nueva le damos un nombre significativo al rango que pasará a asignar eBox.1 Copyright 2004-2008 Internet Systems Consortium. 2. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos. Acción: Entrar en DHCP y seleccionar la interfaz sobre la cual se configurará el servidor. o ninguna (sin salida a otras redes).1. alguna de las pasarelas de eBox. Una vez que ha terminado lo muestra. Acción: Desde otro equipo conectado a esa red solicitamos una IP dinámica del rango mediante dhclient: $ sudo dhclient eth0 There is already a pid file /var/run/dhclient.255. Ahora eBox gestiona la configuración del servidor DHCP. Acción: Guardar los cambios.renewal in 1468 seconds.isc.2. Además se podrá definir el dominio de búsqueda (dominio que se añade a todos los nombres DNS que no se pueden resolver) y al menos un servidor DNS (servidor DNS primario y opcionalmente uno secundario).255 port 67 DHCPACK from 10. 3.

.com? 1. Caché es una colección de datos duplicados de una fuente original donde es costoso de obtener o calcular comparado con el tiempo de lectura de la caché (http://en. pero posteriormente responderá la caché. Efecto: eBox solicita permiso para sobreescribir algunos ficheros. la mayoría de los sistemas operativos modernos tienen una biblioteca local para traducir los nombres que se encarga de almacenar una caché propia de nombres de dominio con las peticiones realizadas por las aplicaciones del sistema (navegador. clientes de correo. . 2..4 para Administradores de Redes 6.1 Configuración de un servidor caché DNS con eBox Un servidor de nombres puede actuar como caché 9 para las consultas que él no puede responder. Acción: Acceder a eBox. legibles y fáciles de recordar por los usuarios. para ello marcar su casilla en la columna Estado. En la actualidad.org/wiki/Cache) 40 .2. El servicio escucha peticiones en el puerto 53 de los protocolos de transporte UDP y TCP. en direcciones IP y viceversa. con la consecuente disminución del tiempo de respuesta.wikipedia.2 Servicio de resolución de nombres (DNS) La funcionalidad de DNS (Domain Name System) es convertir nombres de máquinas. Ejemplo práctico A Comprobar el correcto funcionamiento del servidor caché DNS. 8 9 Hay que tener en cuenta que las asignaciones estáticas no aparecen en el widget del DHCP. 2. entrar en Estado del módulo y activar el módulo DNS. 2.eBox 1. Acción: Comprobar desde el Dashboard que la dirección concedida aparece en el widget DHCP leases 8 . Es decir. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos.example.). El sistema de dominios de nombres es una arquitectura arborescente cuyos objetivos son evitar la duplicación de la información y facilitar la búsqueda de dominios. la primera vez consultará al servidor adecuado porque se parte de una base de datos sin información. ¿Qué tiempo de respuesta hay ante la misma petición www.

’ existen los TLD (Top Level Domains) como org.com) indica una rama del árbol de DNS diferente y un ámbito de consulta diferente que se irá recorriendo de derecha a izquierda. net. etc.2 Configuración de un servidor DNS con eBox DNS posee una estructura en árbol y el origen es conocido como ‘. home.0.example. 5. Acción: Comprobar a través de la herramienta Resolución de Nombres de Dominio disponible en Red → DNS y añadir un nuevo Servidor de nombres de dominio con valor → Diagnóstico comprobar el funcionamiento de la caché consultado el dominio www. 3. Además a cada nombre asociado se le pueden añadir tantos alias (o nombres canónicos) como se desee.1 . se buscará recursivamente en el árbol hasta encontrarla. entonces delega la respuesta a ese servidor que debería saber la dirección IP para esa máquina. 2.com. si éste no conoce la respuesta.com a un servidor que es autoridad para example. 4. EBOX INFRASTRUCTURE Efecto: Se ha activado el botón Guardar Cambios. Una vez que ha terminado lo muestra. Como se puede ver en la figura Árbol de DNS. así una misma dirección IP puede tener varios nombres asociados. Acción: Guardar los cambios.arpa).example. Ahora eBox gestiona la configuración del servidor DNS. Acción: Ir a Red 127.example. delega la resolución a aquel servidor de nombres apuntado por el registro NS que dice ser autoridad para esa zona. Como el servidor tiene un registro que le indica el servidor de nombres que es autoridad para la zona casa. un cliente pide la dirección IP de www.com consecutivamente y comprobar el tiempo de respuesta.0. Bajo el ‘. Por ejemplo.com (el registro NS). Cada ‘. Efecto: Establece que sea la propia eBox la que traduzca de nombres a IP y viceversa.casa. ya que desde una dirección IP podemos traducirla a un nombre del dominio. cada zona tiene un servidor de nombre autorizado 10 . 10 Un servidor DNS es autoridad para un dominio cuando es aquel que tiene toda la información para resolver la consulta para ese dominio 41 .’ o raíz. Cuando se busca en un servidor DNS. Efecto: eBox muestra el progreso mientras aplica los cambios.example. Otro aspecto importante es la resolución inversa (in-addr.2. edu.’ en una dirección (por ejemplo. Cuando un cliente hace una petición a un servidor de nombres.CHAPTER 2. com.

Un ejemplo típico para esto es cuando un servidor 42 . se puede apreciar la presencia de un campo llamado dinámico con valor falso.com. Dicho registro indica el lugar donde se enviarán los correos electrónicos que quieran enviarse a un determinado dominio.4: Árbol de DNS Una característica también importante del DNS es el registro MX. Desde allí se configura el nombre del dominio y una dirección IP opcional a la que hará referencia el dominio. se pueden configurar tantos dominios DNS como deseemos.example.4 para Administradores de Redes Figure 2.com y el servicio responderá que es mail. el servidor de correo preguntará por el registro MX de example. Cuando se añade un nuevo dominio. Un dominio se establece como dinámico cuando es actualizado automáticamente por un proceso sin reiniciar el servidor. La configuración en eBox se realiza a través del menú DNS.com. si queremos enviar un correo a alguien@example. Para configurar un nuevo dominio. Por ejemplo.eBox 1. desplegamos el formulario pulsando Añadir nuevo. En eBox.

example.0. Se podrán añadir tantas direcciones IP como se deseen usando los nombres que decidamos. La resolución inversa se añade automáticamente. Si quieres configurar el servidor de nombres autorizado manualmente para tus dominios (registros NS). Una vez que hemos creado un dominio correcto.1 como servidor de nombres autorizado. ve a servidores de nombres y elige una de las máquinas del dominio o una personalizada. no se puede configurar manualmente desde el interfaz de eBox. se configurará una máquina con nombre ns usando como dirección IP una de las configuradas en la sección Red → Interfaces.0. EBOX INFRASTRUCTURE DHCP actualiza los registros DNS para un dominio cuando ofrece una dirección IP a una máquina. Ve a la sección Actualizaciones dinámicas de DNS para obtener detalles sobre esta configuración con eBox. Si esa máquina no existe. entonces se usa 127. Actualmente. para cada pareja nombre-dirección se podrán también poner tantos alias como se deseen. tenemos la posibilidad de rellenar la lista de máquinas (hostnames) para el dominio. 43 .CHAPTER 2. si un dominio se establece como dinámico. En el escenario típico. Con eBox se establece automáticamente el servidor autorizado para los dominios configurados a la máquina con nombre ns.com. Además. por ejemplo casa.

Se desplegará una tabla donde podemos añadir nombres de máquinas. el servidor DNS lanza una petición a los servidores DNS raíz. Si hacemos una consulta a uno de los dominios que hemos añadido. Acción: Comprobar que el servicio DNS está activo a través de Dashboard en el widget Estado de módulos. podemos añadir nombres de servidores de correo a través de los intercambiadores de correo (Mail Exchangers) eligiendo un nombre de los dominios en los que eBox es autoridad o uno externo.0. Ejemplo práctico B Añadir un nuevo dominio al servicio de DNS. Si queremos que eBox resuelva nombres utilizando su propio DNS debemos configurar 127. 44 . Para profundizar en el funcionamiento de DNS. el propio servidor DNS de eBox responde con la respuesta apropiada de manera inmediata. servidores de correo para el dominio y la propia dirección del dominio. y responderá al usuario tan pronto como obtenga una respuesta de éstos. Si no está activo.1 como servidor DNS primario en dicha sección. En caso contrario. Es importante tener en cuenta que los servidores de nombres configurados en Red → DNS son los usados por las aplicaciones cliente para resolver nombres. 2. habilitarlo en Estado de módulos.0. un cliente de correo intentará primero aquel servidor con menor número de preferencia. 1. Acción: Entrar en DNS y en Añadir nueva introducimos el dominio que vamos a gestionar.4 para Administradores de Redes Como característica adicional. pero el servidor DNS no los utiliza de ningún modo.eBox 1. Desde otra máquina comprobar usando la herramienta dig que resuelve correctamente. veamos qué ocurre en función de la consulta que se hace a través de la herramienta de diagnóstico dig que se encuentra en Red → Diagnóstico. es decir. Además se le puede dar una preferencia cuyo menor valor es el que da mayor prioridad. Dentro de este dominio asignar una dirección de red al nombre de una máquina. Dentro de Nombres de máquinas procedemos de la misma manera añadiendo el nombre de la máquina y su dirección IP asociada.

com.2.opcode: QUERY.5. ns2.ebox-platform.1.162. AUTHORITY SECTION: ebox-platform. . . siendo por ejemplo 10.2.ebox-platform.com.ebox-platform. Efecto: eBox solicitará permiso para escribir los nuevos ficheros.1-P1 <<>> mirror.0. id: 33835 .254#53(10.com....2.ebox-platform.98. ebox-platform.com. QUERY: 1.123.com. 5.com @10. . 600 .2.1. 600 600 IN IN A A 67.. EBOX INFRASTRUCTURE 3. AUTHORITY: 2. ANSWER SECTION: mirror.254) WHEN: Fri Mar 20 14:37:52 2009 MSG SIZE rcvd: 126 45 .254 . ->>HEADER<<. ADDITIONAL: 2 . Efecto: Muestra el progreso mientras aplica los cambios. QUESTION SECTION: . flags: qr rd ra.23.mirror..ebox-platform. ns2.. Acción: Desde otro equipo conectado a esa red solicitamos la resolución del nombre mediante dig. 4. IN A IN A 87..190. ANSWER: 1. .68 209.1..2.ebox-platform.com.com. Acción: Aceptar sobreescribir dichos ficheros y guardar cambios.1. <<>> DiG 9.com. Acción: Guardar los cambios. . status: NOERROR.1.eboxplatform. Got answer: ..254 .ebox-platform.ebox-platform...254 la dirección de nuestra eBox y mirror. ADDITIONAL SECTION: ns1.. .63 Query time: 169 msec SERVER: 10. global options: printcmd . Una vez que ha terminado lo muestra.com @10.119 600 600 IN IN NS NS ns1.com el dominio a resolver: $ dig mirror.CHAPTER 2.

2.0 . tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web es fácil de crear y se puede visualizar desde cualquier ordenador. • Cabeceras.. Por defecto HTTP usa el puerto TCP 80 para conexiones sin cifrar. • Una línea en blanco. Con el tiempo las posibilidades de las interfaces Web han mejorado y ahora disponemos de verdaderas aplicaciones que no tienen nada que envidiar a las de escritorio. TLS (Transport Layer Security ) y su predecesor SSL (Secure Sockets Layer ) son protocolos de cifrado que aportan seguridad e integridad de datos para las comunicaciones en Internet.1 Hyper Text Transfer Protocol Una de las claves del éxito de la Web ha sido el protocolo de capa de Aplicación empleado. Un cliente. El servidor la procesa y devuelve una respuesta. y el 443 para conexiones cifradas (HTTPS). En este capítulo veremos una introducción al funcionamiento interno de la Web.. Una de las tecnologías más usadas para el cifrado es TLS 11 . HTTP es un protocolo orientado a peticiones y respuestas. HTTP (Hyper Text Transfer Protocol).html HTTP/1.1. realiza una solicitud a un servidor. Una solicitud del cliente contiene los siguientes elementos: • Una primera línea conteniendo <método> <recurso solicitado> <versión HTTP>.html mediante GET y usando el protocolo HTTP/1.6 que identifican el tipo de cliente que solicita la información.3 Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet.eBox 1. por ejemplo. para enviar ficheros al servidor usando el método POST.4 para Administradores de Redes 2. también llamado User Agent.0. Firefox/3. Para acceder basta con un navegador Web. así como la configuración de un servidor Web con eBox.3. como User-Agent: Mozilla/5. Por ejemplo GET /index. Se utiliza. que se encuentra instalado de serie en las plataformas de escritorio actuales. En la sección Redes privadas virtuales (VPN) se ahondará en el tema.1 solicita el recurso /index. y es que HTTP es muy sencillo a la vez que flexible. 11 46 . Una página Web empezó siendo la manera más cómoda de publicar información en una red. • Un cuerpo del mensaje opcional.

47 . y la respuesta 200 OK del servidor. EBOX INFRASTRUCTURE Figure 2.CHAPTER 2.5: Esquema de solicitud con cabeceras GET entre un cliente. Encaminadores y proxies en medio.

El servidor debe procesar esa información y enviar el correo electrónico. CONNECT: La especificación se reserva este método para realizar túneles. PUT: Solicita que la información del cuerpo sea almacenada y accesible desde la ruta indicada. se envía al servidor la información del correo electrónico a enviar. 404 Not Found: Si el recurso solicitado no se ha encontrado. Los más comunes son GET y POST: GET: Se utiliza GET para solicitar un recurso. 12 13 Una explicación más detallada se puede encontrar en la sección 9 del RFC 2616 En la sección 10 del RFC 2616 se pueden encontrar el listado completo de códigos de respuesta del servidor HTTP. En este caso la primera fila sigue la forma <status code> <text reason>. Por ejemplo en un webmail cuando pulsamos Enviar Mensaje. Los códigos de respuesta 13 más comunes son: 200 OK: La solicitud ha sido procesada correctamente. pero la respuesta no incluirá el cuerpo. Es un método inocuo para el servidor. La respuesta del servidor tiene la misma estructura que la solicitud del cliente cambiando la primera fila. HEAD: Solicita información igual que GET. De esta forma se puede obtener la meta-información del recurso sin descargarlo. POST: Se utiliza POST para enviar una información que debe procesar el servidor. 500 Internal Server Error: Si ha ocurrido un error en el servidor que ha impedido la correcta ejecución de la solicitud. OPTIONS: Sirve para solicitar qué métodos se pueden emplear sobre un recurso. 403 Forbidden: Cuando el cliente se ha autenticado pero no tiene permisos para operar con el recurso solicitado.4 para Administradores de Redes Hay varios métodos 12 con los que el cliente puede pedir información. sólo la cabecera.eBox 1. 48 . DELETE: Solicita la eliminación del recurso indicado TRACE: Indica al servidor que debe devolver la cabecera que envía el cliente. Es útil para ver cómo modifican la solicitud los proxies intermedios. ya que no se debe modificar ningún fichero en el servidor si se hace una solicitud mediante GET. que corresponden al código de respuesta y a un texto con la explicación respectivamente.

49 . por tanto el servidor no puede recordar a los clientes entre conexiones. disponemos de una gran cantidad de módulos de Apache 15 para añadir diversas funcionalidades. módulo de proxy con mod_proxy o un potente sistema de reescritura de URL con mod_rewrite. EBOX INFRASTRUCTURE HTTP tiene algunas limitaciones dada su simplicidad. el cliente realiza una petición a una determinada URL con unos parámetros y el software se encarga gestionar la petición para devolver un resultado. También tenemos módulos para varios sistemas de autenticación como mod_access.2 El servidor HTTP Apache El servidor HTTP Apache 14 es el programa más popular para servir páginas Web desde abril de 1996.CHAPTER 2. entre otros. una de sus principales ventajas es la extensibilidad. SCGI (Simple Common Gateway Interface): Es una versión simplificada del protocolo de FastCGI Otros mecanismos de expansión: Estos mecanismos dependerán del servidor HTTP utilizado y pueden permitir la ejecución de software dentro del propio servidor. El servicio HTTP puede ofrecer dinámicamente los resultados de aplicaciones software. Podemos consultar la lista completa en http://modules. 2. En definitiva. eficiente y extensible siguiendo los estándares HTTP. Ejemplos de ello son mod_perl.3. mod_auth. Algunos de los módulos nos ofrecen interfaces para lenguajes de script. 14 15 Apache HTTP Server project http://httpd.org. Además. utilizando módulos adicionales para incluir nuevas características. deberá solicitarla periódicamente. Es decir. Este mecanismo ha sido superado debido a su sobrecarga en memoria y bajo rendimiento por otras soluciones: FastCGI: Un protocolo de comunicación entre las aplicaciones software y el servidor HTTP. Python. Para ello. Su objetivo es ofrecer un sistema seguro.apache. Ofrece la posibilidad de extender las funcionalidades del núcleo (core). teniendo un único proceso para resolver las peticiones realizadas por el servidor HTTP. TCL ó PHP. Por otro lado. Una solución para este problema es el uso de cookies. Es un protocolo sin estado.org. permite el uso de SSL y TLS con mod_ssl.apache. el servidor no puede iniciar una conversación con el cliente. Si el cliente quiere alguna notificación del servidor. lo que permite crear páginas Web usando los lenguajes de programación Perl. mod_python. EBox usa dicho servidor tanto para su interfaz Web de administración como para el módulo Web. El primer método utilizado fue conocido como CGI (Common Gateway Interface) que se ejecuta un comando por URL. TCL o PHP.

3.eBox 1. El servidor Web leerá las cabeceras de los clientes y dependiendo del dominio de la solicitud lo redirigirá a un sitio Web u otro. ya que sólo hay un Host en la red. lo más normal es disponer de una o dos IPs por máquina. 2. Figure 2.4 para Administradores de Redes 2. Sin embargo. se puede realizar una configuración por cada interfaz de red.3 Dominios virtuales El objetivo de los dominios virtuales (Virtual Hosts) es alojar varios sitios Web en un mismo servidor. si está habilitado el módulo Samba (eBox como servidor de ficheros) los usuarios pueden crear un subdirectorio llamado public_html en su directorio personal dentro de samba que será expuesto por el servidor Web a través de la URL http://<eboxIP>/~<username>/ donde username es el nombre del usuario que quiere publicar contenido. pero se simula que existen varios. Vistos desde fuera dará la impresión de que son varios Hosts en la misma red. Habilitar el public_html por usuario Con esta opción. El servidor redirigirá el tráfico de cada interfaz a su sitio Web correspondiente.6: Aspecto de la configuración del módulo Web En el primer formulario podemos modificar los siguientes parámetros: Puerto de escucha Dónde va a escuchar peticiones HTTP el demonio.4 Configuración de un servidor HTTP con eBox A través del menú Web podemos acceder a la configuración del servicio. A cada una de estas configuraciones se le llama Virtual Host. En ese caso habrá que asociar cada sitio Web con su dominio. 50 .3. Si el servidor dispone de una dirección IP pública por cada sitio Web.

Para publicar datos estos deben estar bajo /var/www/<vHostname>. EBOX INFRASTRUCTURE Respecto a los Dominios virtuales. donde vHostName es el nombre del dominio virtual. Ahora el servidor Web está escuchando en el puerto 1234. Efecto: Se ha activado el botón Guardar Cambios.company. Comprobar que está escuchando en el puerto 80. para ello marcar su casilla en la columna Estado.com con el nombre de máquina www cuya dirección IP será la dirección de la primera interfaz de red que sea estática. 1. Ejemplo práctico Habilitar el servicio Web. entrar en Estado del módulo y activa el módulo servidor web. por ejemplo capacidad para servir aplicaciones en Python usando mod_python. se deberán crear los ficheros de configuración necesarios para ese dominio virtual en el directorio /etc/apache2/sites-available/userebox-<vHostName>/. se trata de crear una entrada en el módulo DNS (si está instalado) de tal manera que si se añade el dominio www.com. acceder a la siguiente dirección http://ip_de_eBox/. Acción: Guardar los cambios. se creará el dominio company. Acción: Acceder a eBox. Acción: Acceder al menú Web. Efecto: eBox muestra el progreso mientras aplica los cambios. Configurarlo para que escuche en un puerto distinto y comprobar que el cambio surte efecto. Nos informa de los cambios que va a realizar en el sistema. 51 . 4.CHAPTER 2. Efecto: eBox muestra el progreso mientras aplica los cambios. Acción: Utilizando un navegador. Una vez que ha terminado lo muestra. 5. Acción: Guardar los cambios. Cuando se crea un nuevo dominio. Cambiar el valor del puerto de 80 a 1234 y pulsar el botón Cambiar. 3. simplemente se introducirá el nombre que se desea para el dominio y si está habilitado o no. Si se quiere añadir cualquier configuración personalizada. Efecto: Aparecerá una página por defecto de Apache con el mensaje ‘It works!’. 2. Efecto: Se ha activado el botón Guardar Cambios. El servidor Web ha quedado habilitado por defecto en el puerto 80. Una vez que ha terminado lo muestra. Permitir la operación pulsando el botón Aceptar.

4 Servicio de sincronización de hora (NTP) El protocolo NTP (Network Time Protocol) fue diseñado para sincronizar los relojes de las computadoras sobre una red no fiable. Acción: Intentar acceder ahora a http://<ip_de_eBox>:1234/. Una lista de los mismos se puede encontrar en el pool NTP (pool. ya por NTP a los de estrato superior y normalmente son los que se ofrecen por defecto en los sistemas operativos más conocidos como GNU/Linux. en primer lugar eBox tiene que sincronizarse con algún servidor externo de estrato superior (normalmente 2) que se ofrecen a través de Sistema → Fecha/hora.org) que son una colección dinámica de servidores NTP que voluntariamente dan un tiempo bastante exacto a sus clientes a través de Internet. Está diseñado para resistir los efectos de la latencia variable (jitter ). Windows. con latencia variable. Existen hasta 16 niveles. 52 . 2.ntp. 7.1 Configuración de un servidor NTP con eBox Para configurar eBox dentro de la arquitectura NTP 16 . 16 Proyecto del servicio público NTP http://support. Los de estrato 2 son los ordenadores que se conectan. Acción: Volver a intentar acceder con el navegador a http://<ip_de_eBox>/.org/bin/view/Main/WebHome.ntp. Efecto: No obtenemos respuesta y pasado un tiempo el navegador informará de que ha sido imposible conectar al servidor.4. Efecto: El servidor responde y obtenemos la página de ‘It works!’. El estrato 0 es para los relojes atómicos que no se conectan a la red sino a otro ordenador con conexión serie RS-232 y estos son los de estrato 1. NTP versión 4 puede alcanzar una exactitud de hasta 200 µs o incluso mejor si el reloj está en la red local. 2.4 para Administradores de Redes 6. o MacOS. Es uno de los protocolos más antiguos de Internet (desde antes de 1985).eBox 1. Existen diferentes estratos que definen la distancia del reloj de referencia y su asociada exactitud. Este servicio escucha en el puerto 123 del protocolo UDP.

Acción: Acceder al menú Sistema → Fecha/Hora. http://www. el propio eBox podrá actuar también como servidor NTP. 3. Nos informa de los cambios que va a realizar en el sistema. En la sección Sincronización con servi- dores NTP seleccionar Activado y pulsar Cambiar. Nuestra máquina eBox actuará como servidor NTP. una vez sincronizado usa ntpd para mantener la sincronía. para ello marca su casilla en la columna Estado. Efecto: eBox muestra el progreso mientras aplica los cambios.ece.udel. Una vez que ha terminado lo muestra. entrar en Estado del módulo y activa el módulo ntp. Acción: Guardar los cambios.edu/~mills/ntp/html/ 53 . Ejemplo práctico Habilitar el servicio NTP y sincronizar la hora de nuestra máquina utilizando el comando ntpdate. EBOX INFRASTRUCTURE Una vez que eBox se haya sincronizado como cliente NTP 17 . Comprobar que tanto eBox como la máquina cliente tienen la misma hora. Permitir la operación pulsando el botón Aceptar. con una hora sincronizada mundialmente.CHAPTER 2. 2. 17 eBox usa ntpdate para sincronizarse por primera vez. Efecto: Se ha activado el botón Guardar Cambios. 1. Efecto: Desaparece la opción de cambiar manualmente la fecha y hora y en su lugar aparecen campos para introducir los servidores NTP con los que se sincronizará. Acción: Acceder a eBox.

Ejecutar el comando ntpdate <ip_de_eBox>. Efecto: La hora de nuestra máquina habrá quedado sincronizada con la de la máquina eBox. 54 . Podemos comprobarlo ejecutando el comando date en ambas máquinas.eBox 1. Acción: Instalar el paquete ntpdate en nuestra máquina cliente.4 para Administradores de Redes 4.

Chapter 3 eBox Gateway En este apartado se explica la funcionalidad principal de eBox como puerta de enlace. se explica en este apartado el moldeado de tráfico. La configuración del cortafuegos no se realiza directamente. Este servicio permite o deniega el acceso desde la red interna a la WWW utilizando diferentes reglas de filtrado. eBox Gateway puede hacer tu red más fiable. se ofrece una introducción al servicio de proxy HTTP que ofrece eBox.1 Abstracciones de red a alto nivel de eBox 55 . que se utiliza para asegurar que las aplicaciones críticas se sirven correctamente e incluso para limitar aquellas aplicaciones que generan mucho tráfico en la red. Finalmente. sino que se apoya en otros dos módulos que facilitan la gestión de objetos y servicios de red. 3. Para el acceso a Internet podemos aplicar balanceo de carga y diferentes reglas según el tráfico saliente. Además. los cuales se describen en la primera parte del apartado. el cual nos permite la gestión de reglas para el tráfico entrante y saliente de nuestra red interna. En este apartado hay un capítulo que se centra en el funcionamiento del módulo cortafuegos de eBox. optimizada para tu ancho de banda y ayudarte a controlar lo que entrar en tu red. incluyendo reglas basadas en el contenido.

Se puede crear. y una serie de miembros.1 Objetos de red Los objetos de red son una manera de dar un nombre a un elemento de una red o a un conjunto de ellos. Por ejemplo.eBox 1. pudiendo elegir comportamientos para dichos objetos.1. editar y borrar objetos. Estos objetos serán usados más tarde por otros módulos como por ejemplo el cortafuegos. 56 .4 para Administradores de Redes 3.1: Representación de objetos de red Gestión de los objetos de red con eBox Para su gestión en eBox se debe ir al menú Objetos y ahí se crean nuevos objetos. el Proxy caché Web o el de correo. Figure 3. pueden servir para dar un nombre significativo a una dirección IP o a un grupo de ellas. bastaría simplemente con definirlas para el objeto de red. Sirven para simplificar y consecuentemente facilitar la gestión de la configuración de la red. que tendrán asociado un nombre. Así. Si es el segundo caso. todas las direcciones pertenecientes al objeto adquirirían dicha configuración. en lugar de definir reglas de acceso de cada una de las direcciones.

2 Servicios de red Un servicio de red es la abstracción de uno o más protocolos de aplicación que pueden ser usados en otros módulos como el cortafuegos o el módulo de moldeado de tráfico. con lo cual hay que tener mucho cuidado al usarlos en el resto de módulos para obtener la configuración deseada y no tener problemas de seguridad. dirección IP y máscara de red utilizando notación CIDR. EBOX GATEWAY Figure 3.2: Aspecto general del módulo de objetos de red Cada uno de ellos tendrá al menos los siguientes valores: nombre. Si veíamos que con los objetos podíamos hacer referencia fácilmente a un conjunto de direcciones IP usando un nombre significativo. La utilidad de los servicios es similar a la de los objetos. 3.1. La dirección física sólo tendrá sentido para miembros que representen una única máquina. Los miembros de un objeto pueden solaparse con miembros de otros.CHAPTER 3. podemos 57 .

sobre todo por los clientes al comunicarse con los servidores.151 son puertos registrados. Además cada servicio tendrá una serie de miembros.eBox 1. difíciles de recordar y engorrosos de teclear varias veces en distintas configuraciones. En todos estos campos podemos introducir el valor cualquiera.org/assignments/port-numbers 1 58 . con un nombre acorde a su función (típicamente el nombre del protocolo de nivel 7 o aplicación que usa esos puertos). Los puertos del 1 al 1023 se llaman puertos “bien conocidos” y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario. una descripción y un indicador de si el servicio es externo o interno. Y del 49. La IANA (Internet Assigned Numbers Authority ) es la entidad encargada de establecer los servicios asociados a puertos bien conocidos.3: Conexión de un cliente a un servidor Gestión de los servicios de red con eBox Para su gestión en eBox se debe ir al menú Servicios donde es posible crear nuevos servicios. Figure 3. puerto origen y puerto destino. Del 1024 al 49. por ejemplo para especificar servicios en los que sea indiferente el puerto origen. que tendrán asociado un nombre.iana. Un servicio es interno si los puertos configurados para dicho servicio se están usando en la máquina en la que está eBox instalado.535 son puertos efímeros y son utilizados como puertos temporales. Cada uno de ellos tendrá los siguientes valores: protocolo. Existe una lista de servicios de red conocidos aprobada por la IANA 1 para los protocolos UDP y TCP en el fichero /etc/services. Hay que tener en cuenta que los servicios de red basados en el modelo cliente/servidor que más se utilizan el cliente suelen utilizar un puerto cualquiera aleatorio para conectarse a un puerto destino conocido.152 al 65.4 para Administradores de Redes así mismo identificar un conjunto de puertos numéricos. La lista completa se encuentra en http://www.

13/32 y una dirección MAC válida. Crear otro miembro servidor contable respaldo con otra dirección IP.12/32. 2. Ejemplo práctico Crear un objeto y añadir lo siguiente: una máquina sin dirección MAC. 00:0c:29:7f:05:7d. UDP.4: Aspecto general del módulo de servicios de red Se puede crear.168.168.0. GRE o ICMP. Estos servicios serán usados más adelante en el cortafuegos o el moldeado de tráfico haciendo referencia simplemente al nombre significativo. crea el miembro red de 59 . 192. 192. EBOX GATEWAY El protocolo puede ser TCP. Figure 3.0. También existe un valor TCP/UDP para evitar tener que añadir dos veces un mismo puerto que se use para ambos protocolos. Efecto: El objeto máquinas de contabilidad se ha creado. una máquina con dirección MAC y una dirección de red. Crear miembro servidor contable con una dirección IP de la red. Añadir máquinas de contabilidad. Acción: Acceder a Miembros del objeto máquinas de contabilidad. editar y borrar servicios. ESP. Para ello: 1. Acción: Acceder a Objetos. por ejemplo. por ejemplo. Finalmente. por ejemplo.CHAPTER 3.

Su uso principal es permitir a varias máquinas de una red privada acceder a Internet con una única IP pública. vamos a tener una máquina dedicada a protección de nuestra red interna y eBox de ataques procedentes de la red exterior. reglas que afectan a la traducción de los paquetes con NAT (tabla nat) o reglas para especificar algunas opciones de control y manipulación de paquetes (tabla mangle).64/26.4. dirección origen o destino y puertos utilizados. utiliza reglas que pueden filtrar el tráfico dependiendo de determinados parámetros.168. Network Address Translation (NAT): Es el proceso de reescribir la fuente o destino de un paquete IP mientras pasan por un encaminador o cortafuegos.eBox 1. Finalmente. 192. Un cortafuegos permite definir al usuario una serie de políticas de acceso. como por ejemplo.1 El cortafuegos en GNU/Linux: Netfilter A partir del núcleo Linux 2. La interfaz del comando iptables permite realizar las diferentes tareas de configuración de las reglas que afectan al sistema de filtrado (tabla filter ). por ejemplo. por ejemplo protocolo. Efecto: El objeto máquinas de contabilidad contendrá tres miembros servidor contable. 3. se proporciona un subsistema de filtrado denominado Netfilter que proporciona características de filtrado de paquetes y de traducción de redes NAT 2 . la mejor solución es disponer de un computador con dos o más tarjetas de red que aislen las diferentes redes (o segmentos de ellas) conectadas. Un cortafuegos es un sistema que refuerza las políticas de control de acceso entre redes. Técnicamente. vamos a configurar un cortafuegos. servidor contable respaldo y red de ordenadores contables de forma permanente. de manera que el software cortafuegos se encargue de conectar los paquetes de las redes y determinar cuáles pueden pasar o no y a qué red lo harán. En nuestro caso. 2 60 . ir a Guardar cambios para confirmar la configuración creada.2. Para ello. Al configurar nuestra máquina como cortafuegos y encaminador podremos enlazar los paquetes de tránsito entre redes de manera más segura.4 para Administradores de Redes ordenadores contables con dirección IP una subred de tu red local. 3. cuáles son las máquinas a las que se puede conectar o las que pueden recibir información y el tipo de la misma.0. Su manejo es muy flexible y ortogonal pero añade mucha complejidad y tiene una curva de aprendizaje alta.2 Cortafuegos Para ver la aplicación de los objetos y servicios de red.

Cuando eBox actúa de cortafuegos normalmente se instala entre la red local y el router que conecta esa red con otra red. EBOX GATEWAY 3. Para las interfaces internas se deniegan todos los intentos de conexión. normalmente Internet.2. Hay cinco tipos de tráfico de red que pueden controlarse con las reglas de filtrado: 61 . se pueden establecer reglas de filtrado que se encargarán de determinar si el tráfico de un servicio local o remoto debe ser aceptado o no. Si no se desea esta funcionalidad. excepto los que se realizan a servicios internos definidos en el módulo Servicios. intentando a su vez minimizar el esfuerzo de configuración de un administrador cuando añade nuevos servicios.CHAPTER 3. que son aceptadas por defecto. Figure 3.5: Red interna . Además eBox configura el cortafuegos automáticamente de tal manera que hace NAT para los paquetes que provengan de una interfaz interna y salgan por una externa.Red externa La política para las interfaces externas es denegar todo intento de nueva conexión a eBox.2 Modelo de seguridad de eBox El modelo de seguridad de eBox se basa en intentar proporcionar la máxima seguridad posible por defecto. Si eBox actúa como puerta de enlace. puede ser desactivada mediante la variable nat_enabled en el fichero de configuración del módulo cortafuegos en /etc/ebox/80firewall.conf. Esto permite al módulo Cortafuegos establecer unas políticas de filtrado por defecto. Configuración de un cortafuegos con eBox Para facilitar el manejo de iptables en tareas de filtrado se usa el interfaz de eBox en Cortafuegos → Filtrado de paquetes.Reglas de filtrado . Los interfaces de red que conectan la máquina con la red externa (el router ) deben marcarse como tales.

• Tráfico entre redes internas y de redes internas a Internet (ejemplo: prohibir el acceso a Internet desde determinada red interna). por lo que deben utilizarse con sumo cuidado.6: Tipos de reglas de filtrado eBox provee una forma sencilla de controlar el acceso a sus servicios y los del exterior desde una interfaz interna (donde se encuentra la Intranet) e Internet. • Tráfico de eBox a redes externas (ejemplo: permitir descargar ficheros por FTP desde la propia máquina con eBox). Hay que tener en cuenta que los dos últimos tipos de reglas pueden ser un compromiso para la seguridad de eBox y la red. • Tráfico de redes externas a redes internas (ejemplo: permitir acceder a un servidor Web interno desde Internet). Así podemos determinar cómo un objeto de red puede acceder a cada uno de los servicios de 62 . Se pueden ver los tipos de filtrado en el siguiente gráfico: Figure 3.eBox 1.4 para Administradores de Redes • Tráfico de redes internas a eBox (ejemplo: permitir acceso SSH desde algunas máquinas). Su configuración habitual se realiza por objeto. • Tráfico de redes externas a eBox (ejemplo: permitir que el servidor de Jabber se utilice desde Internet).

Finalmente. existen tres tipos: • Aceptar la conexión. Figure 3. Adicionalmente. se le puede dar una descripción para facilitar la gestión de las reglas. cada regla tiene una decisión que tomar. Por ejemplo. De esta manera. por ejemplo.CHAPTER 3. para configurar el acceso a Internet se debe habilitar la salida como cliente a los puertos 80 y 443 del protocolo TCP a cualquier dirección. denegar todo el tráfico de salida excepto el de SSH 3 . Por ejemplo.7: Lista de reglas de filtrado de paquetes desde las redes internas a eBox Cada regla tiene un origen y destino que es dependiente del tipo de filtrado que se realiza. las reglas de filtrado para salida de eBox sólo hace falta fijar el destinatario ya que el origen siempre es eBox. podríamos denegar el acceso al servicio de DNS a determinada subred. Además se manejan las reglas de acceso a Internet. Se puede usar un servicio concreto o su inverso para. • Denegar la conexión y además registrarla. EBOX GATEWAY eBox. • Denegar la conexión ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexión. por ejemplo. 3 SSH: Secure Shell permite la comunicación segura entre dos máquinas usando principalmente como consola remota 63 . a través de Registros -> Consulta registros del Cortafuegos podemos ver si una regla está funcionando correctamente.

Añadir un servicio y una regla de cortafuegos para que una máquina interna pueda acceder al servicio. el puerto de destino original (puede ser cualquiera.10. todas las conexiones que vayan a eBox a través del interfaz eth0 al puerto 8080/TCP se redirigirán al puerto 80/TCP de la máquina con dirección IP 10. Para configurar una redirección hay que establecer la interfaz donde se va a hacer la traducción. un rango de puertos o un único puerto). el protocolo. 64 . la origen desde donde se iniciará la conexión (en una configuración usual su valor será cualquiera). el puerto donde la máquina destino recibirá las peticiones. Ejemplo práctico Usar el programa netcat para crear un servidor sencillo que escuche en el puerto 6970 en la máquina eBox. se direccione a una máquina que está escuchando en un puerto determinado haciendo la traducción de la dirección destino.eBox 1.4 para Administradores de Redes Redirecciones de puertos Las redirecciones de puertos (NAT de destino) se configuran desde Cortafuegos → Redirecciones de puertos donde se puede hacer que todo el tráfico dirigido a un puerto externo (o rango de puertos). el destino original (puede ser eBox. Según el ejemplo. la IP destino y. que puede ser el mismo que el original o no.10. Existe también un campo opcional llamado descripción que es útil para añadir un comentario que describa el propósito de la regla. una dirección IP o un objeto). finalmente.10.

CHAPTER 3. EBOX GATEWAY

Para ello: 1. Acción: Acceder a eBox, entrar en Estado del módulo y activar el módulo Cortafuegos, para ello marcar su casilla en la columna Estado. Efecto: eBox solicita permiso para realizar algunas acciones. 2. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo. Efecto: Se ha activado el botón Guardar Cambios. 3. Acción: Crear un servicio interno a través de Servicios con nombre netcat con puerto destino 6970. Seguidamente, ir a Cortafuegos

→ Filtrado de paquetes en Reglas de filtrado desde las

redes internas a eBox añadir la regla con, al menos, los siguientes campos: • Decisión : ACEPTAR • Fuente : Cualquiera • Servicio : netcat. Creado en esta acción. Una vez hecho esto. Guardar cambios para confirmar la configuración. Efecto: El nuevo servicio netcat se ha creado con una regla para las redes internas que permiten conectarse al mismo. 4. Acción: Lanzar desde la consola de eBox el siguiente comando:

nc -l -p 6970
5. Acción: Desde la máquina cliente comprobar que hay acceso a dicho servicio usando el comando nc:

nc <ip_eBox> 6970
Efecto Puedes enviar datos que serán visto en la terminal donde hayas lanzado netcat en eBox.

65

eBox 1.4 para Administradores de Redes

3.3

Encaminamiento
3.3.1 Tablas de encaminamiento
El término encaminamiento hace referencia a la acción de decidir a través de qué interfaz debe ser enviado un determinado paquete que va a salir desde una máquina. El sistema operativo cuenta con una tabla de encaminamiento con un conjunto de reglas para tomar esta decisión. Cada una de estas reglas cuenta con diversos campos, pero los tres más importantes son: dirección de destino, interfaz y router. Se deben de leer como sigue: para llegar a una dirección de destino dada, tenemos que dirigir el paquete a través de un router, el cual es accesible a través de una determinada interfaz. Cuando llega un mensaje, se compara su dirección destino con las entradas en la tabla y se envía por la interfaz indicada en la regla cuya dirección mejor coincide con el destino del paquete, es decir, aquella regla que es más específica. Por ejemplo, si se especifica una regla en la que para alcanzar la red A (10.15.0.0/16) debe ir por el router A y otra regla en la que para alcanzar la red B (10.15.23.0/24), la cual es una subred de A, debe ir por el router B; si llega un paquete con destino 10.15.23.23/32, entonces el sistema operativo decidirá que se envíe al router B ya que existe una regla más específica. Todas las máquinas tienen al menos una regla de encaminamiento para la interfaz de loopback, o interfaz local, y reglas adicionales para otras interfaces que la conectan con otras redes internas o con Internet. Para realizar la configuración manual de una tabla de rutas estáticas se utiliza Red protocolo DHCP.

→ Rutas

(interfaz para el comando route o ip route). Estas rutas pueden ser sobreescritas si se utiliza el

Puerta de enlace A la hora de enviar un paquete, si ninguna ruta coincide y hay una puerta de enlace configurada, éste se enviará a través de la puerta de enlace. La puerta de enlace (gateway ) es la ruta por omisión para los paquetes que se envían a otras redes. Para configurar una puerta de enlace se utiliza Red → Puertas de enlace.

66

CHAPTER 3. EBOX GATEWAY

Figure 3.8: Configuración de rutas

Habilitado: Indica si realmente esta puerta de enlace es efectiva o está desactivada. Nombre: Nombre por el que identificaremos a la puerta de enlace. Dirección IP: Dirección IP de la puerta de enlace. Esta dirección debe ser accesible desde la máquina que contiene eBox. Interfaz: Interfaz de red conectada a la puerta de enlace. Los paquetes que se envíen a la puerta de enlace se enviarán a través de esta interfaz. Peso: Cuanto mayor sea el peso, más tráfico absorberá esa puerta de enlace cuando esté activado el balanceo de carga. Default: Si está activado, se toma esta como la puerta de enlace por omisión.

67

eBox 1.4 para Administradores de Redes

Si se tienen interfaces configuradas como DHCP o PPPoE no se pueden añadir puertas de enlace explíticamente para ellas, dado que ya son gestionadas automáticamente. A pesar de eso, se pueden seguir activando o desactivando, editando su Peso o elegir el Predeterminado, pero no se pueden editar el resto de los atributos.

Figure 3.9: Lista de puertas de enlace con DHCP y PPPoE

Ejemplo práctico A
Vamos a configurar la interfaz de red de manera estática. La clase quedará dividida en dos subredes. Para ello: 1. Acción: Acceder a la interfaz de eBox, entrar en Red

→ Interfaces y seleccionar para el

interfaz de red eth0 el método Estático. Como dirección IP introducir la que indique el instructor. Como Máscara de red 255.255.255.0. Pulsar el botón Cambiar. La dirección de red tendrá la forma 10.1.X.Y, dónde 10.1.X corresponde con la red e Y con la máquina. En adelante usaremos estos valores. Entrar en Red → DNS y seleccionar Añadir. Introducir como Servidor de nombres 10.1.X.1. Pulsar Añadir. Efecto: Se ha activado el botón Guardar Cambios y la interfaz de red mantiene los datos introducidos. Ha aparecido una lista con los servidores de nombres en la que aparece el servidor recién creado. 2. Acción: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios.

68

Hacer ping a ebox-platform. Acción: Acceder a Red → Diagnóstico.1 Description Ruta a la otra subred Pulsar el botón Añadir.1. Para ello: 1.0 / 24 Gateway 10. Acción: Acceder a Red → Diagnóstico.X.com.CHAPTER 3. Efecto: eBox muestra el progreso mientras aplica los cambios. Hacer ping a una eBox de un compañero de aula que esté en la otra subred. 3. Hacer ping a ebox-platform. Efecto: Se muestra como resultado: connect: Network is unreachable 4. Efecto: Se muestra como resultado: connect: Network is unreachable Ejemplo práctico B Vamos a configurar una ruta para poder acceder a máquinas de otras subredes.com. entrar en Red Rellenar el formulario con los siguientes valores: Network 10. Acción: Acceder a la interfaz de eBox.1. Efecto: Se muestra como resultado: → Rutas y seleccionar Añadir nuevo. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. EBOX GATEWAY 3. 2. Acción: Acceder a Red → Diagnóstico. Ha aparecido una lista de rutas en la que se incluye la ruta recién creada.1. Acción: Guardar los cambios. Efecto: Se ha activado el botón Guardar Cambios. 5. Acción: Acceder a Red → Diagnóstico. Hacer ping a una eBox de un compañero de aula que forme parte de la misma subred. 69 .

Hacer ping a una eBox de un compañero de aula que esté en la otra subred. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. Ha desaparecido la lista de rutas. 3. Acción: Acceder a Red → Diagnóstico. Para ello: 1. 4. Ejemplo práctico C Vamos a configurar una puerta de enlace que nos conecte con el resto de redes. Acción: Guardar los cambios. Acción: Acceder a Red → Diagnóstico.X. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. Efecto: Se ha activado el botón Guardar Cambios. Entrar en Red datos: Nombre Default Gateway IP Address 10. Ha aparecido una lista de puertas de enlace con la puerta de enlace recién creada.com. Hacer ping a ebox-platform. Acción: Acceder a la interfaz de eBox. Efecto: Se muestran como resultado tres intentos satisfactorios de conexión con la máquina. Hacer ping a una eBox de un compañero de aula que esté en la otra subred. Efecto: eBox muestra el progreso mientras aplica los cambios. → Puertas de enlace y selecciona Añadir nuevo. Rellenar con los siguientes 70 .1.4 para Administradores de Redes connect: Network is unreachable 4. Acción: Acceder a Red → Diagnóstico. entrar en Red → Rutas y eliminar la ruta creada en el ejercicio anterior. 2.eBox 1.1 Interface eth0 Weight 1 Default sí Pulsar el botón Añadir.

todos los paquetes de respuesta a una conexión deben ser enviados por el mismo router por el cual se recibió esa conexión. Para solucionar esto se utiliza iptables para identificar las diferentes conexiones y asegurarnos que todos los paquetes de una conexión se envían por el mismo router. de tal manera que la carga se distribuya automáticamente entre ellos.CHAPTER 3. Lo mismo ocurre con las conexiones entrantes que se establecen. Esto es útil si.2 Reglas multirouter y balanceo de carga Las reglas multirouter son una herramienta que permite a los computadores de una red utilizar varias conexiones a Internet de una manera transparente. eBox utiliza las herramientas iproute2 e iptables para llevar a cabo la configuración necesaria para la funcionalidad de multirouter. EBOX GATEWAY 3. Para las reglas multirouter se usa iptables para marcar los paquetes que nos interesan. El balanceo de carga básico reparte de manera equitativa los paquetes que salen de eBox hacia Internet.3. de manera que si las conexiones de las que se dispone tienen diferentes capacidades podemos hacer un uso óptimo de ellas. Utilizando el parámetro peso en la configuración de un router podemos determinar la proporción de paquetes que cada uno de ellos enviará. La forma más simple de configuración es establecer diferentes pesos para cada router. imposibilitando la comunicación. Si se dispone de dos routers y establecemos unos pesos de 5 y 10 respectivamente. Mediante iproute2 se informa al kernel de la disponibilidad de varios routers. Ejemplos comunes son enviar siempre el correo electrónico por un determinado router o hacer que una determinada subred siempre salga a Internet por el mismo router. Hay varios posibles problemas que hay que tener en cuenta. Estas marcas pueden ser utilizadas desde iproute2 para determinar el router por el que un paquete dado debe ser enviado. 71 . por ejemplo. Las reglas multirouter permiten hacer que determinado tipo de tráfico se envíe siempre por el mismo router en caso de que sea necesario. por el primer router se enviarán 5 de cada 15 paquetes mientras que los otros 10 restantes se enviarán a través del segundo. En primer lugar en iproute2 no existe el concepto de conexión. por lo que sin ningún otro tipo de configuración los paquetes pertenecientes a una misma conexión podrían acabar siendo enviados por diferentes routers. Para establecer una configuración multirouter con balanceo de carga en eBox debemos definir tantos routers como sean necesarios en Red → Puertas de enlace. una oficina dispone de varias conexiones ADSL y queremos poder utilizar la totalidad del ancho de banda disponible sin tener que preocuparnos de repartir el trabajo manualmente de las máquinas entre ambos routers.

Para ello: 1. el servicio al que se quiere asociar esta regla y por cual de los routers queremos direccionar el tipo de tráfico especificado. dejando una eBox con la configuración actual y añadiendo en la otra un nuevo gateway. con los siguientes datos: Nombre Gateway 2 Dirección IP <IP eBox compañero> 72 .4 para Administradores de Redes Las reglas multirouter y el balanceo de tráfico se establecen en la sección Red → Balanceo de tráfico. el destino (una dirección IP o un objeto de red). eBox o cualquiera).eBox 1. Acción: Ponerse por parejas. En esta sección podemos añadir reglas para enviar ciertos paquetes a un determinado router dependiendo de la interfaz de entrada. la fuente (puede ser una dirección IP. accediendo a través del interfaz a Red → Puertas de enlace y pulsando en Añadir nuevo. Ejemplo práctico D Configurar un escenario multirouter con varios routers con diferentes pesos y comprobar que funciona utilizando la herramienta traceroute. un objeto.

Ha aparecido una lista de puertas de enlace con la puerta de enlace recién creada y la puerta de enlace anterior. no llegando al porcentaje de aceptación. por tanto. Estas reglas pueden ser un ping al router.3 Tolerancia a fallos (WAN Failover) Si se está balanceando tráfico entre dos o más routers esta característica es realmente útil.$i -m 6. 2. 3.3. causando problemas de conectividad a todos los clientes de la red. Efecto: Se ha activado el botón Guardar Cambios. También se puede definir cuántas pruebas se quieren realizar así como el porcentaje de aceptación exigido. do sudo traceroute -I -n 155. Asumiendo que los dos routers tengan el mismo peso.33. Si cualquiera de las pruebas falla. Acción: Ir a una consola y ejecutar el siguiente script: for i in $(seq 1 254).CHAPTER 3. Acción: Guardar los cambios. En un escenario normal sin tolerancia a fallos. supóngase que se está balanceando el tráfico entre dos routers y uno de ellos se cae. la mitad del tráfico seguiría intentando salir por el router caído. Al ejecutarlo en una máquina con configuración multirouter el resultado de los primeros saltos entre routers debería ser diferente dependiendo del router elegido. una resolución de DNS o una petición HTTP. Pero las pruebas se siguen ejecutando. En la configuración del failover se pueden definir conjuntos de reglas para cada router que necesite ser comprobado. el router asociado a ella será desactivado. 3. a una máquina externa. los usuarios de la red no 73 . Deshabilitar un router sin conexión tiene como consecuencia que todo el tráfico salga por el otro router que sigue habilitado. en cuanto el router vuelva a estar operativo. todas las pruebas se ejecutarán satisfactoriamente y el router será activado de nuevo. EBOX GATEWAY Interfaz eth0 Peso 1 Predeterminado sí Pulsar el botón Añadir. Efecto: eBox muestra el progreso mientras aplica los cambios. De esta forma. done Efecto: El resultado de una ejecución de traceroute muestra los diferentes routers por los que un paquete pasa para llegar a su destino. en lugar de ser balanceado.210.

Una vez que eBox detecta que el router caído está completamente operativo se restaura el comportamiento normal de balanceo de tráfico.4 para Administradores de Redes deberían sufrir problemas con su conexión a Internet. y posteriormente habilitar el evento WAN Failover. sin tener que borrarlas y añadirlas de nuevo. Para usarlo. Router: Se encuentra previamente rellenado con la lista de routers configurados.eBox 1. Para añadir una regla simplemente hay que pulsar la opción Añadir nueva y aparecerá un formulario con los siguientes campos: Habilitado: Indica si la regla va a ser aplicada o no durante la comprobación de conectividad de los routers. 4 Para configurar las opciones y reglas del failover se debe acudir al menú Red → WAN Failover. primero se necesita tener el módulo Eventos habilitado. El failover está implementado como un evento de eBox. 4 74 . Para más detalles acerca de cómo funcionan y como se configuran los eventos en eBox se puede consultar el capítulo Incidencias (eventos y alertas). Se puede especificar el periodo del evento modificando el valor de la opción Tiempo entre revisiones. Se pueden añadir distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades. sólo se necesita seleccionar uno de ellos.

4 Moldeado de tráfico 3. 3. la probabilidad de pérdida de paquetes o la variación de retraso por paquete 5 pueden estar fijadas por diversas aplicaciones de flujo de datos multimedia como voz o TV sobre IP. Estos mecanismos sólo aplican cuando los recursos son limitados (redes inalámbricas celulares) o cuando hay congestión en la red. o garantizar un cierto nivel de rendimiento de acuerdo con las restricciones impuestas por la aplicación. Ratio de éxito requerido: Indica que proporción de intentos satisfactorios es necesaria para considerar correcta la prueba. 5 75 .1 Calidad de servicio (QoS) La calidad de servicio (Quality of Service. los eventos serán registrados solamente en el fichero /var/log/ebox/ebox. Se recomienda configurar un emisor de eventos para estar al tanto de las conexiones y desconexiones de routers que puedan producirse.4. EBOX GATEWAY Tipo de prueba: Puede tomar uno de los siguientes valores: Ping a puerta de enlace: Envía un paquete ICMP echo con la dirección de la puerta de enlace como destino.log. Ping a máquina: Envía un paquete ICMP echo con la dirección IP de la máquina externa especificada abajo como destino.CHAPTER 3. QoS) en redes de computadores se refiere a los mecanismos de control en la reserva de recursos que pueden dar diferente prioridad a usuarios o flujos de datos diferentes. Máquina: El servidor que se va a usar como objetivo en la prueba. Resolución DNS: Intenta obtener la dirección IP para el nombre de máquina especificado abajo. en caso contrario no se deberían aplicarse dichos mecanismos. la tasa de bit. Número de pruebas: Número de veces que se repite la prueba. Restricciones como el retraso en la entrega. Si no se hace esto. No es aplicable en caso de Ping a puerta de enlace. Existen diversas técnicas para dar calidad de servicio: jitter o Packet Delay Variation (PDV) es la diferencia en el retraso entre el emisor y el receptor entre los paquetes seleccionados de un flujo. Petición HTTP: Se descarga el contenido del sitio web especificado abajo.

Las reglas de moldeado son específicas para cada interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas. Se proveen tokens periódicamente a cada uno de los buckets.org 76 . los encaminadores usarán diversas técnicas de encolamiento para adaptarse a los requisitos de las aplicaciones. se consumen tokens. Leaky bucket: Se basa en la presencia de un bucket con un agujero. Sin embargo. Dependiendo de las marcas.4 para Administradores de Redes Reserva de recursos de red: Usando el protocolo Resource reSerVation Protocol (RSVP) para pedir y reservar espacio en los encaminadores. algoritmos de scheduling o evitación de la congestión. basado en la presencia de tokens en el bucket (sitio virtual donde almacenar tokens).eBox 1.4. así cada vez que se envían datos. esta opción se ha relegado ya que no escala bien en el crecimiento de Internet.2 Configuración de la calidad de servicio en eBox eBox utiliza las capacidades del núcleo de Linux 7 para hacer moldeado de tráfico usando token bucket que permite una tasa garantizada. Entran paquetes en el bucket hasta que este se llena. momento en el que se descartan. Además debemos configurar las tasas de subida y bajada de los routers en Moldeado de tráfico → Tasas de Interfaz. Para el moldeado de tráfico existen básicamente dos algoritmos: Token bucket: Dicta cuando el tráfico puede transmitirse. La salida de paquetes se hace a una tasa continua y estable a través de dicho agujero. Con esta técnica se permite el envío de datos en períodos de alta demanda 6 . limitada y una prioridad a determinados tipos de flujos de datos (protocolo y puerto) a través del menú Moldeado de tráfico → Reglas. También debe existir un router. Linux Advanced Routing & Traffic Control http://lartc. cuando no hay tokens no es posible transmitir datos. estableciendo el ancho de banda que nos proporciona cada router que está conectado a una interfaz externa. Uso de servicios diferenciados (DiffServ): Mediante el marcado de paquetes dependiendo el servicio al que sirven. Para poder realizar moldeado de tráfico es necesario disponer de al menos una interfaz interna y una interfaz externa. 3. 6 7 Término conocido como burst. Como añadido a estos sistemas. Cada token es una unidad de Bytes determinada. Esta técnica está actualmente aceptada. existen mecanismos de gestión de ancho de banda para mejorar la calidad de servicio basada en el moldeado de tráfico.

tipo externo y puerto de destino simple 80.CHAPTER 3. Efecto: Se ha activado el botón Guardar Cambios. eso es debido a que el tráfico proveniente de la red no es predecible y controlable de casi ninguna forma. 2. Efecto: eBox muestra el progreso mientras aplica los cambios. entonces se estará limitando el tráfico de salida de eBox hacia Internet. 7: mínima prioridad). Acción: Acceder de nuevo a la interfaz de eBox y añadir en Servicios un servicio llamado HTTP con protocolo TCP.10: Reglas de moldeado de tráfico Ejemplo práctico Crear una regla para moldear el tráfico de bajada HTTP y limitarlo a 20KB/s. Existen técnicas específicas a diversos protocolos para tratar de controlar el tráfico entrante a eBox. como por ejemplo. tasa garantizada o tasa limitada. Como se puede observar. 77 . 1. En cambio. Acción: Añadir un router a través de Red → Routers a tu interfaz de red externo. 3. Acción: Guardar los cambios. Comprobar su funcionamiento. entonces se estará limitando la salida de eBox hacia sus redes internas. EBOX GATEWAY Si se moldea la interfaz externa. no se puede moldear el tráfico entrante en sí. Para cada interfaz se pueden añadir reglas para dar prioridad (0: máxima prioridad. TCP con el ajuste artificial del tamaño de ventana de flujo de la conexión TCP o controlando la tasa de confirmaciones (ACK ) devueltas al emisor. Esas reglas se aplicarán al tráfico determinado por el servicio. El límite máximo de tasa de salida y entrada viene dado por la configuración en Moldeado de tráfico → Tasas de Interfaz. Figure 3. La lista de puertas de enlace contiene un único router. origen y destino del flujo. si se moldea la interfaz interna.

78 . El flujo de autenticación y autorización en RADIUS funciona de la siguiente manera: el usuario o máquina envía una petición a un NAS (Network Access Server ) como podría ser un punto de acceso inalámbrico. una imagen ISO de Ubuntu).eBox 1. autorización y gestión de la tarificación. Authorization and Accounting) para ordenadores que se conectan y usan una red. Acción: Comenzar a descargar desde una máquina de tu LAN (distinta de eBox) usando el comando wget un fichero grande accesible desde Internet (por ejemplo. 4. el NAS envía un mensaje Access Request al servidor RADIUS solicitando autorización para acceder a la red.5 RADIUS RADIUS (Remote Authentication Dial In User Service) es un protocolo de red que proporciona autenticación. incluyendo todos los credenciales de acceso necesarios. utilizando el protocolo de enlace pertinente para obtener acceso a una red utilizando los credenciales de acceso. pero probablemente también realm. Seleccionar la interfaz interna en la lista de interfaces y pulsar en Añadir nuevo para añadir una nueva regla con los siguientes 3. Efecto: La velocidad de descarga de la imagen no supera los 20KB/s (160 Kbits/s). en inglés AAA (Authentication.4 para Administradores de Redes Efecto: eBox muestra una lista con los servicios en la que aparece nuestro nuevo servicio HTTP. En respuesta. Efecto: eBox muestra una tabla con la nueva regla de moldeado de tráfico. no solo nombre de usuario y contraseña. Acción: Ir a la entrada Moldeado de tráfico datos: Habilitada Sí Servicio Servicio basado en puerto / HTTP Origen cualquiera Destino cualquiera Prioridad 7 Tasa garantizada 0 Kb/s Tasa limitada 160 Kb/s Pulsar el botón Añadir. → Reglas. 5.

Access Challenge: Cuando se solicita información adicional. Este protocolo no transmite las contraseñas en texto plano entre el NAS y el servidor (incluso utilizando el protocolo PAP) ya que existe una contraseña compartida que cifra la comunicación entre ambas partes. primero comprobaremos en Estado del Módulo si Usuarios y Grupos está habilitado. EBOX GATEWAY dirección IP.org/>. VLAN asignada y tiempo máximo que podrá permanecer conectado. Todos los dispositivos NAS que vayan a enviar solicitudes de autenticación a eBox deben ser especificados en Clientes RADIUS. Para configurar el servicio. Los puertos oficialmente asignados por el IANA son 1812/UDP para autenticación y 1813/UDP para tarificación. Para cada uno podemos definir: Habilitado: Indicando si el NAS está habilitado o no. Challenge-Handshake Authentication Protocol (CHAP) or Extensible Authentication Protocol (EAP) y se envía una respuesta al NAS: Access Reject: Cuando se deniega el acceso al usuario.El servidor RADIUS más popular del mundo <http://freeradius. El servidor FreeRADIUS 9 es el elegido para el servicio de RADIUS en eBox. Entonces marcaremos la casilla RADIUS para habilitar el módulo de eBox de RADIUS. como podría ser el nombre de la máquina.CHAPTER 3. Esta información se comprueba utilizando esquemas de autenticación como Password Authentication Protocol (PAP). Dirección IP: La dirección IP o el rango de direcciones IP a las que se permite enviar peticiones al servidor RADIUS. 8 9 Estos protocolos de autenticación están definidos en RFC 1334. FreeRADIUS . 79 . Cliente: El nombre para este cliente.1 Configuración del servidor RADIUS con eBox Para configurar el servidor RADIUS en eBox.5. como en TTLS donde un diálogo a través de un túnel establecido entre el servidor RADIUS y el cliente realiza una segunda autenticación. Allí podremos definir si Todos los usuarios o sólamente los usuarios que pertenecen a uno de los grupos existentes podrán acceder al servicio. ya que RADIUS depende de él. 8 3. Access Accept: Cuando se autoriza el acceso al usuario. accederemos a RADIUS en el menú izquierdo.

usando TKIP o AES (recomendado) pueden usarse con eBox RADIUS. normalmente el UDP/1812.6 Servicio Proxy HTTP Un servidor Proxy Caché Web se utiliza para reducir el consumo de ancho de banda en una conexión HTTP (Web) 10 . y la contraseña compartida. El servicio de proxy HTTP suministrado por eBox ofrece las siguientes funcionalidades: 10 Para más información sobre el servicio HTTP.2 Configuración del Punto de Acceso En cada dispositivo NAS necesitaremos configurar la dirección de eBox como el servidor RADIUS. en este caso el protocolo HTTP. por ejemplo actuando de caché o modificando los datos recibidos. ir a la sección Servicio de publicación de información web (HTTP).4 para Administradores de Redes Figure 3.11: Configuración general de RADIUS Contraseña compartida: Contraseña compartida entre el servidor RADIUS y el NAS para autenticar y cifrar sus comunicaciones.eBox 1. 80 .5. mejorar la seguridad en la navegación e incrementar la velocidad de recepción de páginas de la red. Tanto WPA como WPA2. el puerto. Al intermediar puede modificar el comportamiento del protocolo. 3. Un proxy es un programa que actúa de intermediario en la conexión a un protocolo. El modo deberá ser EAP. controlar su acceso. 3.

CHAPTER 3.12: Configuración del Punto de Acceso 81 . EBOX GATEWAY Figure 3.

eBox 1. 11 12 Squid: http://www. Esta falta de restricciones no significa que no puedan disfrutar de las ventajas de la caché de páginas web.org Web content filtering 82 . 3.dansguardian. El primer paso a realizar es definir una política global de acceso. • Restricción de acceso a determinados dominios y tipos de fichero. de usuario o de horario. • Filtrado de contenidos. Podemos establecerla en la sección Proxy HTTP → General.squid-cache. • Restricción de acceso dependiendo de la dirección de red de origen. La política determina si se puede acceder a la web y si se aplica del filtro de contenidos. • Anti-virus. eBox utiliza Squid 11 como proxy. apoyándose en Dansguardian 12 para el control de contenidos.4 para Administradores de Redes • Actúa de caché de contenidos acelerando la navegación y reduciendo el consumo de ancho de banda.6. seleccionando una de las seis políticas disponibles: Permitir todo: Con esta política se permite a los usuarios navegar sin restricciones.1 Configuración de política de acceso La parte más importante de configurar el proxy HTTP es establecer la política de acceso al contenido web a través de él.org Squid Web Proxy Cache Dansguardian: http://www. bloqueando el acceso a contenidos infectados.

Se aplicará la política del objeto de mayor prioridad que contenga la dirección de red. como explicaremos posteriormente podemos establecer políticas particulares para cada objeto de red. Filtrar: Esta política permite el acceso y activa el filtrado de contenidos que puede denegar el acceso web según el contenido solicitado por los usuarios. Autorizar y permitir todo. Warning: La opción de rango horario no es compatible para políticas que usen filtrado de contenidos. Para asignarlas entraremos en la sección Proxy HTTP → Política de objetos.CHAPTER 3. Podremos elegir cualquiera de las seis políticas para cada objeto. Tras establecer la política global. pudiendo usar esta política para denegar por defecto y luego aceptar las peticiones web para determinados objetos. Autorizar y denegar todo: Estas políticas son versiones de las políticas anteriores que incluyen autorización. A primera vista podría parecer poco útil ya que el mismo efecto se puede conseguir más fácilmente con una regla de cortafuegos. Autorizar y Filtrar. cuando se acceda al proxy desde cualquier miembro del objeto esta política tendrá preferencia sobre la política global. La autorización se explicará en la sección Configuración Avanzada para el proxy HTTP. Sin embargo. 83 . EBOX GATEWAY Denegar todo: Esta política deniega el acceso web. Una dirección de red puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad. Además existe la posibilidad de definir un rango horario fuera del cual no se permitira acceso al objeto de red. podemos refinar nuestra política asignando políticas particulares a objetos de red.

Para evitar que los usuarios se salten cualquier control de usuario sin pasar por el proxy. En este modo. Por último. Para activar este modo debemos ir a la página Proxy HTTP requieran autorización. deberíamos tener denegado el tráfico HTTP en nuestro cortafuegos. pero la información necesaria es la dirección del servidor de eBox y el puerto donde acepta peticiones el proxy.13: Políticas de acceso web para objetos de red 3. El proxy de eBox Platform únicamente acepta conexiones provenientes de sus interfaces de red internas. Si se quiere usar el proxy transparente se debe establecer una regla en el cortafuegos para las redes internas hacia Internet dando acceso garantizado al tráfico HTTPS. pero se puede configurar desde la sección Proxy HTTP General. → → General y marcar la opción proxy transparente. los usuarios deben configurar su navegador estableciendo eBox como proxy web.eBox 1. Como veremos en Configuración Avanzada para el proxy HTTP. Otros puertos típicos para servicios de proxy web son el 8000 y el 8080. Una manera de evitar la necesidad de configurar cada navegador es usar el modo transparente. por tanto. hay que tener en cuenta que el tráfico Web seguro (HTTPS) no puede ser filtrado al estar cifrado. eBox debe ser establecido como puerta de enlace y las conexiones HTTP hacia las redes externas a eBox (Internet) serán redirigidas al proxy. se debe usar una dirección interna en la configuración del navegador. El puerto por defecto es el 3128. el modo transparente es incompatible con políticas que 84 .6. El método específico depende del navegador.2 Conexión al proxy y modo transparente Para conectar al proxy HTTP.4 para Administradores de Redes Figure 3.

pudiendo incrementar la velocidad de navegación y reducir el uso de ancho de banda.6. Es posible indicar dominios que estén exentos del uso de la caché. Con un mayor tamaño se aumentará la probabilidad de que se pueda recuperar un elemento desde la caché. Sin embargo. iremos a Proxy HTTP Filtrado y seleccionaremos la configuración del perfil por defecto → Perfiles de 85 . Dichos dominios se definen bajo el encabezado Excepciones a la caché que podemos encontrar en la sección Proxy HTTP → General.3 Control de parámetros de la caché En el apartado Proxy HTTP → General es posible definir el tamaño de la caché en disco y qué direcciones están exentas de su uso. Con eBox se pueden definir múltiples perfiles de filtrado pero sólo trataremos en esta sección el perfil por defecto. El tamaño de la caché controla el máximo de espacio usado para almacenar los elementos web cacheados. Para que el filtrado tenga lugar la política global o la particular de cada objeto desde que se accede deberá ser de Filtrar o Autorizar y Filtrar. 3. ya que la caché debe mantener índices a los elementos almacenados en el disco duro. cuando se reciba una petición con destino a dicho dominio se ignorará la caché y se devolverán directamente los datos recibidos desde el servidor sin almacenarlos. el aumento de tamaño tiene como consecuencias negativas no sólo el aumento de espacio usado en el disco duro sino también un aumento en el uso de la memoria RAM.CHAPTER 3. Para configurar las opciones de filtrado.4 Filtrado de contenidos web eBox permite el filtrado de páginas web según su contenido. dejando la discusión de múltiples perfiles para la sección Configuración Avanzada para el proxy HTTP. Corresponde a cada administrador decidir cual es el tamaño óptimo para la caché teniendo en cuenta las características de la máquina y el tráfico web esperado.6. Si un dominio está exento de la caché. El tamaño se establece en el campo Tamaño de ficheros de caché que se puede encontrar bajo el encabezado Configuración General. EBOX GATEWAY 3. Por ejemplo. si tenemos servidores web locales no se acelerará su funcionamiento usando la caché HTTP y se malgastaría memoria que podría ser usada por elementos de servidores remotos.

La conclusión final es determinar si una página puede ser visitada o no. Filtro de tipos MIME y Filtro de dominios. Estos filtros están dispuestos en la interfaz por medio de las pestañas Filtro de extensiones de fichero. Para controlar este proceso se puede establecer un umbral más o menos restrictivo. El primer filtro es el anti-virus. pero siempre existirá el riesgo de un falso positivo con páginas desconocidas. violencia. Hay que tener en cuenta que con este análisis se puede llegar a bloquear paginas inocuas. Existen otro tipo de filtros de carácter explícito: • Por dominio: Prohibiendo el acceso a la página de un diario deportivo en una empresa. si se considera que el contenido no es apropiado (pornografía. Para poder utilizarlo debemos tener el módulo de antivirus instalado y activado.eBox 1. Si está activado se bloqueará el tráfico HTTP en el que sean detectados virus. 86 .4 para Administradores de Redes El filtrado de contenidos de la páginas Web se basa en diferentes métodos incluyendo marcado de frases clave. • Por extensión del fichero a descargar. • Por tipo de contenidos MIME: Denegando la descarga de todos los ficheros de audio o vídeo. filtrado heurístico y otros filtros más sencillos. siendo este el valor que se comparará con la puntuación asignada a la página para decidir si se bloquea o no. También se puede desactivar este filtro eligiendo el valor Desactivado. El filtro de contenidos principalmente consiste en el análisis de los textos presentes en las paginas web. este problema se puede remediar añadiendo dominios a una lista blanca. etc) se bloqueará el acceso a la página. El lugar donde establecer el umbral es la sección Umbral de filtrado de contenido. Podemos configurar si deseamos activarlo o no.

que define los tipos de contenidos.. concebido para extender las capacidades del correo electrónico.. . Los tipos MIME (Multipurpose Internet Mail Extensions) son un estándar. De manera similar en Filtro de tipos MIME se puede indicar qué tipos MIME se quieren bloquear y añadir otros nuevos si es necesario. El primero de los elementos determina el tipo de contenido que almacena (texto. audio.). vídeo.. gzip. MPEG.. EBOX GATEWAY En la pestaña de Filtro de extensiones de fichero se puede seleccionar que extensiones serán bloqueadas. Existen dos opciones de carácter general: 87 .) y el segundo el formato específico para representar dicho contenido (HTML. En la pestaña de Filtro de dominios encontraremos los parametros que controlan el filtrado de paginas en base al dominio al que pertenecen. .CHAPTER 3. binario. imagen. Un ejemplo de tipo MIME es text/html que son las páginas Web. Estos también se usan en otros protocolos como el HTTP para determinar el contenido de los ficheros que se transmiten.

Denegar siempre: El acceso nunca se permitirá a los contenidos de este dominio. esta opción bloquea todos los dominios que no estén presentes en la seccion Reglas de dominios o en las categorias presentes en Archivos de listas de dominios.eBox 1. • Bloquear dominios no listados. En este último caso. Estas listas son normalmente mantenidas por terceras 88 . En el encabezado Archivos de listas de dominios podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. A continuación tenemos.4 para Administradores de Redes • Bloquear dominios especificados sólo como IP. Resulta útil si está activada la opción Bloquear dominios no listados. las categorias con una política de Ignorar no son consideradas como listadas. la lista de dominios. donde podemos introducir nombres de dominio y seleccionar una política para ellos entre las siguientes: Permitir siempre: El acceso a los contenidos del dominio será siempre permitido. Filtrar: Se aplicarán las reglas usuales a este dominio. todos los filtros del filtro de contenido son ignorados. esta opción bloquea cualquier dominio especificado únicamente por su IP asegurándonos así que no es posible encontrar una manera de saltarse nuestras reglas mediante el uso de direcciones IP.

Las políticas que se pueden establecer en cada categoría son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha categoría. como su nombre indica. Dicha política es la elegida por defecto para todas las categorías. Ejemplo práctico Activar el modo transparente del proxy. eBox soporta las listas distribuidas por urlblacklist 13 . shalla’s blacklists 14 y cualquiera que use el mismo formato. Una vez descargado el archivo.de 89 . simplemente ignora la existencia de la categoría a la hora de filtrar. entrar en Estado del módulo y activar el módulo Proxy HTTP. para ello marcar su casilla en la columna Estado. Acción: Acceder a eBox.urlblacklist. Comprobar usando los comandos de iptables las reglas de NAT que ha añadido eBox para activar este modo Para ello: 1.com Shalla’s blacklist: http://www. podemos incorporarlo a nuestra configuración y establecer políticas para las distintas categorías de dominios.shallalist. permitiéndonos seleccionar una política para una categoría entera de dominios. Estas listas son distribuidas en forma de archivo comprimido. 13 14 URLBlacklist: http://www. Efecto: eBox solicita permiso para sobreescribir algunos ficheros. EBOX GATEWAY partes y tienen la ventaja de que los dominios están clasificados por categorías.CHAPTER 3. Existe una política adicional Ignorar que.

168.4 para Administradores de Redes 2. Efecto: Se ha activado el botón Guardar Cambios.1. es decir.any any anywhere anywhere 0 0 SNAT all -. 3.eth3 destination out source destination out any source destination anywhere !192. Chain OUTPUT (policy ACCEPT 5702 packets. 291K bytes) pkts bytes target prot opt in out source Chain postmodules (1 references) pkts bytes target prot opt in Chain premodules (1 references) pkts bytes target prot opt in 0 0 REDIRECT tcp -.204 tcp 90 . 1222K bytes) pkts bytes target prot opt in out source destination 799 88715 premodules all -. Acción: Guardar cambios para confirmar la configuración Efecto: Se reiniciarán los servicios de cortafuegos y proxy HTTP.1.eBox 1.1. activar la casilla de Modo transparente.any eth2 !10. 14492 bytes) pkts bytes target prot opt in out source destination 29 2321 postmodules all -. Efecto: La salida de dicho comando debe ser algo parecido a esto: Chain PREROUTING (policy ACCEPT 7289 packets. Asegurarnos que eBox puede actuar como router.any any anywhere anywhere Chain POSTROUTING (policy ACCEPT 193 packets. 5.1. Acción: Desde la consola en la máquina en la que está eBox. Acción: Ir a Proxy HTTP otra interna. ejecutar el comando → General. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos.45. que haya al menos una interfaz de red externa y iptables -t nat -vL. Efecto: El modo transparente está configurado 4.1 anywhere to:10.

se considera la motivación principal de su creación. 91 . se van a ver dentro de este apartado. usuarios y grupos) se utilizan los servicios de directorio. Este servicio da una interfaz de acceso a la información. Se podría hacer la analogía entre un servicio de directorio y las páginas amarillas. tareas. Entre sus características destacan: • La información es muchas más veces leída que escrita.Chapter 4 eBox Office Uno de los fundamentos de la creación de las redes de computadores. se van a ir explorando los diferentes recursos de información disponibles en una red de área local dispuesta en casa o en la oficina. además de todos los servicios de grupo como calendarios. 1 De hecho. contactos. el empleo de ficheros e impresoras compartidas. A lo largo de todo este capítulo. • Estructura jerárquica que simula la arquitectura de las organizaciones.1 Servicio de directorio (LDAP) Para almacenar y organizar la información relativa a organizaciones (en nuestro caso. La gestión de usuarios y grupos a través de un servicio de directorio para todos los servicios de la red de forma unificada. Estos permiten a los administradores de la red manejar el acceso a los recursos por parte de los usuarios añadiendo una capa de abstracción entre ambos. 4. etc. También actúa como una autoridad central y común a través de la cual los usuarios se pueden autenticar de manera segura. fue la compartición de recursos y de información 1 .

ActiveDirectory. Internet Assigned Numbers Authority (IANA) es una organización que se encarga de la asignación de direcciones IP públicas. nombres de dominio de máximo nivel (TLD). Por defecto y a no ser que se indique lo contrario en el menú Usuarios y Grupos → Modo. eBox usa OpenLDAP como servicio de directorio con tecnología Samba para controlador de dominios Windows además de para la compartición de ficheros e impresoras.iana.1 Usuarios y grupos Normalmente. http://www. permitiendo al administrador distribuir los servicios entre varias máquinas de la red. 2 92 . 3 el módulo se configurará como un directorio LDAP maestro y el Nombre Distinguido (DN) se puede hacer en la entrada de texto LDAP DN. 4. el módulo de usuarios y grupos puede configurarse siguiendo una arquitectura maestro/esclavo para compartir usuarios entre las diferentes eBoxes. en la gestión de una organización de mayor o menor tamaño existe la concepción de usuario o grupo.eBox 1.1. Para facilitar la tarea de administración de recursos compartidos se diferencia entre entre usuarios y grupos de ellos. Si se desea configurar un DN diferente.4 para Administradores de Redes • A cada clase de objeto. eBox está diseñada de manera modular.org/ 3 Cada entrada en un directorio LDAP tiene un identificador único llamado nombre distinguido que tiene similitudes con el concepto de ruta completa de fichero en un sistema de ficheros. se le definen unas propiedades sobre las cuales se pueden definir listas de control de acceso (ACLs). etc. estandarizada por la IANA 2 . OpenLDAP. Para que esto sea posible. Gestión de los usuarios y grupos en eBox Modos Como se ha explicado. del directorio se establecerá de acuerdo al nombre de la máquina. Cada uno de los cuales puede tener diferentes privilegios con respecto a los recursos de la organización. Existen múltiples implementaciones del servicio de directorio entre las que destacamos NIS. etc.

Su valor puede ser obtenido en el campo Contraseña de la opción de menú Usuarios y Grupos → Datos LDAP en la eBox maestra. Esta clave no es la de eBox.CHAPTER 4. Por defecto. Hay varias maneras de conseguir esto. La configuración del esclavo necesita dos datos más. por lo que es necesario asegurarse de hacer los ajustes necesarios en el mismo antes de proseguir. El maestro debe de ser capaz de resolver el nombre de máquina del esclavo utilizando DNS. sino una generada automáticamente al activar el módulo usuarios y grupos. la IP o nombre de máquina del directorio maestro y su clave de LDAP. incluyendo el nombre de máquina del esclavo y la dirección IP. el cortafuegos prohíbe este tráfico. 93 . Hay un requisito más antes de registrar una eBox esclava en una eBox maestra. debe ser configurado de manera que permita el tráfico entrante de los esclavos. EBOX OFFICE Otras eBoxes pueden ser configuradas para usar un maestro como fuente de sus usuarios. Si el módulo cortafuegos está habilitado en la eBox maestra. convirtiéndose así en directorios esclavos. Para hacer esto. La más sencilla es añadir una entrada para el esclavo en el fichero /etc/hosts del maestro. se debe seleccionar el modo esclavo en Usuarios y Grupos → Modo. Otra opción es configurar el servicio DNS en eBox.

Algunos módulos necesitan que se ejecuten algunas acciones cuando se añaden usuarios. por ejemplo si uno de los esclavos está apagado. Si en algún momento se desea cambiar el modo de operación del módulo usuarios y grupos. Hay una importante limitación en la arquitectura maestro/esclavo actual. Los módulos que utilizan usuarios como por ejemplo correo y compartición de ficheros pueden instalarse ahora en los esclavos y utilizarán los usuarios disponibles en la eBox maestra. el maestro recordará que hay acciones pendientes que deben realizarse y lo reintentará periódicamente.4 para Administradores de Redes Una vez todos los parámetros han sido establecidos y el nombre de máquina del esclavo puede ser resuelto desde el maestro. El maestro eBox no puede tener instalados módulos que dependan de usuarios y grupos.eBox 1. el esclavo puede registrarse en la eBox maestra habilitando el módulo de usuarios y grupos en Estado de los módulos. Para hacer esto. como por ejemplo compartición de ficheros o correo. Desde esta sección también es posible borrar un esclavo. Los esclavos crean una réplica del directorio maestro cuando se registran por primera vez. el maestro notifica a los esclavos sobre nuevos usuarios y grupos cuando son creados. En ese caso. Puede haber problemas ejecutando estas acciones en ciertas circunstancias. deben ser desinstalados antes de intentar registrar un esclavo en él. que se mantiene actualizada automáticamente cuando se añaden nuevos usuarios y grupos. que necesita crear los directorios de usuario. como por ejemplo compartición de ficheros. se puede hacer ejecutando el script: 94 . dando la oportunidad a los esclavos de ejecutar las acciones apropiadas. El usuario puede comprobar también el estado de los esclavos en Usuarios y Grupos → Estado de Esclavo y forzar el reintento de las acciones manualmente. Se puede ver la lista de esclavos en el menú Usuarios y grupos → Estado de los esclavos de la eBox maestra. Si el maestro tiene alguno de estos módulos instalados.

Mientras se edita un grupo. 95 . Un grupo se identifica A través de Usuarios y Grupos → Grupos se pueden ver todos los grupos existentes para poder editarlos o borrarlos. y puede contener una descripción. además de la información que tiene que ver con aquellos módulos de eBox instalados que poseen alguna configuración específica para los grupos de usuarios. EBOX OFFICE # sudo /usr/share/ebox-usersandgroups/ebox-usersandgroups-reinstall Cuando se ejecuta elimina completamente el contenido del directorio LDAP.CHAPTER 4. borrando todos los usuarios y grupos actuales y reinstalando desde cero un directorio vacío que puede ser configurado en un modo diferente. → Grupos. se pueden elegir los usuarios que pertenecen al grupo. Creación de usuarios y grupos Se puede crear un grupo desde el menú Usuarios y Grupos por su nombre.

editarlos o 96 . Los usuarios se crean desde el menú Usuarios y Grupos→ Usuarios. será el nombre que use para identificarse en los procesos de autenticación.4 para Administradores de Redes Entre otras cosas con grupos de usuarios es posible: • Disponer de un directorio compartido entre los usuarios de un grupo. Desde Usuarios y Grupos eliminarlos. • Crear un alias de cuenta de correo que redirija a todos los usuarios de un grupo. → Usuarios se puede obtener un listado de los usuarios. Esta información se tendrá que dar dos veces para evitar introducirla incorrectamente. • Asignar permisos de acceso a las distintas aplicaciones de eGroupware a todos los usuarios de un grupo. Comentario: Información adicional sobre el usuario. • Dar permisos sobre una impresora a todos los usuarios de un grupo. Apellidos: Apellidos del usuario. Grupo: Es posible añadir el usuario a un grupo en el momento de su creación.eBox 1. Nombre: Nombre del usuario. Contraseña: Contraseña que empleará el usuario en los procesos de autenticación. donde tendremos que rellenar la siguiente información: Nombre de usuario: Nombre que tendrá el usuario en el sistema.

Editando un usuario es posible: • Crear una cuenta para el servidor Jabber. También se puede modificar la lista de grupos a los que pertenece. • Crear una cuenta para la compartición de ficheros o de PDC con una cuota personalizada. además de la información que tiene que ver con aquellos módulos de eBox instalados que poseen alguna configuración específica para los usuarios. • Crear una cuenta de correo electrónico para el usuario y aliases para la misma. • Asignar una extensión telefónica a dicho usuario. EBOX OFFICE Mientras se edita un usuario se pueden cambiar todos los datos anteriores exceptuando el nombre del usuario. 97 .CHAPTER 4. • Asignar permisos de acceso a las distintas aplicaciones de eGroupware. • Dar permisos al usuario para usar una impresora.

El usuario puede entrar en el rincón del usuario a través de: https://<ip_de_eBox>:<puerto_rincon_usuario>/ Una vez el usuario introduce su nombre y su contraseña puede realizar cambios en su configuración personal. Rincón del Usuario Los datos del usuario sólo pueden ser modificados por el administrador de eBox lo cual comienza a ser no escalable cuando el número de usuarios que se gestiona comienza a ser grande. Dicho rincón es un servicio de eBox para permitir cambiar a los usuarios sus datos. mientras que el resto de atributos relacionados con otros módulos instalados en un esclavo dado se editan desde el mismo.eBox 1. Tareas de administración como cambiar la contraseña de un usuario puede hacer perder la mayoría del tiempo del encargado de dicha labor. Esta funcionalidad debe ser habilitada como el resto de módulos.4 para Administradores de Redes En una configuración maestro-esclavo. • Configuración del buzón de voz del usuario. 98 . El rincón del usuario se encuentra escuchando en otro puerto por otro proceso para aumentar la seguridad del sistema. • Configurar una cuenta personal externa para recoger el correo y sincronizarlo con el contenido en su cuenta del servidor de correo en eBox. De ahí surge la necesidad del nacimiento del rincón del usuario. Por ahora. los campos básicos de usuarios y grupos se editan desde el maestro. la funcionalidad que se presenta es la siguiente: • Cambiar la contraseña actual.

2.CHAPTER 4. Efecto: El módulo está activado y listo para ser usado. Acción: Acceder a Usuarios → Añadir usuario. Efecto: El grupo contabilidad ha sido creado. Para ello: 1. Acción: Acceder a Usuarios y Grupos parámetro comentario es opcional. EBOX OFFICE Ejemplo práctico A Crear un grupo en eBox llamado contabilidad. Añadir contabilidad como grupo. Entrar en Estado de los módulos y activar el módulo en caso de que no esté habilitado. Acción: Activar el módulo usuarios y grupos. → Grupos. No es necesario que se guarden los cambios ya que las acciones sobre LDAP tienen efecto inmediato. Comprobar desde consola que hemos añadido a nuestro usuario correctamente: 99 . El Ejemplo práctico B Crear el usuario pedro y añadirlo al grupo contabilidad. Rellenar los distintos campos para nuestro nuevo usuario. Se puede añadir al usuario pedro al grupo contabilidad desde esta pantalla. Efecto: El usuario ha sido añadido al sistema y al grupo contabilidad. Para ello: 1.

4 La ingeniería inversa trata de averiguar los protocolos de comunicación usando para ello únicamente sus mensajes. de Sun Microsystems.1 Compartición de ficheros La compartición de ficheros se realiza a través de un sistema de ficheros en red. el cliente no debería saber si el fichero se almacena en la propia máquina o se dispersa por la red. 100 . Andrew File System (AFS) y Common Internet File System (CIFS) también conocido como Server Message Block (SMB). Se usa principalmente entre ordenadores Windows. Idealmente. puertos serie y otra serie de comunicaciones entre nodos en una red local. También ofrece mecanismos de autenticación entre procesos.2 Servicio de compartición de ficheros y de autenticación 4.4 para Administradores de Redes 1. 4. esta información puede estar dispersa en diferentes lugares. A los clientes se les da la abstracción de estar haciendo operaciones (creación.2004(contabilidad) 4. Acción: Ejecutar en la consola el comando: # id pedro Efecto: El resultado debería de ser algo como esto: uid=2003(pedro) gid=1901(__USERS__) groups=1901(__USERS__) .2 SMB/CIFS y su implementación Linux Samba El SMB (Server Message Block ) o CIFS (Common Internet File System) se usa para compartir el acceso a ficheros. Sin embargo. En realidad. escritura) sobre ficheros en un medio de almacenamiento de la misma máquina. eso no es posible debido a los retardos de la red y las cuestiones relacionadas con la actualización concurrente de ficheros comunes y que no deberían interferir entre ellas. siendo por tanto transparente en cuanto a su localización.2. existen implementaciones en otros sistemas operativos como GNU/Linux a través de Samba que implementa los protocolos de los sistemas Windows utilizando ingeniería inversa 4 .2. Los principales sistemas existentes para ello son Network File System (NFS). impresoras. que fue el primero en crearse. lectura.eBox 1. sin embargo.

5 101 . En las versiones más modernas de Windows ha pasado a denominarse simplemente Domain Controller. 4. mayores tamaños para los ficheros y evitar el uso de NetBIOS 5 sobre el que SMB se basa. Por tanto. es posible utilizarlo para permitir la entrada en el sistema con control de acceso remoto.3 Primary Domain Controller (PDC) Un PDC es un servidor de dominios de versiones Windows NT previas a Windows 2000. También se puede crear un directorio compartido para un grupo desde Grupos directorios dentro de dicho directorio compartido.CHAPTER 4. sin importar si la función de PDC esté activa. Un dominio.4 eBox como servidor de ficheros Nosotros nos vamos a aprovechar de la implementación de SMB/CIFS para Linux usando Samba como servidor de ficheros y de autenticación de sistemas operativos Windows en eBox. Los servicios de compartición de ficheros están activos cuando el módulo de Compartición de ficheros esté activo. Microsoft decidió renombrar SMB a CIFS añadiendo nuevas características como enlaces simbólicos y fuertes. El directorio personal de cada usuario es compartido automáticamente y solo puede ser accedido por el correspondiente usuario. 4. EBOX OFFICE Ante el auge de otros sistemas de compartición de ficheros. es un sistema que permite el acceso restringido a una serie de recursos con el uso de un única combinación nombre de usuario y contraseña. Todos los miembros del grupo tendrán acceso a ese directorio y podrán leer o escribir los ficheros y NetBIOS (Network Basic Input/Output System): API que permite la comunicación en una red de área local entre ordenadores diferentes dando a cada máquina un nombre NetBIOS y una dirección IP correspondiente a un (posiblemente diferente) nombre de máquina. Con eBox la compartición de ficheros está integrada con los usuarios y grupos. según este entorno. De tal manera que cada usuario tendrá su directorio personal y cada grupo puede tener un directorio compartido para todos sus usuarios.2. → Editar grupo. PDC también ha sido recreado por Samba dentro del sistema de autenticación de SMB.2.

eBox 1.4 para Administradores de Redes

Ir a Compartir Ficheros

→ Configuración general para configurar los parámetros generales del

servicio de compartición de ficheros. Establecemos como dominio dónde se trabajará dentro de la red local dentro de Windows, y como nombre NetBIOS el nombre que identificará a eBox dentro de la red Windows. Se le puede dar una descripción larga para describir el dominio. Además se puede establecer de manera opcional un límite de cuota. Con el Grupo Samba se puede opcionalmente configurar un grupo exclusivo en el que sus usuarios tenga cuenta de compartición de ficheros en vez de todos los usuarios, la sincronización se hace cada hora. Para crear un directorio compartido, se accede a Compartir Ficheros → Directorios compartidos y se pulsa Añadir nuevo.

Habilitado: Lo dejaremos marcado si queremos que este directorio esté compartido. Podemos deshabilitarlo para dejar de compartirlo manteniendo la configuración. Nombre del directorio compartido: El nombre por el que será conocido el directorio compartido. Ruta del directorio compartido: Ruta del directorio a compartir. Se puede crear un subdirectorio dentro del directorio de eBox /home/samba/shares, o usar directamente una ruta existente del sistema si se elige Ruta del sistema de ficheros.

102

CHAPTER 4. EBOX OFFICE

Comentario: Una descripción más extensa del directorio compartido para facilitar la gestión de los elementos compartidos.

Desde la lista de directorios compartidos podemos editar el control de acceso. Allí, pulsando en Añadir nuevo, podemos asignar permisos de lectura, lectura y escritura o administración a un usuario o a un grupo. Si un usuario es administrador de un directorio compartido podrá leer, escribir y borrar ficheros de cualquier otro usuario dentro de dicho directorio.

También se puede crear un directorio compartido para un grupo desde Usuarios y Grupos todos los ficheros en el directorio.

Grupos. Todos los miembros del grupo tendrán acceso, podrán escribir sus propios ficheros y leer

Si se quieren almacenar los ficheros borrados dentro de un directorio especial llamado RecycleBin, se puede marcar la casilla Habilitar Papelera de Reciclaje dentro de Compartir ficheros

Papelera de Reciclaje. Si no se desea activar la papelera para todos los recursos compartidos, se pueden añadir excepciones en la sección Recursos excluidos de la Papelera de Reciclaje. También se pueden modificar algunos otros valores por defecto para esta característica, como por ejemplo el nombre del directorio, editando el fichero /etc/ebox/80samba.conf.

103

eBox 1.4 para Administradores de Redes

En Compartir ficheros

→ Antivirus existe también una casilla para habilitar o deshabilitar la

búsqueda de virus en los recursos compartidos y la posibilidad de añadir excepciones para aquellos en los que no se desee buscar. Nótese que para acceder la configuración del antivirus para el módulo de compartir ficheros es requisito tener instalado el paquete samba-vscan en el sistema. El módulo antivirus de eBox debe estar así mismo instalado y habilitado.

4.2.5 Configuración de clientes SMB/CIFS
Una vez tenemos el servicio ejecutándose podemos compartir ficheros a través de Windows o GNU/Linux.

Cliente Windows A través de Mis sitios de red → Toda la red. Encontramos el dominio que hemos elegido y después aparecerá la máquina servidora con el nombre seleccionado y podremos ver sus recursos compartidos:

104

CHAPTER 4. EBOX OFFICE

Cliente Linux 1. Konqueror (KDE) En Konqueror basta con poner en la barra de búsqueda smb:// para ver la red de Windows en la que podemos encontrar el dominio especificado:

2. Nautilus (Gnome)

105

90/joe get ejemplo put eaea ls 106 . Por ejemplo.4 para Administradores de Redes En Nautilus vamos a Lugares → Servidores de Red → Red de Windows. Un ejemplo de sesión puede ser el siguiente: $ > > > smbclient -U joe //192. Hay que tener en cuenta que los directorios personales de los usuarios no se muestran en la navegación y para entrar en ellos se debe hacer directamente escribiendo la dirección en la barra de búsqueda. para acceder al directorio personal del usuario pedro. debería introducir la siguiente dirección: smb://<ip_de_ebox>/pedro 3. Smbclient Además de las interfaces gráficas.eBox 1. con manejo de sesiones. Permite la descarga y subida de ficheros. etc. ahí encontramos nuestro dominio y dentro del mismo el servidor eBox donde compartir los recursos. recoger información sobre ficheros y directorios.45.168. disponemos un cliente de línea de comandos que funciona de manera similar a un cliente FTP.

CHAPTER 4.90/ Domain=[eBox] OS=[Unix] Server=[Samba 3.45.14a-Debian] Server Comment --------------DME01 PC Verificaci eBox-SMB3 eBox Samba Server WARP-T42 Workgroup Master --------------eBox eBox-SMB3 GRUPO_TRABAJO POINT INICIOMS WARHOL MSHOME SHINNER WARP WARP-JIMBO 4. 107 . EBOX OFFICE > exit $ smbclient -U joe -L //192.168.6 eBox como un servidor de autenticación Para aprovechar las posibilidades del PDC como servidor de autenticación y su implementación Samba para GNU/Linux debemos marcar la casilla Habilitar PDC a través de Compartir ficheros → Configuración General.0.0.2.14a-Debian] Sharename Type Comment -----------------_foo Disk _mafia Disk hp Printer br Printer IPC$ IPC IPC Service (eBox Samba Server) ADMIN$ IPC IPC Service (eBox Samba Server) joe Disk Home Directories Domain=[eBox] OS=[Unix] Server=[Samba 3.

impidiendo que puedan ser repetidas en sucesivas modificaciones. • Forzar historial de contraseñas. como sus preferencias de Windows. Dicha contraseña deberá renovarse tras superar los días configurados. Esta opción forzará a almacenar un máximo de contraseñas. • Longitud mínima de contraseña. recibirá del servidor PDC su perfil. sus cuentas de correo de Outlook. sino que también almacenará los perfiles de cada usuario. el servidor PDC necesitará espacio de disco suficiente. Es posible definir políticas para las contraseñas de los usuarios a través de Compartir ficheros → PDC. 108 . De hecho. el usuario dispondrá de su entorno de trabajo en varios ordenadores. Cuando un usuario inicie sesión. Estos perfiles contienen toda la información del usuario. • Edad máxima de contraseña. De esta manera. Estas políticas son únicamente aplicables cuando se cambia la contraseña desde Windows con una máquina que está conectada a nuestro dominio. o sus documentos.4 para Administradores de Redes Si la opción Perfiles Móviles está activada. Estas políticas suelen ser forzadas por la ley. Windows forzará el cumplimiento de dicha política al entrar en una máquina registrada en el dominio. el servidor PDC no sólo realizará la autenticación.eBox 1. Hay que tener en cuenta antes de activar esta opción que la información de los usuarios puede ocupar varios GiB de información. También se puede configurar la letra del disco al que se conectará el directorio personal del usuario tras autenticar contra el PDC en Windows.

Adicionalmente. Esto se configura en Usuarios y Grupos→ Usuarios → Cuenta de compartición de ficheros o de PDC. Allí. Tras finalizar el asistente. siempre y cuando no colisione con el resto de equipos a añadir al dominio. EBOX OFFICE 4. El nombre de la máquina puede ser el mismo que estaba.CHAPTER 4. y como dominio el nombre de dominio escrito en la configuración de Compartir Ficheros. Windows XP Professional). 109 . En cada pregunta se le da como nombre de usuario y contraseña la de aquel usuario al que hemos dado privilegios de administrador. se necesita utilizar una cuenta que tenga privilegios de administrador en el servidor PDC. Ahora vamos a otra máquina dentro de la misma red de área local (hay que tener en cuenta que el protocolo SMB/CIFS funciona en modo difusión total) con un Windows capaz de trabajar con CIFS (Ej. lanzamos el asistente para asignar una Id de red a la máquina. se debe reiniciar la máquina. en Mi PC → Propiedades. se puede establecer una Cuota de disco.7 Configuración de clientes PDC Para poder configurar la autenticación PDC en una máquina.2.

eBox 1. Los siguiente métodos de conexión están soportados por eBox: 6 Universal Serial Bus (USB) es un bus serie estándar para comunicación de dispositivos con la computadora. se establece un nombre significativo para la impresora y se configura el método de conexión. Una vez tenemos todos los datos previos. debemos tener accesibilidad a dicha impresora desde la máquina que contenga eBox ya por conexión directa. permitiendo o denegando el acceso a usuarios y grupos para su uso. modelo y controlador de la impresora si se quiere obtener un funcionamiento correcto.4 para Administradores de Redes Una vez hemos entrado con uno de los usuarios. 4. se puede añadir una impresora a través de Impresoras → Añadir Impresora. podemos entrar en Mi PC y aparecerá una partición de red con una cuota determinada en la configuración de eBox. 110 .3 Servicio de compartición de impresoras Para compartir una impresora de nuestra red. Además debemos conocer información relativa al fabricante. Ahí se sigue un asistente en el que se irán introduciendo los datos necesarios para su incursión en función de los datos entrantes. puerto paralelo o USB 6 . Este método depende del modelo de impresora y de cómo esté conectada a nuestra red. o a través de la red local. En primer lugar.

modelo. en los siguientes cuatro pasos se debe delimitar qué controlador de impresora debe usar eBox para transmitir los datos a imprimir. 8 7 111 . Line Printer Daemon protocol (LPD) son un conjunto de programas que permiten la impresión remota y el envío de trabajos usando spooling a las impresoras para los sistemas Unix.CHAPTER 4. estableciendo el fabricante. Por ejemplo. A este protocolo también se le conoce con el nombre de JetDirect. se deben configurar los parámetros de la conexión. AppSocket: Una impresora remota de red que se comunica con el protocolo AppSocket. EBOX OFFICE Puerto paralelo: Una impresora conectada al servidor eBox mediante el puerto paralelo del mismo. Internet Printing Protocol (IPP) es un protocolo de red para la impresión remota y para la gestión de cola de impresión. controlador de impresora a utilizar y sus parámetros de configuración. Más información en RFC 1179. LPD: Una impresora remota que usa el protocolo LPD 8 para comunicarse. Posteriormente. Más información en RFC 2910. se debe establecer la dirección IP y el puerto de escucha de la misma como muestra la imagen. USB: Una impresora conectada al servidor eBox mediante el puerto USB. En función del método seleccionado. para una impresora en red. Samba: Una impresora remota a la que se puede acceder como recurso compartido de red bajo Samba o Windows. IPP: Una impresora remota que usa el protocolo IPP 7 para comunicarse.

su procesamiento y envío a la impresora adecuada. ya tenemos la impresora configurada. lo cual permite aceptar trabajos de impresión. 9 Common Unix Printing System (CUPS) es un sistema modular de impresión para sistemas Unix que permiten a una máquina actuar de servidor de impresión. podremos observar qué trabajos de impresión están pendientes o en proceso. También tendremos la posibilidad de modificar alguno de los parámetros introducidos en el asistente a través de Impresoras → Gestionar impresoras.4 para Administradores de Redes Una vez finalizado el asistente. Las impresoras gestionadas por eBox son accesibles mediante el protocolo Samba.eBox 1. Adicionalmente podremos habilitar el demonio de impresión CUPS 9 que hará accesibles las impresoras mediante IPP. Por tanto. 112 .

se puede configurar a través de: http://direccion_ebox:631 Una vez añadida la impresora a través de CUPS. Para añadir una impresora por CUPS hay que habilitar su demonio de impresión como se muestra en la figura Gestión de impresoras con Habilitar CUPS. que eBox no dispone de los controladores necesarios para gestionar dicha impresora. eBox es capaz de exportarla usando el protocolo de Samba para ello. es decir. Una vez se ha habilitado. 113 .CHAPTER 4. Una vez habilitamos el servicio y salvamos cambios podemos comenzar a permitir el acceso a dichos recursos a través de la edición del grupo o del usuario (Grupos → Editar Grupo → Impresoras o Usuarios → Editar Usuario → Impresoras).1: Gestión de impresoras Si una impresora no está soportada por eBox. hay que usar CUPS en su defecto. EBOX OFFICE Figure 4.

• Compartición de información: calendarios compartidos. bugtracking. • Gestión de proyectos. Algunas de las funciones más destacadas de las herramientas de groupware son: • Comunicación entre los usuarios: correo. Cada usuario puede conectarse al sistema desde distintas estaciones de trabajo de la red local o también desde cualquier punto del mundo a través de Internet. tiempo. salas de chat. noticias.4 Servicio de groupware El groupware. listas de tareas.eBox 1. también conocido como software colaborativo. recursos. etc.4 para Administradores de Redes 4. 114 . etc. compartición de ficheros. base de conocimiento. libretas de direcciones comunes. es el conjunto de aplicaciones que integran el trabajo de distintos usuarios en proyectos comunes. etc.

sólo tenemos que seleccionar el dominio deseado y pulsar el botón Cambiar. podemos integrar el servicio de correo web (webmail) que eGroupware nos proporciona con el módulo de correo de eBox. Para la selección del dominio que usará eGroupware accederemos a través de la pestaña Groupware → Dominio Virtual de Correo. EBOX OFFICE Existen en el mercado una gran cantidad de soluciones de groupware. De hecho la contraseña para la configuración de eGroupware es auto-generada módulo podría quedar mal configurado y en un estado inestable. Entre las opciones que nos ofrece el Software Libre. todos los usuarios que sean añadidos en eBox a partir de ese momento podrán iniciar sesión en eGroupware sin requerir ninguna otra acción especial. 10 11 eGroupware: An enterprise ready groupware software for your network http://www.passwd y los nombres de usuario son admin y ebox para la configuración del encabezado y del dominio respectivamente. eGroupware estará en funcionamiento integrado con el servicio de directorio (LDAP) de eBox. 115 . salvo que necesite alguna personalización avanzada. El interfaz se muestra en la siguiente imagen. Es decir. Con eBox Platform la puesta a punto de eGroupware es muy sencilla.1 Configuración de servicio de groupware con eBox La mayor parte de la configuración de eGroupware se realiza automáticamente al habilitar el módulo y guardar los cambios. una de las más populares es eGroupware 10 y es la seleccionada para eBox Platform para implementar esta funcionalidad tan importante en el ámbito empresarial.org Nota para usuarios avanzados de eGroupware: La contraseña se encuentra en el fichero /var/lib/ebox/conf/ebox- egroupware.egroupware. Sin requerir ninguna intervención adicional del usuario.CHAPTER 4. El objetivo es que el usuario no tenga que acceder a la configuración tradicional que ofrece eGroupware y pueda realizarlo prácticamente todo desde el interfaz de eBox. Adicionalmente. Aunque como de costumbre esto no tendrá efecto hasta que no pulsemos el botón Guardar Cambios.4. 11 por eBox y el administrador debería usarla bajo su responsabilidad dado que si realiza una acción inapropiada el 4. Las instrucciones relativas a la creación de un dominio de correo y configuración del servicio IMAP se explican con detenimiento en el capítulo Servicio de correo electrónico (SMTP/POP3-IMAP4). Para ello lo único que hay que hacer es seleccionar un dominio virtual previamente existente y tener habilitado el servicio de recepción de correo IMAP.

→ Aplicaciones prede- 116 . eGroupware se compone de varias aplicaciones. ya que éstos serán asignados automáticamente. Para editar la plantilla por defecto accederemos a la pestaña Groupware terminadas. de modo que cuando creemos un nuevo usuario no tengamos que preocuparnos de asignarle permisos. en eBox podemos editar los permisos de acceso de cada usuario asignándole una plantilla de permisos. La plantilla de permisos por defecto es útil si queremos que la mayoría de los usuarios del sistema tengan los mismos permisos. Disponemos de una plantilla de permisos creada por defecto pero podemos definir otras personalizadas. como se muestra en la imagen. En la imagen que se muestra a continuación (Usuarios y Grupos → Usuarios) podemos ver que en la configuración de eGroupware se muestra un aviso indicando cuál debe ser el nombre de la cuenta de correo para que pueda ser usada desde eGroupware. como se puede ver en la imagen anterior.eBox 1.4 para Administradores de Redes Para que nuestros usuarios puedan utilizar el servicio de correo tendrán que tener creadas sus respectivas cuentas en el mismo.

Una vez introducido el nombre deseado aparecerá en la tabla y podremos editar las aplicaciones pulsando en Aplicaciones permitidas. Hay que tener en cuenta que si modificamos la plantilla de permisos por defecto. Para definir una nueva plantilla debemos acceder a la pestaña Groupware → Plantillas definidas por el usuario y pulsar en Añadir nueva.CHAPTER 4. podemos definir una plantilla de permisos personalizada y aplicarla manualmente a dichos usuarios. No se aplicarán de manera retroactiva a los usuarios creados previamente. Lo mismo ocurre con las plantillas definidas 117 . EBOX OFFICE Para grupos reducidos de usuarios como es el caso de los administradores. los cambios sólo serán aplicados a los usuarios que sean creados a partir de ese momento. de forma análoga a como se hace con la plantilla por defecto.

Ejemplo práctico Habilitar el módulo Groupware y comprobar su integración con el correo. No son necesarios los pasos de ese ejemplo relativos a objetos o políticas de reenvío. Acción: Acceder a eBox. Acción: Acceder al menú Correo → General y en la pestaña Opciones del servidor de correo activar la casilla Servicio IMAP habilitado y pulsar Cambiar. Nos informa de que se modificará la configuración de eGroupware. podemos acceder a eGroupware a través de la dirección http://<ip_de_ebox>/egroupware utilizando el usuario y contraseña definidos en la interfaz de eBox.. Finalmente. Usuarios. 118 .eBox 1. Permitir la operación pulsando el botón Aceptar. para cualquier duda se debe consultar el manual de usuario oficial de eGroupware. Este se encuentra disponible en Internet en su página oficial y también está enlazado desde la propia aplicación una vez que estamos dentro. Realizar sólo hasta el paso en que se añade el usuario. Efecto: El usuario creado tiene una cuenta de correo válida. En dicho ejemplo también se añade un usuario con su cuenta de correo correspondiente. 3.4 para Administradores de Redes por el usuario. Acción: Configurar un dominio virtual de correo como se muestra en el ejemplo Ejemplo práctico. 1. si existiesen usuarios con esa plantilla aplicada habría que editar las propiedades del usuario y aplicarle nuevamente la misma plantilla después de modificarla. El manejo de eGroupware está fuera del alcance de este manual.). cuando hayamos configurado todo.. Asegurarse de que se han habilitado previamiente los módulos de los que depende (Correo. entrar en Estado del módulo y activa el módulo Groupware. 2. Webserver. Efecto: Se ha activado el botón Guardar Cambios. para ello marca su casilla en la columna Estado.

EBOX OFFICE Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios. A partir de ahora eGroupware se encuentra configurado correctamente para integrarse con nuestro servidor IMAP. Efecto: Recibiremos el correo recién enviado en nuestro buzón de entrada.CHAPTER 4. 6. 5. Acción: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Acceder a la aplicación de correo electrónico de eGroupware y enviar un correo a nuestra propia dirección. 119 . Una vez que ha terminado lo muestra. Acción: Acceder al menú Groupware y en la pestaña Dominio Virtual de Correo seleccionar el dominio creado anteriormente y pulsar Cambiar. Acción: Acceder a la interfaz de eGroupware (http://<ip_de_ebox>/egroupware) con el usuario que hemos creado anteriormente. 4. Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios.

4 para Administradores de Redes 120 .eBox 1.

Este nos evita depender de empresas externas o de la conexión a Internet. reserva y recepción de mensajes sobre sistemas de comunicación electrónicos. el servicio de mensajería instántanea a través del estándar Jabber/XMPP. Finalmente. mediante la utilización de cualquiera de los múltiples clientes disponibles. Adicionalmente. una comunicación más rápida para los casos en que el correo no es suficiente. veremos una introducción a la voz sobre IP. Almacenamiento y envío: Técnica de telecomunicación en la cual la información se envía a una estación intermedia que almacena y después envía la información a su destinatario o a otra estación intermedia. Ofrece salas de conferencia comunes y permite. ofreciendo las últimas técnicas disponibles para la prevención del correo basura. 1 121 . En primer lugar. se explica el servicio de correo electrónico. eBox es capaz de configurarse para conectarse a la red telefónica tradicional. 5.1 Servicio de correo electrónico (SMTP/POP3-IMAP4) El servicio de correo electrónico es un método de almacenamiento y envío 1 para la composición. En segundo lugar. emisión. que permite su integración rápida y sencilla con el cliente de correo habitual de los usuarios de la red.Chapter 5 eBox Unified Communications En este apartado se van a ver los diferentes métodos de comunicación para compartir información centralizados en eBox y pudiendo acceder a todos ellos usando el mismo usuario y contraseña. con un proveedor externo. con la que cada persona puede tener una extensión a la que llamar o hacer conferencias fácilmente.

b. 4. y hace una solicitud al servicio de nombres para saber la IP del servidor de correo del dominio del destino (registro MX que vimos en el capítulo donde se explicaba DNS).org.1: Diagrama correo electrónico Alice manda un correo a Bob El diagrama muestra una secuencia típica de eventos que tienen lugar cuando Alice escribe un mensaje usando su cliente de correo o Mail User Agent (MUA) con destino la dirección de correo de su destinatario. Bob obtiene el correo a través de su MUA.eBox 1. El smtp. Por ejemplo. Esta situación puede cambiar de diversas maneras. 1. en este caso bob@b.org envía el mensaje a mx. El MTA mira en la dirección destino dada por el protocolo SMTP (no de la cabecera del mensaje). 3.1 Cómo funciona el correo electrónico en Internet Figure 5. Bob puede usar otro protocolo de obtención de correos como es Internet Message Access Protocol (IMAP) que permite leer directamente desde el servidor o usando un servicio de Webmail como el que usan diversos servicios gratuitos de correo vía Web.1. 2. 122 . que recoge el correo usando el protocolo Post Office Protocolo 3 (POP3). que almacena el mensaje en el buzón del usuario bob.4 para Administradores de Redes 5.a.org usando SMTP. Su MUA da formato al mensaje en un formato de Internet para el correo electrónico y usa el protocolo Simple Mail Transfer Protocol (SMTP) que envía el mensaje a su agente de envío de correos o Mail Transfer Agent (MTA).

que relega dicho trabajo en el cliente.. tienen versiones seguras. se borran del buzón del usuario en el servidor. El más moderno IMAP. Estos mensajes.. • Información del estado del mensaje usando banderas (leído. también existen protocolos propietarios como los que usan Microsoft Exchange o Lotus Notes de IBM. IMAP El diseño de POP3 para recoger los mensajes del correo ayuda a las conexiones lentas permitiendo a los usuarios recoger todo el correo de una vez para después verlo y manipularlo sin necesidad de estar conectado. • Varios clientes a la vez conectados al mismo buzón. Lamentablemente. permite trabajar en línea o desconectado además de sólo borrar los mensajes depositados en el servidor de manera explícita. POP3 vs. • Mecanismos de extensión incluidos en el propio protocolo. IMAP o sus versiones seguras (POP3S y IMAPS) que permiten la interoperabilidad entre diferentes servidores y clientes de correo. . aunque actualmente la mayoría de MUAs permiten mantenerlos. • Varios buzones en el servidor (el usuario los ve en forma de carpetas) pudiendo hacer alguno de ellos públicos. podemos ver como el envío y recepción de correos entre servidores de correo se realiza a través de SMTP pero la obtención de correos por parte del usuario se realiza a través de POP3. • Búsquedas en el lado del servidor. 123 . Sin embargo. es un protocolo bastante complicado con más carga de trabajo en el lado del servidor que POP3.CHAPTER 5. borrado. Las ventajas principales de IMAP sobre POP3 son: • Modo de operación conectado y desconectado. EBOX UNIFIED COMMUNICATIONS Por tanto. respondido. Tanto POP3 como IMAP.). permite que múltiples clientes accedan al mismo buzón o lecturas parciales de mensajes MIME entre otras ventajas. llamadas respectivamente POP3S y IMAPS. La diferencia con la versión simple es que usan cifrado TLS por lo que el contenido de los mensajes no puede ser escuchado sin permiso. normalmente. Adicionalmente. • Descarga parcial de correos.

Están disponibles las siguientes opciones: TLS para el servidor SMTP: Fuerza a los clientes a usar cifrado TLS. una dirección de origen que pertenezca a un objeto que tenga una política de retransmisión permitida.org . Sin embargo.eBox 1. la retransmisión ocurre cuando el servidor de correo recibe un mensaje de correo en el que ninguno de los destinatarios pertenecen a ninguno de sus dominios virtuales de correo gestionados. requiriendo por tanto su reenvío a otro servidor. Configuración general A través de Correo → General → Opciones del servidor de correo → Autenticacion podemos ges- tionar las opciones de autenticacion. 2 3 Postfix The Postfix Home Page http://www. La recepción se realiza cuando el servidor acepta un mensaje de correo en el que uno de los destinatarios es una cuenta perteneciente a alguno de los dominio gestionados por el servidor.org . El correo puede ser recibido de cualquier cliente que pueda conectarse al servidor. Ambos con soporte para comunicación segura con SSL. de otra manera los spammers podrían usar el servidor para enviar spam en Internet. evitando la interceptación del contenido por personas maliciosas. 5.3 Recibiendo y retransmitiendo correo Para comprender la configuración de un sistema de correo se debe distinguir entre recibir y retransmitir correo.2 Configuración de un servidor SMTP/POP3-IMAP4 con eBox En el servicio de correo debemos configurar el MTA para enviar y recibir correos así como la recepción de correos por parte de MUAs vía IMAP o POP3.postfix. La retransmisión de correo está restringida. eBox permite la retransmisión de correo en dos casos: 1. 124 . usuarios autenticados 2. Dovecot Secure IMAP and POP3 Server http://www. Para el envío/recepción de correos se usa Postfix 3 2 como servidor SMTP. IMAP) se usa Dovecot .1. Para el servicio de recepción de correos (POP3.dovecot.1.4 para Administradores de Redes 5.

una vez autenticado podrá retransmitir correo a través del servidor. En la sección Correo → General → Opciones del servidor de correo → Opciones se pueden configurar los parámetros generales del servicio de correo: Dirección del smarthost: Dirección IP o nombre de dominio del smarthost. No se puede usar un alias de la cuenta de correo para autenticarse. EBOX UNIFIED COMMUNICATIONS Exigir la autenticación: Este parámetro activa el uso de autenticación. 125 . es el puerto estándar SMTP. En este caso. El puerto por defecto. También se puede establecer un puerto añadiendo el texto :[numero de puerto] después de la dirección. Si se establece esta opción eBox no enviará directamente sus mensajes sino que cada mensaje de correo recibido sera reenviado al smarthost sin almacenar ninguna copia. Un usuario debe usar su dirección de correo y su contraseña para identificarse. 25.CHAPTER 5.

Periodo de expiración para correos borrados: Si esta opción está activada el correo en la carpeta de papelera de los usuarios será borrado cuando su fecha sobrepase el limite de días establecido. estos servicios se explicarán a partir de la sección Obtención de correo desde cuentas externas.4 para Administradores de Redes eBox actuara como un intermediario entre el usuario que envía el correo y el servidor que enviará finalmente el mensaje. Esta opción tendrá efecto sin importar la existencia o no de cualquier límite al tamaño del buzón de los usuarios. el tamaño máximo de mensaje aceptado por el smarthost en MiB.eBox 1. Para configurar la obtención de los mensajes. También se puede configurar eBox para que permita reenviar correo sin necesidad de autenticarse desde determinadas direcciones de red. hay que ir a la sección Servicios de obtención de correo. perteneciente a los dominios virtuales de correo gestionados o no. Autenticación del smarthost: Determinar si el smarthost requiere autenticación y si es así proveer un usuario y contraseña. Dirección del postmaster: La dirección del postmaster por defecto es un alias del superusuario (root) pero puede establecerse a cualquier dirección. eBox puede configurarse como servidor de POP3 o IMAP además de sus versiones seguras POP3S y IMAPS. si es necesario. Correos de notificación automáticos suelen usar postmaster como dirección de respuesta. se permite una política de reenvío con objetos de red de eBox a través de Correo → General → Política de retransmisión para objetos de red 126 . Para ello. Tamaño máximo de buzón: En esta opción se puede indica un tamaño máximo en MiB para los buzones del usuario. Tamaño máximo aceptado para los mensajes: Señala. Periodo de expiración para correo de spam: Esta opción se aplica de la misma manera que la opción anterior pero con respecto a la carpeta de spam de los usuarios. Esta cuenta está pensada para tener una manera estándar de contactar con el administrador de correo. Todo el correo que exceda el limite será rechazado y el remitente recibirá una notificación. será usado por el servicio de correo como la dirección local del sistema. Esta opción puede sustituirse para cada usuario en la pagina Usuarios y Grupos -> Usuarios. En esta sección también pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve. Nombre de correo del servidor: Determina el nombre de correo del sistema.

es decir. EBOX UNIFIED COMMUNICATIONS basándonos en la dirección IP del cliente de correo origen.CHAPTER 5. 127 . ya que con alta probabilidad nuestro servidor de correo se convertirá en una fuente de spam. cualquier miembro de dicho objeto podrá enviar correos a través de eBox. Finalmente. Warning: Hay que tener cuidado con usar una política de Open Relay. Si se permite el reenvío de correos desde dicho objeto. A través de Correo → General → Opciones de Filtrado de Correo se puede seleccionar un filtro de correo personalizado o usar eBox como servidor de filtrado. Para ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el servidor de correo estará escuchando la respuesta. 4 En la sección Filtrado de correo electrónico se amplia este tema. se puede configurar el servidor de correo para que use algún filtro de contenidos para los mensajes 4 . permitir reenviar correo desde cualquier lugar.

el correo sera almacenado una única vez en el buzón del usuario.4 para Administradores de Redes Creación de cuentas de correo a través de dominios virtuales Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo. Sin embargo. se debe usar siempre la cuenta real. Indiferentemente de si se ha usado un alias o no. se pueden crear tantos dominios virtuales como queramos que proveen de nombre de dominio a las cuentas de correo de los usuarios de eBox.eBox 1. acudimos a Usuarios y Grupos → Usuarios → Crear cuenta de correo. Para crear cuentas de correo lo haremos de manera análoga a la compartición de ficheros. 128 . Es ahí donde seleccionamos el dominio virtual principal del usuario. es posible crear alias de un dominio virtual de tal manera que enviar un correo al dominio virtual o a su alias sea indiferente. Desde Correo → Dominio Virtual. no es posible usar un alias para autenticarse. Si queremos asignar al usuario a más de una cuenta de correo lo podemos hacer a través de los alias. Adicionalmente.

se pueden crear alias para grupos. Los alias de grupo son creados a través de Usuarios y Grupos → Grupos → Crear un alias de cuenta de correo al grupo. Esta clase de alias se establecen por dominio virtual de correo. ver su contenido o volver a tratar de enviarlos (reencolarlos). Los mensajes recibidos por estos alias son enviados a todos los usuarios del grupo con cuenta de correo. El correo enviado a un alias será retransmitido a la correspondiente cuenta externa. EBOX UNIFIED COMMUNICATIONS Ten en cuenta que puedes decidir si deseas que a un usuario se le cree automáticamente una cuenta de correo cuando se crea. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario por defecto –> Cuenta de correo. Los alias de grupo están sólo disponibles cuando. un usuario del grupo tiene cuenta de correo. Las acciones que podemos realizar con estos mensajes son: eliminarlos. no requieren la existencia de ninguna cuenta de correo y pueden establecerse en Correo → Dominios Virtuales → Alias a cuentas externas. 129 . También hay dos botones que permiten borrar o reencolar todos los mensajes en la cola. Gestión de cola Desde Correo → Gestión de cola podemos ver los correos que todavía no han sido enviados con la información acerca del mensaje.CHAPTER 5. Finalmente. De la misma manera. al menos. es posible definir alias hacia cuentas externas.

IMAP o IMAPS. borrar y editar cuentas. 130 . un usuario debe entrar en el Rincón del Usuario y hacer clic en Recuperar correo de cuentas externas en el menú izquierdo. POP3S. Puerto: Puerto usado para conectar al servidor de correo externo. Cada usuario puede configurar sus cuentas externas a través del rincón del usuario 5 . Protocolo: Protocolo de recuperación de correo usado por la cuenta externa. los usuarios tendrán sus mensajes de correo de sus cuentas externas recogido en el buzón de su cuenta interna. Cada cuenta tiene los siguientes parámetros: Cuenta externa: El nombre de usuario o dirección de correo requerida para identificarse en el servicio externo de recuperación de correo. Para configurar sus cuentas externas. Contraseña: Contraseña para autenticar la cuenta externa. puede ser uno de los siguientes: POP3. Para obtener el correo externo.4 para Administradores de Redes Obtención de correo desde cuentas externas Se puede configurar eBox para recoger correo de cuentas externas y enviarlo a los buzones de los usuarios. Fetchmail The Fetchmail Home Page http://fetchmail. Para ello. En la pagina se muestra la lista de cuentas de correo del usuario.de/ . deberás activar en la sección Correo corre → General → Opciones del servidor de → Servicios de obtención de correo. Los servidores externos son consultados periódicamente. Servidor de correo: Dirección del servidor de correo que hospeda a la cuenta externa. el usuario puede añadir. 5 6 La configuración del rincón del usuario se explica en la sección Rincón del Usuario. eBox usa el programa Fetchmail 6 . Una vez activado. El usuario debe tener una cuenta de correo para poder hacerlo.eBox 1.berlios. así que la obtención del correo no es instantánea.

info/ . Para usarlo.4 Parámetros SMTP Servidor SMTP: Introducir la dirección del servidor eBox. El módulo de correo web (webmail) se explica en el capítulo Servicio de correo web. El valor de los parámetros necesarios dependerán de la configuración del servicio de correo. es necesario que el cliente de correo pueda entender dicho protocolo 8 . el interfaz de Configuración del cliente de correo A no ser que los usuarios sólo usen el correo a través del módulo de de correo web o a través de la aplicación de correo de groupware. 5. deberán configurar su cliente de correo para usar el servidor de correo de eBox. Para tener una lista de clientes Sieve http://sieve. 131 . La autenticación en ManageSieve se hace con la cuenta de correo del usuario y su contraseña. ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. 7 8 9 Para mas información sobre Sieve http://sieve. Puerto SMTP: 25. Si ManageSieve está activado y el módulo de correo web gestión para scripts Sieve estará disponible en el correo web.CHAPTER 5. clasificarlo en carpetas IMAP. Hay que tener en cuenta que diferentes clientes de correo podrán usar distintos nombres para estos parámetros. Para usar ManageSieve en eBox. permitiendo. si usas TLS puedes usar en su lugar el puerto 465. Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve está activado o no. debes activar el servicio en Correo→ General → Opciones de servidor de correo -> Servicios de obtención de correo y podrá ser usado por todos los usuarios con cuenta de correo. por lo que debido a la multitud de clientes existente esta sección es meramente orientativa.info/clients . La dirección puede ser descrita como una dirección IP o como nombre de dominio. 9 7 permite el control al usuario de cómo su correo es recibido. reenviarlo o el uso de un mensaje por ausencia prolongada en uso. entre otras cosas.1. EBOX UNIFIED COMMUNICATIONS Lenguaje Sieve y protocolo ManageSieve El lenguaje Sieve (o vacaciones).

Contraseña IMAP: La contraseña del usuario.1. Si se usa TLS lee la advertencia aparece más adelante sobre TLS/SSL. Esta opción sólo es obligatoria si está habilitado el parámetro Exigir autenticación.4 para Administradores de Redes Conexión segura: Seleccionar TLS si tienes activada la opción TLS para el servidor SMTP. Servidor IMAP: Introducir la dirección de eBox de la misma manera que la sección de parámetros SMTP. Si se utiliza POP3S. Puerto POP3: 110 o 995 en el caso de usar POP3S. ten en cuenta la advertencia que aparece más adelante sobre TLS/SSL. no uses su nombre de usuario o alguno de sus alias de correo. leer la advertencia que aparece más adelante sobre TLS/SSL. Usuario POP3: Dirección de correo completa del usuario. Usuario IMAP: Dirección de correo completa del usuario. Conexión segura: Seleccionar SSL en caso de que se use IMAPS. en otro caso seleccionar ninguna. ninguno si se usa POP3. 5.6 Parámetros IMAP Sólo se puede usar la configuración IMAP si el servicio IMAP o IMAPS está activo. 132 . 5. ninguno si se utiliza IMAP. no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo.eBox 1. no se debe usar ni el nombre de usuario ni ninguno de sus alias de correo. Servidor POP3: Introducir la dirección de eBox de la misma manera que la sección de parámetros SMTP. Conexión segura: Selecciona SSL en caso de que se use POP3S.5 Parámetros POP3 Sólo puedes usar configuración POP3 cuando el servicio POP3 o POP3S está activado en eBox.1. Contraseña POP3: La contraseña del usuario. Contraseña SMTP: La contraseña del usuario. Si se usa IMAPS. Usuario SMTP: Como nombre de usuario se debe usar la dirección de correo completa del usuario. Puerto IMAP: 443 o 993 en el caso de usar IMAPS.

En eBox se permite definir una de estas cuentas por cada dominio. 5. Puerto: 4190. será devuelto al remitente.dovecot. hay que tener en cuenta que algunas aplicaciones usan. en algunos clientes hará falta probar tanto los modos SSL como TLS para averiguar cual de los métodos funciona correctamente. Algunos clientes usan SSL para indicar que van a conectar con TLS.org/SSL . hay que seleccionar dicha opción. Cuenta para recoger todo el correo Una cuenta para recoger todo el correo es una cuenta que recibe una copia de todo el correo enviado y recibido por un dominio de correo. si esto es posible. 133 . EBOX UNIFIED COMMUNICATIONS Warning: En las implementaciones de los clientes de correo a veces hay confusión sobre el uso de los protocolos SSL y TLS. Contraseña: Contraseña del usuario. De hecho.7 Parámetros para ManageSieve Para conectar a ManageSieve. Algunos clientes permiten indicar que se va a usar la misma autenticación que para IMAP o POP. como anteriormente evitar el nombre de usuario o cualquiera de sus alias de correo. http://wiki.CHAPTER 5. Todos los mensajes enviados y recibidos por el dominio serán enviados como copia oculta (CCO ó BCC) a la dirección definida. Tienes mas información sobre este asunto en el wiki de Dovecot.1. Nombre de usuario: Dirección de correo completa. por error el puerto número 2000 como puerto por defecto para ManageSieve. para establecerla se debe ir a la pagina Correo → Dominios Virtuales y después hacer clic en la celda Opciones. se necesitan los siguientes parámetros: Servidor Sieve: El mismo que tu servidor IMAP o POP3. Si la dirección rebota el correo. Conexión segura: Activar esta opción. otros usan TLS para indicar que van a tratar de conectar al servicio a través de un puerto tradicionalmente usado por las versiones del protocolo en claro.

Escribir un nombre para la cuenta de correo del usuario en la sección Crear cuenta de correo y pulsar el botón Crear. introducir un nombre para el dominio y pulsar el botón Añadir. entrar en Estado del módulo y activa el módulo Correo. Aparece la pantalla de edición del usuario recién creado. Habilitar primero los módulos Red y Usuarios y grupos si no se encuentran habilitados con anterioridad. Acción: (Este paso sólo es necesario si has deshabilitado la opción de crear cuentas de correo automáticamente en Usuarios y Grupos –> Plantilla de Usuario por defecto –> Cuenta de correo). rellenar sus datos y 134 . Efecto: La cuenta se ha añadido inmediatamente y nos aparecen opciones para eliminarla o crear alias para ella. 3. Acción: Acceder al menú Correo → Dominio Virtual. Una vez que ha terminado lo muestra. pulsar Añadir nuevo. → Usuarios → Añadir usuario. Configurar la retransmisión para el envío de correo. 4.eBox 1. 6. Enviar un correo de prueba con la cuenta creada a una cuenta externa. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos. Efecto: Se ha activado el botón Guardar Cambios. Ahora ya podemos usar el dominio de correo que hemos añadido. para ello marca su casilla en la columna Estado.4 para Administradores de Redes Ejemplo práctico Crear un dominio virtual para el correo. 2. Efecto: eBox muestra el progreso mientras aplica los cambios. Efecto: eBox solicita permiso para sobreescribir algunos ficheros. Efecto: El usuario se añade inmediatamente sin necesidad de salvar cambios. Acción: Guardar los cambios. 1. Acción: Acceder a Usuarios y Grupos pulsar el botón Crear. Crear una cuenta de usuario y una cuenta de correo en el dominio creado para dicho usuario. 5. Acción: Acceder a eBox. Efecto: eBox nos notifica de que debemos salvar los cambios para usar el dominio.

Acción: Configurar el cliente de correo seleccionado para que use eBox como servidor SMTP y enviar un correo de prueba desde la cuenta que hemos creado a una cuenta externa.CHAPTER 5.2 Servicio de correo web El servicio de correo web permite a los usuarios leer y enviar correo a través de un interfaz web ofrecida por el servidor de correo. Y que puede acceder a su correo desde cualquier navegador web que pueda alcanzar al servidor. Pulsar el icono de Miembros del objeto creado. Acción: Guardar los cambios. Efecto: El botón Guardar Cambios estará activado. Además. Sus principales ventajas son que el usuario no tiene que configurar nada.log como el correo se ha enviado correctamente. Efecto: El objeto se ha añadido temporalmente y podemos usarlo en otras partes de la interfaz de eBox. introducir la dirección IP de la máquina desde donde se enviará el correo y pulsar Añadir. Acción: Comprobar en el servidor de correo a través del fichero de registro /var/log/mail. Acción: Acceder al menú Objetos → Añadir nuevo. 5. este trabajo se realiza en el cliente con el software tradicional de gestión de correo electrónico. 9. Seleccionar el objeto creado en el paso anterior asegurándose de que está marcada la casilla Permitir reenvío y pulsar el botón Añadir. Efecto: Se ha añadido una política de reenvío para el objeto que hemos creado. 11. que permitirá el envío de correos al exterior para ese origen. eBox usa Roundcube para implementar este servicio 10 . 10 Roundcube webmail http://roundcube. Efecto: Transcurrido un breve periodo de tiempo deberíamos recibir el correo enviado en el buzón de la cuenta externa. 8. EBOX UNIFIED COMMUNICATIONS 7. 135 . incrementa la carga del servidor para mostrar los mensajes de correo. Acción: Acceder a Correo → General → Política de reenvío sobre objetos. Escribir un nombre para el objeto y pulsar Añadir. 10. pero no será persistente hasta que se guarden cambios. Sus desventajas son que la experiencia de usuario suele ser más pobre que con un programa de correo de escritorio y que se debe permitir el acceso web al servidor de correo. Escribir de nuevo un nombre para el miembro.net/ .

se debe introducir su dirección de correo y su contraseña. requiere que el módulo de correo esté configurado para usar IMAP. A continuación.2.1 Configurando el correo web en eBox El servicio de correo web se puede habilitar de la misma manera que cualquier otro servicio de eBox. Opciones del correo web Podemos acceder a las opciones pulsando en la sección Webmail de menú izquierdo. primero necesitaremos que el tráfico HTTP desde la dirección usada para conectar esté permitido por el cortafuegos.4 para Administradores de Redes 5.eBox 1. Los alias no funcionarán. Se puede establecer el titulo que usará el correo web para identificarse. IMAPS o ambos además de tener el módulo webserver habilitado. La pantalla de entrada del correo web está disponible en http://[direccion del servidor]/webmail desde el navegador. este titulo se mostrará en la pantalla de entrada y en los títulos HTML de pagina. Entrar en el correo web Para entrar en el correo web. Sin embargo. 136 . por tanto se debe usar la dirección real. el servicio rehusará activarse. Si no lo está.

Además de la conversación básica permite otras prestaciones como: • Salas de conversación.CHAPTER 5. extensibles. AIM. 5. • Conexión simultánea desde distintos dispositivos con prioridades (por ejemplo: desde el móvil y el ordenador dando preferencia a uno de ellos para la recepción de mensajes). 11 jabberd2 . flexibles. ausente). al teléfono. distribuidos y seguros. Estos protocolos son públicos.xiaoka. MSN o Yahoo! Messenger cuyo funcionamiento es básicamente centralizado y propietario.com/>. • Pizarra compartida que permite ver y mostrar dibujos a los contactos. también existe Jabber/XMPP que es un conjunto de protocolos y tecnologías que permiten el desarrollo de sistemas de mensajería distribuidos. • Actualizaciones de estado (por ejemplo: ocupado. Esta interfaz sólo está disponible si el protocolo ManageSIEVE está activo en el servicio de correo.servidor XMPP <http://jabberd2. abiertos. • Transferencia de ficheros. Aunque todavía sigue en proceso de estandarización.3 Servicio de mensajería instantánea (Jabber/XMPP) Las aplicaciones de mensajería instantánea permiten gestionar una lista de personas con las que uno desea mantenerse en contacto intercambiando mensajes. Convierte la comunicación asíncrona proporcionada por el correo electrónico en una comunicación síncrona en la que los participantes pueden comunicarse en tiempo real. Sin embargo. En la actualidad existen multitud de protocolos de mensajería instantánea como ICQ. integrando los usuarios con las cuentas de Jabber. El servidor XMPP jabberd2 11 es el elegido para el servicio de Jabber/XMPP en eBox. 137 . eBox usa Jabber/XMPP como protocolo de mensajería instantánea. EBOX UNIFIED COMMUNICATIONS Filtros SIEVE El correo web también incluye una interfaz para administrar filtros SIEVE. ha sido adoptado por Cisco o Google (para su servicio de mensajería Google Talk) entre otros.

Tip: dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes. sólo para nuestra red interna. Esto hará que las cuentas de los usuarios sean de la forma usuario@dominio. accederemos a Jabber en el menú izquierdo.eBox 1. primero debemos comprobar en Estado del Módulo si el módulo Usuarios y Grupos está habilitado.dominio que como el Nombre de dominio debería estar registrado en el servidor DNS para que pueda resolverse desde los clientes también.3. Figure 5. Si por el contrario queremos un servidor privado. deberá dejarse desmarcada. Entonces marcaremos la casilla Jabber para habilitar el módulo de eBox de Jabber/XMPP.4 para Administradores de Redes 5. Tip: las salas de conferencias residen bajo el dominio conference.2: Configuración general del servicio Jabber Para configurar el servicio. 138 . ya que Jabber depende de él. Conectar a otros servidores: Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. definiendo los siguientes parámetros: Nombre de dominio: Especifica el nombre de dominio del servidor. Habilitar MUC (Multi User Chat): Habilita las salas de conferencias (conversaciones para más de dos usuarios).1 Configuración de un servidor Jabber/XMPP con eBox Para configurar el servidor Jabber/XMPP en eBox.

vamos a usar Pidgin y Psi.3: Configuración de cuenta Jabber de un usuario Como se puede ver. enviarles mensajes. Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios → Añadir usuario si queremos crear una nueva cuenta o a Usuarios → Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente. Podemos desactivarlo. Pidgin Pidgin 12 es un cliente multiprotocolo que permite gestionar varias cuentas a la vez. aparecerá una sección llamada Cuenta Jabber donde podemos seleccionar si la cuenta está activada o desactivada. 12 Pidgin. aunque en caso de utilizar otro cliente distinto. 139 . Message Of The Day ) y enviar un anuncio a todos los usuarios conectados (broadcast). ICQ. configurar el mensaje mostrado al conectarse (MOTD. Además. EBOX UNIFIED COMMUNICATIONS Soporte SSL: Especifica si las comunicaciones (autentificación y mensajes) con el servidor serán cifradas o en texto plano.im/>.CHAPTER 5. Pidgin soporta muchos otros protocolos como IRC. MSN y Yahoo!. 5. los pasos a seguir serían muy similares.pidgin.3. Los privilegios de administrador permiten ver los usuarios conectados al servidor. Si lo dejamos como opcional será en la configuración del cliente Jabber donde se especifique si se quiere usar SSL. hacer que sea obligatorio o dejarlo como opcional. AIM. Además de Jabber/XMPP. Figure 5.2 Configuración de un cliente Jabber Para ilustrar la configuración de un cliente Jabber. podemos especificar si el usuario en cuestión tendrá privilegios de administrador. the universal chat client <http://www.

como modificar y borrar las cuentas existentes. pero todavía sigue siendo el cliente de mensajería más popular. El Nombre de usuario y Contraseña deberán ser los mismos que la cuenta Jabber tiene en eBox. Lo podemos encontrar en Internet la ventana de gestión de cuentas tal como aparece en la imagen. Pulsando el botón Añadir. aparecerán dos pestañas de configuración básica y avanzada. deberemos seleccionar en primer lugar el protocolo XMPP. Al arrancar Pidgin. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de eBox.4 para Administradores de Redes Pidgin era el cliente por omisión del escritorio Ubuntu hasta la versión Karmic. Opcionalmente. en el campo Apodo local introduciremos el nombre que queramos mostrar a nuestros contactos. si no tenemos ninguna cuenta configurada.eBox 1. → Cliente de men- sajería Internet Pidgin. nos aparecerá Desde esta ventana podemos tanto añadir cuentas. 140 . Para la configuración Básica de la cuenta Jabber.

CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

En la pestaña Avanzada está la configuración de SSL/TLS. Por defecto Requerir SSL/TLS está marcado, así que si hemos deshabilitado Soporte SSL debemos desmarcar esto y marcar Permitir autentificación en texto plano sobre hilos no cifrados.

141

eBox 1.4 para Administradores de Redes

Si no cambiamos el certificado SSL por defecto, aparecerá un aviso preguntando si queremos aceptarlo o no.

142

CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

Psi Psi 13 es un cliente de Jabber/XMPP que permite manejar múltiples cuentas a la vez. Rápido y ligero, Psi es código abierto y compatible con Windows, Linux y Mac OS X. Al arrancar Psi, si no tenemos ninguna cuenta configurada todavía, aparecerá una ventana preguntando si queremos usar una cuenta ya existente o registrar una nueva, como aparece en la imagen. Seleccionaremos Usar una cuenta existente.

En la pestaña Cuenta definiremos la configuración básica como el Jabber ID o JID que es usuario@dominio y la Contraseña. Este usuario y contraseña deberán ser los mismos que la cuenta Jabber tiene en eBox. El dominio deberá ser el mismo que hayamos definido en la configuración del módulo de Jabber/XMPP de eBox.

13

Psi, The Cross-Platform Jabber/XMPP Client For Power Users <http://psi-im.org/>.

143

eBox 1.4 para Administradores de Redes

En la pestaña Conexión podemos encontrar la configuración de SSL/TLS entre otras. Por omisión, Cifrar conexión: Cuando esté disponible está marcado. Si deshabilitamos en eBox el Soporte SSL debemos cambiar Permitir autentificación en claro a Siempre.

Si no hemos cambiado el certificado SSL aparecerá un aviso preguntando si queremos aceptarlo o no. Para evitar este aviso marcaremos Ignorar avisos SSL en la pestaña Conexión que vimos en el anterior paso.

La primera vez que conectemos, el cliente mostrará un error inofensivo porque todavía no hemos publicado nuestra información personal en el servidor.

144

Para una especificación completa. posibilidad de expulsar y prohibir la entrada a usuarios. 5.3.html>. EBOX UNIFIED COMMUNICATIONS Opcionalmente. este error no aparecerá de nuevo. 14 145 . La especificación de las salas de conversación Jabber/XMPP está disponible en <http://xmpp. invitaciones. el resto de la configuración se realiza desde los clientes Jabber.CHAPTER 5.org/extensions/xep0045.3 Configurando salas de conferencia Jabber El servicio Jabber MUC (Multi User Chat) permite a varios usuarios intercambiar mensajes en el contexto de una sala. requerir contraseña y muchas más están disponibles en las salas de Jabber. podremos publicar información sobre nosotros aquí. comprueba el borrador XEP-0045 14 . Una vez que hayamos habilitado Habilitar MUC (Multi User Chat): en la sección Jabber del menú de eBox. Una vez publicada. Funcionalidades como asuntos.

Por omisión. Uno de los parámetros que deberíamos destacar es Hacer Sala Persistente.. En Pidgin para entrar en una sala hay que ir a Contactos –> Entrar en una Sala. las salas persistentes deben ser destruidas por uno de sus administradores y se utilizan habitualmente para grupos de trabajo o asuntos.. añadir otros usuarios como moderadores o administradores y destruir la sala. Este administrador puede definir todos los parámetros de configuración.eBox 1.4 para Administradores de Redes Todo el mundo puede crear una sala en el servidor Jabber/XMPP de eBox y el usuario que la crea se convierte en el administrador para esa sala. El primer usuario en entrar a una nueva sala la bloqueará y se le preguntará si quiere Configurar la Sala o Aceptar la Configuración por Omisión. Aparecerá una ventana de Entrar en una Sala preguntando alguna información como el Nombre de la sala.. Por otra parte. Estas son llamadas salas dinámicas y es el método preferido para conversaciones de varios usuarios.dominio. todas las salas se destruyen al poco después de que su último participante salga. el Servidor que debería ser conference. En Configuración de la Sala podremos configurar todos los parámetros de la sala. el Usuario y la Contraseña en caso de ser necesaria. Esta ventana de configuración puede ser abierta posteriormente ejecutando /config en la ventana de conversación. 146 .

En Psi para entrar en una sala deberemos ir a General –> Entrar en una Sala. 147 .dominio. el Nombre de la Sala. el Nombre de Usuario y la Contraseña en caso de ser necesaria. otros usuarios podrán entrar en la sala bajo la configuración aplicada estando la sala lista para su uso. EBOX UNIFIED COMMUNICATIONS Una vez configurada.CHAPTER 5. Una ventana de Entrar en una Sala aparecerá preguntando alguna información como el Servidor que deberá ser conference.

eBox 1. En la esquina superior derecha hay un botón que despliega un menú contextual dónde aparece la opción Configurar Sala. 148 . En Configuración de la Sala podremos configurar todos los parámetros de la sala.4 para Administradores de Redes El primer usuario en entrar a una nueva sala la bloqueará y se le pedirá que la configure.

CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

Una vez configurada, otros usuarios podrán entrar en la sala bajo la configuración aplicada estando la sala lista para su uso.

5.3.4 Ejemplo práctico
Activar el servicio Jabber/XMPP y asignarle un nombre de dominio que eBox y los clientes sean capaces de resolver. 1. Acción: Acceder a eBox, entrar en Estado del Módulo y activar el módulo Jabber. Cuando nos informe de los cambios que va a realizar en el sistema, permitir la operación pulsando el botón Aceptar. Efecto: Se ha activado el botón Guardar Cambios. 2. Acción: Añadir un dominio con el nombre que hayamos elegido y cuya dirección IP sea la de la máquina eBox, de la misma forma que se hizo en Ejemplo práctico B. Efecto: Podremos usar el dominio añadido como dominio para nuestro servicio Jabber/XMPP. 3. Acción: Acceder al menú Jabber. En el campo Nombre de dominio, escribir el nombre del dominio que acabamos de añadir. Pulsar el botón Aplicar Cambios. Efecto: Se ha activado el botón Guardar Cambios. 4. Acción: Guardar los cambios. Efecto: eBox muestra el progreso mientras aplica los cambios. Una vez que ha terminado lo muestra. El servicio Jabber/XMPP ha quedado listo para ser usado.

149

eBox 1.4 para Administradores de Redes

5.4

Servicio de Voz sobre IP
La Voz sobre IP o Voz IP consiste en transmitir voz sobre redes de datos usando una serie de protocolos para enviar la señal digital en paquetes en lugar de enviarla a través de circuitos analógicos conectados. Cualquier red IP puede ser utilizada para esto, desde redes locales hasta redes públicas como Internet. Esto conlleva un ahorro importante de costes al utilizar una misma red para llevar voz y datos, sin escatimar en calidad o fiabilidad. Los principales problemas que se encuentra la Voz IP en su despliegue sobre las redes de datos son el NAT 15 y las dificultades que tienen los protocolos para gestionarlo, y el QoS banda.
16

, la necesidad de ofrecer un servicio de calidad en tiempo real, considerando

la latencia (tiempo que se tarda en llegar al destino), el jitter (la variación de la latencia) y el ancho de

5.4.1 Protocolos
Son varios los protocolos involucrados en la transmisión de voz, desde los protocolos de red como IP, con los protocolos de transporte como UDP o TCP, hasta los protocolos de voz, tanto para su transporte como para su señalización. Los protocolos de señalización en Voz IP desempeñan las tareas de establecimiento y control de la llamada. SIP, IAX2 y H.323 son protocolos de señalización. El protocolo de transporte de voz más utilizado es RTP (Realtime Transport Protocol) y su tarea es transportar la voz codificada desde el origen hasta el destino. Este protocolo se pone en marcha una vez establecida la llamada por los protocolos de señalización.

SIP SIP o Session Initiation Protocol es un protocolo creado en el seno del IETF
17

para la iniciación,

modificación y finalización de sesiones interactivas multimedia. Tiene gran similitud con HTTP y SMTP. SIP solamente se encarga de la señalización funcionando sobre el puerto UDP/5060. La transmisión multimedia se realiza con RTP sobre el rango de puertos UDP/10000-20000.
15 16 17

Concepto que se explica en la sección Cortafuegos. Concepto que se explica en la sección Moldeado de tráfico. Internet Engineering Task Force desarrolla y promociona estándares de comunicaciones usados en Internet.

150

CHAPTER 5. EBOX UNIFIED COMMUNICATIONS

IAX2 IAX2 es la versión 2 del protocolo Inter Asterisk eXchange creado para la interconexión de centralitas Asterisk
18

. Las características más importantes de este protocolo es que la voz y la señalización va

por el mismo flujo de datos y además éste puede ser cifrado. Esto tiene la ventaja directa de poder atravesar NAT con facilidad y que la sobrecarga es menor a la hora de mantener varios canales de comunicación simultáneos entre servidores. IAX2 funciona sobre el puerto UDP/4569.

5.4.2 Códecs
Un códec es un algoritmo que adapta (codificando en origen y descodificando en destino) una información digital con el objetivo de comprimirla reduciendo el uso de ancho de banda y detectando y recuperándose de los errores en la transmisión. G.711, G.729, GSM y speex son códecs habituales dentro de la Voz IP. G.711: Es uno de los códecs más utilizados, con dos versiones, una americana (ulaw) y otra europea (alaw). Este códec ofrece buena calidad pero su consumo de ancho de banda es bastante significativo con 64kbps. Es el más habitual para la comunicación por voz en redes locales. G.729: Tiene una compresión mucho mayor usando solamente 8kbps siendo ideal para las comunicaciones a través de Internet. El inconveniente es que tiene algunas restricciones en su uso. GSM: Es el mismo códec que el usado en las redes de telefonía celular. La calidad de voz no es muy buena y usa 13kbps aproximadamente. speex: Es un códec libre de patentes diseñado para voz. Es muy flexible a pesar de consumir más tiempo de CPU que el resto y puede trabajar a distintas tasas de frecuencia desde 8KHz, 16KHz hasta 32KHz, normalmente referidos como narrowband, wideband y ultra-wideband respectivamente con un consumo de 15.2kbps, 28kbps y 36kbps.

5.4.3 Despliegue
Veamos los elementos implicados en el despliegue de Voz IP:
18

Asterisk es un software para centralitas telefónicas que eBox usa para implementar el módulo de Voz IP

<http://www.asterisk.org/>.

151

eBox 1.4 para Administradores de Redes

Teléfonos IP Son teléfonos con una apariencia convencional pero disponen de un conector RJ45 para conectarlo a una red Ethernet en lugar del habitual RJ11 de las redes telefónicas. Introducen características nuevas como acceso a la agenda de direcciones, automatización de llamadas, etc. no presentes en los teléfonos analógicos convencionales.

152

También ofrece servicios como buzón de voz. y entonces el primero realiza una llamada al receptor. a un proveedor de Voz IP.CHAPTER 5. Ekiga (GnomeMeeting) o Twinkle son nativas de este último. respuesta interactiva de voz. Centralitas IP A diferencia de la telefonía tradicional. En el establecimiento de la llamada negocian un códec común para la transmisión de la voz. X-Lite y QuteCom (WengoPhone) están disponibles tanto para Windows y OSX como para GNU/Linux. etc. Existen multitud de aplicaciones para este propósito. en la Voz IP los clientes (teléfonos IP o softphones) se registran en el servidor. Para ello dispone de un puerto de red de datos RJ45 y uno o más puertos telefónicos RJ11. 153 . conferencias. el emisor pregunta por los datos del receptor al servidor. para todas las plataformas y sistemas operativos. EBOX UNIFIED COMMUNICATIONS Adaptadores Analógicos También conocidos como adaptadores ATA (Analog Telephony Adapter ). Softphones Los softphones son aplicaciones de ordenador que permiten realizar llamadas Voz IP sin más hardware adicional que los propios altavoces y micrófono del ordenador. permiten conectar un teléfono analógico convencional a una red de datos IP y hacer que este funcione como un teléfono IP. dónde las llamadas pasaban siempre por la centralita. Asterisk es una aplicación exclusivamente software que funciona sobre cualquier servidor habitual proporcionando las funcionalidades de una centralita o PBX (Private Branch eXchange): conectar entre sí distintos teléfonos. o bien a la red telefónica.

5: Twinkle 154 .4: Qutecom Figure 5.eBox 1.4 para Administradores de Redes Figure 5.

A la configuración general del servidor se accede a través del menú Voz IP → General.CHAPTER 5. Si no tenemos habilitado el módulo Usuarios y Grupos deberá ser habilitado previamente ya que depende de él. Figure 5.6: Digium TDM422E FXO and FXS card 5. en primer lugar deberemos habilitar el módulo. Como ya es habitual.4. EBOX UNIFIED COMMUNICATIONS Para conectar el servidor de la centralita Asterisk a la red telefónica analógica se usan unas tarjetas llamadas FXO (Foreign eXchange Office) que permiten a Asterisk funcionar como si fuera un teléfono convencional y redirigir las llamadas a través de la red telefónica. una vez allí sólo necesitamos configurar los siguientes parámetros generales: 155 . Iremos a la sección Estado del Módulo del menú de eBox y seleccionaremos la casilla Voz IP. Para conectar un teléfono analógico al servidor se debe usar una tarjeta FXS (Foreign eXchange Station) así se pueden adaptar los terminales existentes a una nueva red de telefonía IP.4 Configuración de un servidor Asterisk con eBox El módulo de Voz IP de eBox permite gestionar un servidor Asterisk con los usuarios ya existentes en el servidor LDAP del sistema y con las funcionalidades más habituales configuradas de una forma sencilla.

Recomendamos cambiar la contraseña inmediatamente desde el Rincón del Usuario 19 . escuchar los mensajes en él y borrarlos. Extensión de buzón de voz: Es la extensión donde podemos consultar nuestro buzón de voz. La aplicación que reside en esta extensión nos permite cambiar el mensaje de bienvenida a nuestro buzón. por ejemplo si queremos llamar a las oficinas de eBox Technologies (+34 976733506. 500 y 600. Habilitar llamadas salientes: Habilita las llamadas salientes a través del proveedor SIP que tengamos configurado para llamar a teléfonos convencionales. En la extensión 600 se dispone de una prueba de eco para darnos una idea de la latencia en las llamadas.tld.4 para Administradores de Redes Habilitar extensiones demo: Habilita las extensiones 400. Esta extensión solamente es accesible por los usuarios de nuestro servidor.com. que tenga una extensión 1122 podrá ser llamado a usuario@dominio. pulsaríamos 00034976733506.eBox 1.tld o 1122@dominio. Si llamamos a la extensión 400 podremos escuchar la música de espera. El usuario y la contraseña es la extensión adjudicada por eBox al crear el usuario o al asignársela por primera vez.digium. 156 . Así pues un usuario usuario. Dominio Voz IP: Es el dominio que se asignará a las direcciones de nuestros usuarios. o mejor 0034976733506). En definitiva estas extensiones nos permiten comprobar que nuestro cliente esta correctamente configurado. no aceptará llamadas entrantes de otros servidores por seguridad. Para realizar llamadas a través del proveedor SIP tendremos que añadir un cero adicional antes del número a llamar. llamando a la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx. 19 El Rincón del Usuario se explica en la sección Rincón del Usuario.

Aquí podemos configurar salas de reunión multiconferencia. A la configuración de las conferencias se accede a través Voz IP → Conferencias. Destino de las llamadas entrantes: Es la extensión interna a la que se redirigen las llamadas realizadas a la cuenta del proveedor. u otra serie de segmentos de red no configurados desde eBox como pudiera ser una red wireless. eBox sin hacer NAT. 157 . si nuestra IP pública es dinámica tendremos que configurar el servicio de DNS dinámico (DynDNS) de eBox disponible en Red → DynDNS (o configurarlo manualmente) e introduciremos el nombre de dominio en Nombre En la sección de Redes locales podremos añadir las redes locales a las que accedemos desde de máquina dinámico. A estas extensiones se podrá acceder desde cualquier servidor simplemente marcando extension@dominio. En otro caso usaremos Personalizado. Si tiene una IP privada deberemos indicar a Asterisk cuál es la IP pública que obtenemos al salir a Internet. Hay que tener en cuenta que una extensión sólamente puede asignarse a un usuario y no a más. La extensión de estas salas deberá residir en el rango 8001-8999 y podrán tener opcionalmente una contraseña de entrada. como pueden ser redes VPN. Esto es necesario debido al comportamiento del protocolo SIP en entornos con NAT.CHAPTER 5. Si tiene una IP pública la opción por defecto eBox está tras NAT: No es correcta. si necesitas llamar a más de un usuario desde una extensión será necesario utilizar colas. En la sección de Configuración NAT definiremos la posición en la red de nuestra máquina eBox. podremos habilitar o deshabilitar la cuenta de VozIP de este usuario y cambiar su extensión. Contraseña: Es la contraseña de usuario del proveedor.tld. Nombre: Es el identificador que se da al proveedor dentro de eBox. Nombre de usuario: Es el nombre de usuario del proveedor. EBOX UNIFIED COMMUNICATIONS En la sección de Proveedor SIP introduciremos los datos suministrados por nuestro proveedor SIP para que eBox pueda redirigir las llamadas a través de él: Proveedor: Si estamos usando eBox VoIP Credit 20 . En caso de tener una IP pública fija simplemente la introduciremos en Dirección IP fija. Servidor: Es el nombre de dominio del servidor del proveedor. 20 Puedes comprar eBox VoIP credit en nuestra tienda. una contraseña administrativa y una descripción. Cuando editemos un usuario. seleccionaremos esta opción que preconfigu- rará el nombre del proveedor y el servidor.

4 para Administradores de Redes 158 .eBox 1.

Una cola es una extensión dónde al recibir una llamada. colocaremos las canciones en formato MP3 en /var/lib/asterisk/mohmp3/ e instalaremos el paquete mpg123.net como de Ekiga Call Out. EBOX UNIFIED COMMUNICATIONS Cuando editemos un grupo. la conexión a Internet y los servicios de Ekiga.5 Configurando un softphone para conectar a eBox Ekiga (Gnome) Ekiga 21 es el softphone o cliente de voz IP recomendado en el entorno de escritorio Gnome.CHAPTER 5. se llama a todos los usuarios que pertenecen a este grupo. Podemos omitir la configuración tanto de la cuenta en Ekiga.4. Al lanzarlo por primera vez presenta un asistente para configurar datos personales del usuario. 21 Ekiga: Free your speech <http://ekiga. 5. podremos habilitar o deshabilitar la cola de este grupo. dispositivos de sonido y vídeo. Si queremos configurar la música de espera.net.org/> 159 .

seleccionando Cuentas –> Añadir una cuenta SIP podremos configurar la cuenta de Voz IP de eBox Platform. Servidor de registro: Es el nombre de dominio del servidor de Voz IP de eBox.eBox 1. Nombre: Es el identificador de la cuenta dentro de Ekiga. 160 . Usuario y Usuario para autenticación: Son el nombre de usuario de eBox.4 para Administradores de Redes Desde Editar –> Cuentas. Para realizar una llamada tan sólo hay que escribir el número o dirección SIP en la barra superior y llamar usando el icono del teléfono verde a la derecha. Contraseña: Es la contraseña de usuario de eBox. Tras configurar la cuenta se intentará registrar en el servidor. Para colgar se usa el icono del teléfono rojo a la derecha también.

También al lanzarlo por primera vez nos presentará un asistente para configurar la cuenta de Voz IP. 22 QuteCom: Free VOIP Softphone http://www. EBOX UNIFIED COMMUNICATIONS Qutecom (Multiplataforma) Qutecom 22 es un softphone que usa las bibliotecas Qt4 por lo que está disponible en las tres plataformas más extendidas: Linux.CHAPTER 5.org 161 . Se usan los botones verde / rojo en la parte inferior para llamar y colgar.qutecom. OSX y Windows. Tenemos un teclado numérico o una lista de contactos para realizar llamadas.

4 para Administradores de Redes 5. pulsando # y después introduciendo la extensión a dónde queremos reenviar la llamada podremos realizar una transferencia. pulsaremos # y después marcaremos 700. Aparcamiento de llamadas El aparcamiento de llamadas se realiza sobre la extensión 700. el aparcamiento de llamadas soporta 20 conversaciones y el periodo máximo que una llamada puede esperar son 300 segundos. Durante el transcurso de una conversación. En ese momento. Durante el transcurso de una conversación. En eBox.4. Desde un teléfono distinto u otro usuario distinto marcando la extensión anunciada podremos recoger la llamada aparcada y restablecer la conversación. La extensión donde la llamada ha sido aparcada será anunciada a la parte llamada y quien estaba llamando comenzará a escuchar la música de espera.6 Usando las funcionalidades de eBox Voz IP Transferencia de llamadas La transferencia de llamadas es muy sencilla. Podremos colgar en ese momento. 162 . si está configurada. podremos colgar ya que esta llamada estará marcando la extensión a donde ha sido transferida.eBox 1.

Acción: Acceder a eBox. Permitiremos la operación pulsando el botón Aceptar. Efecto: eBox aplica los cambios realizados inmediatamente. El servicio de Voz IP está preparado para usarse. Pulsar el botón Aplicar cambios de la sección Cuenta de Voz IP. Acción: En la sección Cuenta de Voz IP muestra si el usuario tiene la cuenta activada o desactivada y la extensión que tiene asignada. Entonces se informa sobre los cambios que se van a realizar en el sistema. el usuario ya puede recibir llamadas sobre esa extensión. Pulsar el botón Crear 163 . Cambiarle la extensión a 1500.CHAPTER 5. Efecto: eBox crea un nuevo usuario y nos muestra el perfil con las opciones de este. entrar en Estado del módulo y activar el módulo Voz IP marcando la casilla correspondiente en la columna Estado. Acción: Acceder al menú Usuarios y Grupos Usuario. cambiar la extensión asignada por defecto. ya que todos los usuarios creados mientras el módulo de Voz IP está habilitado tienen la cuenta activada. 4. Efecto: Se ha activado el botón Guardar Cambios. Este dominio deberá poder resolverse desde las máquinas de los clientes del servicio. Cerciorarse de que la cuenta está activada. Una vez que ha terminado lo muestra. 5. Pulsar el botón Cambiar. En el campo Dominio Voz IP escribir el nombre de dominio que corresponda a esta máquina. a la extensión 1500 que deseábamos. Si Usuarios y Grupos no está activado deberemos activarlo previamente pues depende de él. → Usuarios → Añadir Usuario. Acción: Acceder al menú Voz IP. EBOX UNIFIED COMMUNICATIONS Ejemplo práctico Crear un usuario que tenga una cuenta de Voz IP. 2. Acción: Guardar los cambios. Por último. Efecto: eBox muestra el progreso mientras aplica los cambios. que es la primera libre del rango de extensiones de usuarios. 1. Completar la información del formulario para crear un nuevo usuario. 3.

eBox 1.4 para Administradores de Redes 164 .

en este tema se verán diferentes técnicas para evitar el correo basura (spam) y los virus en el correo electrónico con eBox. y detectando posibles intrusiones hacia servicios de red que se usen. evitando ataques externos. 6. Por ello. se explicará como conectar de manera segura a los empleados fuera de la oficina o a realizar conexiones entre oficinas mediante el uso de redes privadas virtuales.Chapter 6 eBox Unified Threat Manager En este apartado se verán diferentes técnicas para proteger la red más allá de un simple cortafuegos. De una forma sencilla.1 Filtrado de correo electrónico Los principales problemas en el sistema de correo electrónico son el spam y los virus. 165 . la detección de intrusos a través de reglas de ataque se verán también en este apartado. Finalmente. podemos recibir notificaciones de ataques y analizar los daños que hayan podido causar. En este apartado. para ello se definirán las bases que sigue la seguridad en la red. El tráfico Web también puede traer problemas dependiendo de los lugares que se visiten. en este tema se explicará la integración del filtrado de contenidos del proxy HTTP con un antivirus y diversas configuraciones más avanzadas para dar mayor seguridad a la navegación por Internet de los usuarios de la red. El correo electrónico sin un buen filtrado de correo no funciona correctamente.

pasará al filtro de correo donde se examinarán una serie de características del correo.eBox 1. En primer lugar.1. Si supera todos esos filtros. eBox dispone de un filtrado de correo bastante potente y flexible.4 para Administradores de Redes El spam. Si el correo supera este filtro. un correo electrónico que contenga un virus puede infectar otras máquinas clientes de la red. También genera una gran cantidad de tráfico que puede afectar al funcionamiento normal de la red y del servicio de correo. para ver si contiene virus o si se trata de correo basura. Figure 6. utilizando para ello un filtro estadístico. el servidor de correo envía el correo al gestor de políticas de listas grises. distrae la atención del usuario que tiene que bucear en su bandeja de entrada para encontrar los correos legítimos. Aunque los virus informáticos no afectan al sistema en el que está instalado eBox. En esta sección vamos a explicar paso a paso en qué consiste cada uno de estos filtros y cómo se configuran en eBox.1 Esquema del filtrado de correo de eBox Para defendernos de estas amenazas. entonces se determina que el correo es válido y se emite a su receptor o se almacena en un buzón del servidor. 166 . o correo electrónico no deseado. 6.1: Esquema del filtrado de correo en eBox En la figura se observan los diferentes pasos que sigue un correo antes de determinar si es válido o no.

Figure 6.ch/ como gestor de esta política en postfix. la lista gris exime al correo enviado desde redes internas. Realmente el servidor de correo envía como respuesta Greylisted. la estrategia utilizada es fingir estar fuera de servicio.CHAPTER 6. es decir. Cuando un servidor nuevo quiere enviarle un correo.2: Esquema del funcionamiento de una lista gris El Greylist se configura desde Correo → Lista gris con las siguientes opciones: eBox usa postgrey http://postgrey.schweikert. En el caso de eBox. Sin embargo. Así habríamos evitado los mensajes de Spam. los servidores que envían Spam no suelen seguir el estándar y no reenviarán el correo. En eBox. puesto en la lista gris en espera de permitir el envío de correo o no pasado el tiempo configurado. sólo le pone más difícil el trabajo a un servidor de correo que actúa como spammer (emisor de correo spam . EBOX UNIFIED THREAT MANAGER Lista gris Una greylist (lista gris) o basura).” 2 1 es un método de defensa contra el spam que no descarta correos. 2 1 167 . eBox le dice “Estoy fuera de servicio en este momento. si el servidor remitente cumple la especificación reenviará el correo pasado ese tiempo y eBox lo apuntará como un servidor correcto. al enviado desde objetos con política de permitir retransmisión y al que tiene como remitente una dirección que se encuentra en la lista blanca del antispam. inténtalo en 300 segundos.

3 Amavisd-new: http://www.4 para Administradores de Redes Habilitado: Marcar para activar el greylisting. cuando el servidor quiera volver a enviar correos tendrá que pasar de nuevo por el proceso de greylisting descrito anteriormente. dicho servidor pasará a la lista gris. Si pasan más de los días configurados. Adicionalmente. Tiempo de vida de las entradas (días): Días que se almacenarán los datos de los servidores evaluados en la lista gris. Para realizar esta tarea eBox usa un interfaz entre el MTA (postfix) y dichos programas. esta interfaz realiza las siguientes comprobaciones: • Listas blancas y negras de ficheros y extensiones. Si el servidor ha enviado algún correo durante ese tiempo. Duración de la lista gris (segundos): Segundos que debe esperar el servidor remitente antes de reenviar el correo. • Filtrado de correos con cabeceras mal-formadas. Verificadores de contenidos El filtrado de contenido del correo corre a cargo de los antivirus y de los detectores de spam.si/software/amavisd/ 168 .ijs. En una lista gris. el servidor de correo puede enviar todos los correos que quiera sin restricciones temporales. se usa el programa amavisd-new 3 que habla con el MTA usando (E)SMTP o LMTP (Local Mail Transfer Protocol RFC 2033) para comprobar que el correo no es spam ni contiene virus. Para ello.eBox 1. Ventana de reintento (minutos): Tiempo en horas en el que el servidor remitente puede enviar correos.

eBox lo tendrá en cuenta dependiendo de la configuración del filtro SMTP. si el correo alcanza la puntuación umbral de spam es considerado correo basura. • Listas negras de URI que siguen los sitios Web de Spam. el proxy HTTP o incluso podría funcionar para la compartición de ficheros. ClamAV posee un actualizador de base de datos que permite las actualizaciones programadas y firmas digitales a través del programa freshclam. BinHex. Dicha base de datos se actualiza diariamente con los nuevos virus que se van encontrando. • Filtros basados en el checksum de los mensajes. Antispam El filtro antispam asigna a cada correo un puntuación de spam. En Antivirus se puede comprobar si está instalado y actualizado el antivirus en el sistema. el antivirus es capaz de escanear de forma nativa diversos formatos de fichero como por ejemplo Zip. • Entorno de política de emisor (Sender Policy Framework o SPF) RFC 4408. el cual es un conjunto de herramientas antivirus para UNIX especialmente diseñadas para escanear adjuntos en los correos electrónicos en un MTA. Se puede actualizar desde Gestión de Software.net/ 169 . PDF. como veremos en Actualización de software. el proxy POP. Además. A este último tipo de correo se le suele denominar ham.CHAPTER 6. si no es considerado correo legítimo. • DomainKeys Identified Mail (DKIM) 4 Clam Antivirus: http://www. etc. Si el antivirus está instalado y actualizado. El detector de spam usa las siguientes técnicas para asignar la puntuación: • Listas negras publicadas vía DNS (DNSBL).clamav. EBOX UNIFIED THREAT MANAGER Antivirus El antivirus que usa eBox es ClamAV 4 .

el análisis no se hace contra un conjunto estático de reglas sino contra un conjunto dinámico. eBox usa Spamassassin 6 como detector de spam. 5 170 .eBox 1. Este tipo de filtro hace un análisis estadístico del texto del mensaje obteniendo una puntuación que refleja la probabilidad de que el mensaje sea spam. que es creado suministrando mensajes ham y spam al filtro de manera que pueda aprender cuales son las características estadísticas de cada tipo.wikipedia. Sin embargo.apache.org/wiki/Antispam_techniques_(e-mail) 6 The Powerful #1 Open-Source Spam Filter http://spamassassin. las desventajas es que el filtro necesita ser entrenado y que su precisión reflejará la calidad del entrenamiento recibido.4 para Administradores de Redes • Filtro bayesiano • Reglas estáticas • Otros. La configuración general del filtro se realiza desde Filtro de correo → Antispam: Existe una lista muy larga de técnicas antispam que se puede consultar en http://en. La ventaja de esta técnica es que el filtro se puede adaptar al siempre cambiante flujo de spam.org . 5 Entre estas técnicas el filtro bayesiano debe ser explicado con más detenimiento.

Auto-aprendizaje: Si está marcado.CHAPTER 6. Etiqueta de asunto Spam: Etiqueta para añadir al asunto del correo en caso de que sea Spam. Su valor debe ser mayor que Umbral de spam. Esto es. Umbral de auto-aprendizaje de spam: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como spam. Usar clasificador bayesiano: Si está marcado se empleará el filtro bayesiano. 171 . Auto-lista blanca: Tiene en cuenta el historial del remitente a la hora de puntuar el mensaje. EBOX UNIFIED THREAT MANAGER Umbral de Spam: Puntuación a partir de la cual un correo se considera como Spam. No es conveniente poner un valor bajo. el filtro aprenderá de los mensajes recibidos. si no será ignorado. si el remitente ha enviado mucho correo como ham es altamente probable que el próximo correo que envíe sea ham y no spam. ya que puede provocar posteriormente falsos positivos. cuya puntuación traspase los umbrales de auto-aprendizaje.

eBox 1. Desde Entrenar filtro de spam bayesiano podemos entrenar al filtro bayesiano enviándole un buzón de correo en formato Mbox 7 que únicamente contenga spam o ham. Allí podemos permitir o bloquear correos según las extensiones de los ficheros adjuntos o de sus tipos MIME. Listas de control basadas en ficheros Es posible filtrar los ficheros adjuntos que se envían en los correos a través de Filtro de correo ACL por fichero (File Access Control Lists). mejor será el resultado de la decisión de tomar un correo como basura o no. 7 → 172 . Conforme más entrenado esté el filtro. Su valor debería ser menor que 0. En el primero todos los correos se almacenan en un único fichero y con el segundo formato. se almacenan en ficheros separados diferentes dentro de un directorio. Mbox y maildir son formatos de almacenamiento de correos electrónicos y es dependiente del cliente de correo electrónico. Existen en Internet muchos ficheros de ejemplo para entrenar al filtro bayesiano.4 para Administradores de Redes Umbral de auto-aprendizaje de ham: Puntuación a partir de la cual el filtro aprenderá automáticamente un correo como ham. ya que puede provocar falsos negativos. Desde Política de emisor podemos marcar los remitentes para que siempre se acepten sus correos (whitelist). para que siempre se marquen como spam (blacklist) o que siempre los procese el filtro antispam (procesar ). No es conveniente poner un valor alto. pero suele ser más exacto entrenarlo con correo recibido en los sitios a filtrar.

EBOX UNIFIED THREAT MANAGER Filtrado de Correo SMTP Desde Filtro de correo → Filtro de correo SMTP se puede configurar el comportamiento de los fil- tros anteriores cuando eBox reciba correo por SMTP.CHAPTER 6. Desde General podemos configurar el comportamiento general para todo el correo entrante: 173 .

Rebotar: Igual que Rechazar. Puerto de servicio: Puerto que ocupará el filtro SMTP. pulsamos sobre Añadir nuevo. Antivirus habilitado: Marcar para que el filtro busque virus. Estas configuraciones sobreescriben las configuraciones generales definidas previamente. Desde Políticas de filtrado se puede configurar qué debe hacer el filtro con cada tipo de correo.4 para Administradores de Redes Habilitado: Marcar para activar el filtro SMTP. avisando al remitente de que el mensaje ha sido descartado. Antispam habilitado: Marcar para que el filtro busque spam. Descartar: Descarta el mensaje antes de que llegue al destinatario sin avisar al remitente. Por cada tipo de correo problemático. por ejemplo con virus.eBox 1. 174 . Notificar los mensajes problemáticos que no son spam: Podemos enviar notificaciones a una cuenta de correo cuando se reciben correos problemáticos que no son spam. Rechazar: Descartar el mensaje antes de que llegue al destinatario. Desde Filtro de correo → Filtro de correo SMTP → Dominios virtuales se puede configurar el comportamiento del filtro para los dominios virtuales de correo. pero adjuntando una copia del mensaje en la notificación. dejar pasar el correo a su destinatario. Para personalizar la configuración de un dominio virtual de correo. se pueden realizar las siguientes acciones: Aprobar: No hacer nada.

Aprender de las carpetas IMAP de Spam de las cuentas: Si esta activado. EBOX UNIFIED THREAT MANAGER Los parámetros que se pueden sobreescribir son los siguientes: Dominio: Dominio virtual que queremos personalizar. Cuenta de aprendizaje de ham / spam: Si están activados se crearán las cuentas ham@dominio y spam@dominio respectivamente. se pueden añadir direcciones a su lista blanca. De manera similar si movemos un mensaje desde la carpeta de spam a una carpeta normal. lista negra o que sea obligatorio procesar desde Política antispam para el emisor.CHAPTER 6. se puede permitir a esos MTAs externos filtrar correo de aquellos dominios virtuales externos a eBox que se permitan a través de su 175 . Usar filtrado de virus / spam: Si están activados se filtrarán los correos recibidos en ese dominio en busca de virus o spam respectivamente. sera aprendido como ham. Todo el correo enviado a ham@dominio será aprendido como correo no spam. Los usuarios pueden enviar correos a estas cuentas para entrenar al filtro. Una vez añadido el dominio. Umbral de spam: Se puede usar la puntuación por defecto de corte para los correos Spam. mientras que el correo enviado a spam@dominio será aprendido como spam.2 Listas de control de conexiones externas Desde Filtro de correo → Filtro de correo SMTP → Conexiones externas se pueden configurar las conexiones desde MTAs externos mediante su dirección IP o nombre de dominio hacia el filtro de correo que se ha configurado usando eBox. o un valor personalizado.1. cuando mensajes de correo se coloquen en la carpeta de Spam serán aprendidos por el filtro como spam. 6. De la misma manera. Tendremos disponibles aquellos que se hayan configurado en Correo → Dominio Virtual.

La máquina eBox se colocará entre el verdadero servidor POP y el usuario filtrando el contenido descargado desde los servidores de correo (MTA).net/ 176 . se filtrará el correo POP. 6. eBox usa p3scan 8 . puede filtrar el correo POP. Para ello. De esta manera. eBox puede distribuir su carga en dos máquinas.sourceforge. Desde Filtro de correo filtrado: → Proxy transparente POP se puede configurar el comportamiento del Habilitado: Si está marcada.3 Proxy transparente para buzones de correo POP3 Si eBox está configurado como un proxy transparente.1. una actuando como servidor de correo y otra como servidor para filtrar correo.4 para Administradores de Redes configuración en esta sección.eBox 1. 8 Transparent POP proxy http://p3scan.

2. se filtrará el correo POP en busca de spam. Acción: Acceder a eBox. que contiene un virus de prueba y enviarlo desde nuestro cliente de correo a una de las cuentas de correo de eBox. Una vez que ha terminado lo muestra. Efecto: eBox muestra el progreso mientras aplica los cambios. se filtrará el correo POP en busca de virus. Enviar un correo con virus. Habilitar primero los módulos red y cortafuegos si no se encuentran habilitados con anterioridad. EBOX UNIFIED THREAT MANAGER Filtrar virus: Si está marcada. 6. Efecto: Se ha activado el botón Guardar Cambios. 177 . poniéndola aquí avisaremos al filtro para que tome los correos con esa cabecera como spam.eicar.org/download/eicar_com. Efecto: eBox solicita permiso para sobreescribir algunos ficheros.zip. 1. Acción: Guardar los cambios. Asunto spam del ISP: Si el servidor de correo marca el spam con una cabecera. Acción: Descargar el fichero http://www. El filtro de correo ha sido activado con la opción de antivirus. entrar en Estado del módulo y activar el módulo filtro de correo. Acción: Acceder a Correo → General → Opciones de Filtrado de Correo y seleccionar Filtro de correo interno de eBox. Efecto: El correo nunca llegará a su destino porque el antivirus lo habrá descartado. Efecto: eBox nos avisa de que hemos modificado satisfactoriamente las opciones mediante el mensaje Hecho. 3. 4. Ejemplo práctico Activar el filtro de correo y el antivirus. para ello marcar su casilla en la columna Estado. Acción: Leer los cambios de cada uno de los ficheros que van a ser modificados y otorgar permiso a eBox para sobreescribirlos.CHAPTER 6. Filtrar spam: Si está marcada. 5. Efecto: eBox usará su propio sistema de filtrado. Acción: Acceder al menú Filtro de Correo → Filtro de correo SMTP. marcar las casillas Ha- bilitado y Antivirus habilitado y pulsar el botón Cambiar. Comprobar que el filtro surte efecto.

Para ello basta con marcar la opción Usar configuración por defecto. 178 . por ejemplo mediante el uso del comando tail. especificándonos el nombre del virus: Blocked INFECTED (Eicar-Test-Signature) 6.2.2 Configuración Avanzada para el proxy HTTP 6. Efecto: Observaremos que ha quedado registrado el bloqueo del mensaje infectado.eBox 1.2. Se pueden crear y configurar nuevos perfiles de filtrado para su uso por grupos de usuarios u objetos de red.log. 6.1 Configuración de perfiles de filtrado La configuración de perfiles de filtrado se realiza en la sección Proxy HTTP → Perfiles de Filtrado.4 para Administradores de Redes 7.2 Perfil de filtrado por objeto Se puede seleccionar un perfil de filtrado para un objeto origen. con una importante salvedad: es posible usar la misma configuración del perfil por defecto en las distintas áreas de configuración. Las peticiones que procedan de este objeto usaran el perfil seleccionado en vez del perfil por defecto. Las opciones de configuración son idénticas a las explicadas en la configuración del perfil por defecto. Acción: Acceder a la consola de la máquina eBox y examinar las últimas líneas del fichero /var/log/mail.

la política nos permitirá controlar el acceso a los miembros del grupo y asignarle un perfil de filtrado distinto del perfil por defecto. → Política de objetos y cambiar el perfil de filtrado en la linea correspondiente al objeto. la activación del filtrado de contenidos no depende de esto sino de que tengamos una política global o de objeto de filtrar. Autorizar y denegar todo o Autorizar y filtrar. La prioridad es importante ya que hay usuarios que pueden pertenecer a varios grupos. Estas políticas hacen que el proxy pida identificación de usuario y de no ser satisfactoria se bloqueará el acceso.2. Warning: Hay que tener en cuenta que. Las políticas de grupo se gestionan en la sección Proxy HTTP → Política de Grupo. 179 . Esto sólo afecta al acceso a la web.3 Filtrado basado en grupos de usuarios Es posible usar los grupos de usuarios en el control de acceso y en el filtrado.CHAPTER 6. EBOX UNIFIED THREAT MANAGER Para ello. fuera del horario el acceso será denegado. Para ello primero debemos usar como política global o del objeto de red desde el cuál accedemos al proxy. mayor prioridad). El acceso del grupo puede ser permitir o denegar. También aquí se le puede asignar un perfil de filtrado para ser usado cuando se realice filtrado de contenidos a miembros del grupo de usuarios. En la próxima sección se explica el uso de los perfiles de filtrado. A la política de grupo se le puede asignar un horario. Esta opción requiere que la política del objeto este 6. las políticas con autenticación son incompatibles con el modo transparente. Cada política de grupo tiene una prioridad reflejada en su posición en la lista (primero en la lista. Si tenemos establecida una política global con autorización podremos también establecer políticas globales de grupo. por una limitación técnica de la autenticación HTTP. en cuyo caso le afectarán únicamente las políticas adoptadas al grupo de mayor prioridad. hay que acceder a la sección Proxy HTTP establecida a Filtrar. una de las siguientes: Autorizar y permitir todo.

es posible también definir políticas por grupo. se pedirá autenticación a todo el que trate de acceder al contenido web y de acceder el filtrado de contenidos estará activado. no tendrán filtrado pero tendrán denegada la misma listas de dominios que el resto de la empresa.eBox 1.2.4 Filtrado basado en grupos de usuarios para objetos Recordamos que es posible configurar políticas por objeto de red. Dichas políticas tienen prioridad sobre la política general del proxy y sobre las políticas globales de grupo. cabe destacar que no podemos asignar perfiles de filtrado a los grupos en las políticas de objeto. Efecto: Una vez los cambios guardados. un grupo usará el perfil de filtrado establecido en su política global de grupo. Por último. Asumimos que los grupos y sus usuarios ya están creados. entrar en Estado del módulo y activar el módulo Proxy.4 para Administradores de Redes 6. Las políticas de grupo en este caso sólo influyen en el acceso y no en el filtrado que vendrá determinado por la política de objeto. 180 . Además en caso de que hayamos elegido una política con autorización. podemos seguir estos pasos: 1. Por tanto. para ello marcar su casilla en la columna Estado. Ejemplo práctico Tenemos que crear una política de acceso para dos grupos: IT y Contabilidad. Al igual que en la política general. las políticas con autorización son incompatibles con el filtrado transparente. sea cual sea el objeto de red desde el que se acceda al proxy. Acción: Acceder a eBox. Para ello. Los miembros de IT podrán entrar a cualquier hora. Los miembros del grupo de contabilidad sólo podrán acceder en horario de trabajo y tendrán el contenido filtrado con mayor umbral que el resto de la empresa.

Para ello entraremos en Proxy HTTP → Política de grupo. De igual manera crearemos una política para el grupo IT. El Perfil contabilidad tan sólo debe distinguirse por la poca tolerancia de su umbral. Efecto: Una vez guardados los cambios. A continuación entrar como miembro de IT y comprobar que el análisis esta desactivado entrando en dicha página. así que en umbral de filtrado lo estableceremos al valor muy estricto. como en Filtro de extensiones de fichero y en Filtro de tipos MIME marcaremos la opción Usar configuración por defecto asegurándonos así que el comportamiento para estos elementos no diferirá de la política por defecto. 3. Seleccionar la pestaña Filtrado de dominios y en la lista de dominios añadir marca. En el Perfil IT debemos dejar libre acceso a todo menos a los dominios prohibidos. situada en Proxy HTTP → Perfiles de Fil- trado.com. Primero. agregar al perfil por defecto la lista de dominios prohibidos por la empresa. vacías. EBOX UNIFIED THREAT MANAGER 2. estableceremos el horario de lunes a viernes de 9:00 a 18:00 y seleccionaremos el perfil de filtrado Perfil de contabilidad. Pulsaremos sobre Añadir nueva. el nivel de umbral lo dejaremos en Desactivado y las listas de filtrado de extensiones de fichero y tipos MIME. A continuación. Acción: Entrar a la gestión de perfiles de filtrado.playboy. y crear dos nuevos perfiles de filtrado para nuestros grupos. seleccionaremos Contabilidad como grupo. Entrando con usuarios pertenecientes a uno u otro grupo podremos comprobar de las dos políticas. el resto de configuración debe seguir la política por defecto de la empresa así que tanto en Filtro de dominios. → Perfiles de Filtrado. volver a Proxy HTTP configuraremos ambos. Entrar por medio del icono en la columna de Configuración a los parámetros del perfil por defecto. Efecto: Tendremos definidos los perfiles de filtrado necesarios para nuestros grupos de usuarios. para los que debemos seguir la política habitual. Acción: Ahora asignaremos los horarios y los perfiles de filtrado a los grupos.com y comprobar que es denegada por el análisis de contenidos. Seguidamente 181 . En consecuencia iremos a Filtro de dominios y marcaremos la opción Usar configuración por defecto. habremos finalizado la configuración para este caso. Para este grupo seleccionaremos el Perfil IT y no pondremos ninguna restricción en cuanto horario.CHAPTER 6. con los nombres Perfil IT y Perfil contabilidad. Algunas cosas que podemos comprobar: • Entrar como miembro de contabilidad en www.es y youtube.

comprobar que los miembros de IT pueden acceder pero los de Contabilidad.4 para Administradores de Redes • Tratar de entrar en alguno de los dominios prohibidos. La solución obvia es permitir la conexión a través de Internet. De nuevo las características de autorización y virtualización de las VPN resultaron la respuesta adecuada a dicho problema. Esto nos puede crear problemas de seguridad y configuración. este servicio es costoso y lento de desplegar. Es frecuente que haya recursos necesarios para nuestros usuarios en nuestra red. una organización puede desear conectar entre sí redes que se encuentran en sitios distintos.3 Interconexión segura entre redes locales 6. la solución a este problema estaba en la contratación de líneas dedicadas para conectar dichas redes. eBox ofrece dos modos de funcionamiento. Por ejemplo.3. oficinas en distintas ciudades.1 Redes privadas virtuales (VPN) Las redes privadas virtuales se idearon tanto para permitir el acceso a la red corporativa por usuarios remotos a través de Internet como para unir redes dispersas geográficamente. 182 . A este respecto. • Cambiar la fecha a un día no laborable. pero inseguro. 6. el avance de Internet proporcionó un medio barato y ubicuo. Sin embargo.eBox 1. no. Permite funcionar como servidor para usuarios individuales y también como conexión entre dos o más redes gestionadas con eBox. La utilidad de las VPN no se limita al acceso remoto de los usuarios. comprobando que la lista está en vigor para ambos grupos. al encontrarse fuera de nuestras instalaciones no puedan conectarse directamente a ella. los cuales se tratan de resolver mediante el uso de las redes privadas virtuales. Antes. pero que dichos usuarios. La solución que ofrece una VPN (Virtual Private Network ) a este problema es el uso de cifrado para permitir sólo el acceso a los usuarios autorizados (de ahí el adjetivo privada). las conexiones aparecen como si existiese una red entre los usuarios (de ahí lo de virtual). Para facilitar el uso y la configuración.

¿Si cualquiera puede presentar una clave pública. EBOX UNIFIED THREAT MANAGER 6.CHAPTER 6. esta solución engendra un nuevo problema. así que podemos estar razonablemente seguros de su eficacia. Para resolver este problema. Para firmar ficheros se usa la propia clave privada del firmante y para verificar la firma cualquiera puede Existe mucha documentación sobre el cifrado basado en clave pública. Esta tecnología nos permite la utilización de claves en un medio inseguro. 9 Figure 6. Como esta última no debe ser comunicada a nadie nos aseguramos que el mensaje sólo pueda ser descifrado por el destinatario. sin que sea posible la interceptación de la clave por observadores de la comunicación.PKI). se crearon los certificados.wikipedia.org/wiki/Public-key_encryption 9 183 . Este enlace puede ser un comienzo: http://en.3: Cifrado con clave pública Los certificados aprovechan otra capacidad de la PKI: la posibilidad de firmar ficheros. todo mecanismo de cifrado tiene el problema de cómo distribuir las claves necesarias a los usuarios. La PKI se basa en que cada participante genera un par de claves: una pública y una privada. La solución adoptada es el uso de una infraestructura de clave pública (Public Key Infraestructure . En el caso de las VPN.2 Infraestructura de clave pública (PKI) con una autoridad de certificación (CA) La VPN que usa eBox para garantizar la privacidad e integridad de los datos transmitidos utiliza cifrado proporcionado por tecnología SSL. Sin embargo. Cualquier participante que quiera cifrar un mensaje puede hacerlo con la clave pública del destinatario. sin que estas puedan ser interceptadas por terceros. No obstante. pero el mensaje sólo puede ser descifrado con la clave privada del mismo.3. La pública es distribuida y la privada guardada en secreto. este paso es necesario cuando un nuevo participante ingresa en la red privada virtual. La tecnología SSL está extendida y lleva largo tiempo en uso. como es el caso de Internet. cómo garantizamos que un participante es realmente quien dice ser y no está suplantando una identidad que no le corresponde?.

5: Expedición de un certificado 6.org/>.4 para Administradores de Redes Figure 6. firmada por un participante en el que confiamos. 184 .CA).3. A este participante en el que depositamos la confianza de verificar las identidades se le denomina autoridad de certificación (Certification Authority .The open source toolkit for SSL/TLS <http://www.eBox 1. Figure 6. Utiliza las herramienta de consola OpenSSL 10 10 para este OpenSSL .openssl.3 Configuración de una Autoridad de Certificación con eBox eBox tiene integrada la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados expedidos por esta para tu organización. Un certificado es un fichero que contiene una clave pública.4: Firmado con clave pública usar la clave pública.

así que el resto de funcionalidades del módulo no estarán disponibles hasta que las claves de la CA se generen y su certificado. Este paso es necesario para firmar nuevos certificados. A la hora de establecer la duración hay que tener en cuenta que su expiración revocará todos los certificados expedidos por esta CA. Accederemos a Autoridad de Certificación → General y nos encontraremos ante el formulario para expedir el certificado de la CA tras generar automáticamente el par de claves. es necesario generar las claves y expedir el certificado de la CA. Téngase en cuenta que este módulo es independiente y no necesita ser activado en Estado del Módulo. Primero. provocando la parada de todos los servicios que dependan de estos certificados. Ciudad Estado o Región 185 . Se requerirá el Nombre de la Organización y el Número de Días para Expirar. que es auto firmado. También es posible dar los siguientes datos de manera opcional: Código del País Un acrónimo de dos letras que sigue el estándar ISO-3166.CHAPTER 6. EBOX UNIFIED THREAT MANAGER servicio. sea expedido.

eBox 1. Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. se puede poner cualquier número de Nombres alternativos para el sujeto HTTP 12 11 para el certificado para. investiga en la sección Dominios virtuales para obtener más detalles. por ejemplo. Para tener más información sobre los nombres alternativos para un sujeto.html#Subject_Alternative_Name 12 Para más información sobre los dominios virtuales en HTTP. Además. a través de la lista de certificados podemos realizar distintas acciones con ellos: • Descargar las claves pública.org/docs/apps/x509v3_config. En el caso de que estemos usando estos certificados para un servicio como podría ser un servidor web o un servidor de correo. el Nombre Común deberá coincidir con el nombre de dominio del servidor. privada y el certificado. 11 186 . aparecerá en la lista de certificados y estará disponible para los módulos de eBox que usen certificados y para las demás aplicaciones externas. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar.openssl. usaremos el formulario que aparece ahora en Autoridad de Certificación → General.4 para Administradores de Redes Una vez que la CA ha sido creada. Una vez el certificado haya sido creado. De todas maneras. Para hacer esto. seremos capaces de expedir certificados firmados por esta CA. visita http://www. • Renovar un certificado. establecer otro nombre común a un dominio virtual o una dirección IP o incluso una dirección de correo para firmar los mensajes de correo electrónico.

certificateHold Certificado suspendido. EBOX UNIFIED THREAT MANAGER • Revocar un certificado. entonces se establecerá la fecha de expiración de la CA. cessationOfOperation Cese de operaciones de la entidad certificada. Si renovamos un certificado. 187 . removeFromCRL Actualmente sin implementar da soporte a los CRLs delta o diferenciales. Opcionalmente podemos seleccionar la razón para revocarlo: unspecified Motivo no especificado keyCompromise La clave privada ha sido comprometida CACompromise La clave privada de la autoridad de certificación ha sido comprometida affilliationChanged Se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización.CHAPTER 6. el certificado actual será revocado y uno nuevo con la nueva fecha de expiración será expedido junto al par de claves. Si revocamos un certificado no podremos utilizarlo más ya que esta acción es permanente y no se puede deshacer. si esto no es posible debido a que es posterior a la fecha de expiración de la CA. todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración. Si se renueva la CA. superseded El certificado ha sido renovado y por tanto reemplaza al emitido.

Para ofrecer este par de claves y el certificado firmado al servicio deberemos Activar el certificado para ese servicio. Certificados de Servicios En Autoridad de Certificación → Certificados de Servicios podemos encontrar la lista de módulos de eBox usando certificados para sus servicios. Cada vez que un certificado se renueva se ofrece de nuevo al módulo de eBox pero es necesario reiniciar ese servicio para forzarlo a usar el nuevo certificado. El formulario para crear la Autoridad de Certificación será sustituido por uno para expedir certificados normales. Por omisión estos son generados por cada módulo. Acción: En Autoridad de Certificación → General. pero si estamos usando la CA podemos remplazar estos certificados auto firmados por uno expedido por la CA de nuestra organización. La nueva CA se mostrará en el listado de certificados. Pulsamos Expedir para generar la Autoridad de Certificación. 1. Para cada servicio podemos definir el Nombre Común del certificado y si no hay un certificado con ese Nombre Común. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados. en el formulario Expedir el Certificado de la Autoridad de Certificación rellenamos los campos Nombre de la Organización y Días para Expirar con valores razonables.4 para Administradores de Redes Cuando un certificado expire. la CA expedirá uno. después crear un certificado llamado servidor y crear dos certificados para clientes llamados cliente1 y cliente2. el resto de módulos serán notificados. 188 .eBox 1. Efecto: El par de claves de la Autoridad de Certificación es generados y su certificado expedido. Ejemplo práctico A Crear una autoridad de certificación (CA) válida durante un año.

Esto es.CHAPTER 6. no hace falta modificación de la pila de red (al contrario que con IPSec). una máquina eBox trabajando como puerta de enlace y como servidor OpenVPN. EBOX UNIFIED THREAT MANAGER 2. OpenVPN posee las sigu- Cliente remoto con VPN Se puede configurar eBox para dar soporte a clientes remotos (conocidos familiarmente como Road Warriors). Tenga en cuenta que también se necesita un certificado para el servidor OpenVPN.4 Configuración de una VPN con eBox El producto seleccionado por eBox para crear las VPN es OpenVPN ientes ventajas: • Autenticación mediante infraestructura de clave pública. Para ello. que tiene una red de área local (LAN) detrás. • Clientes disponibles para Windows.net. Efecto: Los nuevos certificados aparecerán en el listado de certificados. 13 OpenVPN: An open source SSL VPN Solution by James Yonan http://openvpn. escribiremos servidor en Nombre Común y en Días para Expirar un número de días menor o igual que el puesto en el certificado de la CA. necesitamos crear una Autoridad de Certificación y certificados para los dos clientes remotos. MacOS y Linux. Acción: Usando el formulario Expedir un Nuevo Certificado para expedir certificados. • Posibilidad de usar programas de red de forma transparente. 189 . En este escenario. listos para ser usados. Repetiremos estos pasos con los nombres cliente1 y cliente2. • Código que se ejecuta en espacio de usuario. permitiendo a clientes en Internet (los road warriors) conectarse a dicha red local vía servicio VPN. • Cifrado basado en tecnología SSL. La siguiente figura puede dar una visión más ajustada: Nuestro objetivo es conectar al cliente 3 con los otros 2 clientes lejanos (1 y 2) y estos últimos entre sí. eBox creará este certificado automáticamente cuando cree un nuevo servidor OpenVPN. 6. eBox actúa como una Autoridad de Certificación. Sin embargo.3. 13 .

eBox hace que la tarea de configurar un servidor OpenVPN sea sencilla. es decir.eBox 1. debemos poner al menos una de nuestras interfaces como externa vía Red → Interfaces. un certificado (eBox creará uno automáticamente usando el nombre del servidor OpenVPN) y una dirección de red. Si se necesita cambiar la dirección de red nos deberemos asegurar que no entra en conflicto con una red local. Es posible configurar nuestro servidor para escuchar en las interfaces internas. activando la opción de Network Address Translation (NAT). debemos activar la opción Permitir conexiones entre clientes. 190 . ya que establece valores de forma automática.6: eBox y clientes remotos de VPN Una vez tenemos los certificados. deberíamos poner a punto el servidor OpenVPN en eBox mediante Crear un nuevo servidor. las redes locales. las redes conectadas directamente a los interfaces de red de la máquina. Si queremos que los clientes puedan conectarse entre sí usando su dirección de VPN. una interna para la LAN y otra externa para el lado colocado hacia Internet. Además. En nuestro escenario sólo se necesitan dos interfaces. se anunciarán automáticamente a través de la red privada. pero de momento la vamos a ignorar.4 para Administradores de Redes Figure 6. El resto de opciones de configuración las podemos dejar con sus valores por defecto. El único parámetro que necesitamos introducir para crear un servidor es el nombre. Las direcciones de la red VPN se asignan tanto al servidor como a los clientes. el servidor OpenVPN estará escuchando en todas las interfaces externas. Los siguientes parámetros de configuración son añadidos automáticamente por eBox. y pueden ser modificados si es necesario: una pareja de puerto/protocolo. Por tanto. Como vemos.

Estos están disponibles en la tabla que aparece en VPN → Servidores. pulsando el icono de la columna Descargar bundle del cliente. EBOX UNIFIED THREAT MANAGER Tras crear el servidor OpenVPN.CHAPTER 6. se incluye también un instalador de OpenVPN para Win32. Una vez hecho esto. Tras ello. podemos añadir o eliminar las rutas que necesitemos. Posteriormente. Por supuesto. se debe comprobar en Dashboard que un servidor OpenVPN está funcionando. se debe elegir el sistema Linux. dichas redes serán accesibles por los clientes OpenVPN autorizados. 191 . Se han creado dos bundles para dos tipos de sistema operativo. debemos anunciar redes. Al crear un bundle se seleccionan aquellos certificados que se van dar al cliente y se establece la dirección IP externa a la cual los clientes VPN se deben conectar. Si el sistema seleccionado es Windows™. Hay que tener en cuenta que eBox anunciará todas las redes internas automáticamente. La forma más sencilla de configurar un cliente OpenVPN es utilizando nuestros bundles. Si se usa un entorno como MacOS™ o GNU/Linux. En nuestro escenario. es momento de configurar los clientes. Los bundles de configuración los descargará el administrador de eBox para distribuirlos a los clientes de la manera que crea más oportuna. se habrá añadido automáticamente la red local para hacer visible el cliente 3 a los otros dos clientes. debemos habilitar el servicio y guardar los cambios.

Para comprobar que la configuración es correcta.4 para Administradores de Redes Un bundle incluye el fichero de configuración y los ficheros necesarios para comenzar una conexión VPN.eBox 1. necesitamos activar la opción Permitir conexiones cliente-a-cliente dentro de la configuración del servidor OpenVPN. Hay que tener en cuenta que el servicio local de DNS de eBox no funciona a través de la red privada a no ser que se configuren los clientes remotos para que usen eBox como servidor de nombres. simplemente se descomprime el archivo y se ejecuta. Eso mismo ocurre con el servicio de NetBIOS 14 para acceder a recursos compartidos por Windows. dentro del recientemente creado directorio. Para más información sobre compartición de ficheros ir a la sección Servicio de compartición de ficheros y de autenticación 14 192 . conectaremos a la VPN y a través de ella accederemos a una máquina residente en una red local a la que solo tiene acceso el servidor por medio de una interfaz interna. Por ejemplo. Es por ello que no podremos acceder a los servicios de las máquinas de la LAN por nombre. Los usuarios conectados actualmente al servicio VPN se muestran en el Dashboard de eBox. en Linux. observar en la tabla de rutas del cliente donde las nuevas redes anunciadas se han añadido al interfaz virtual tapX. Configuraremos un cliente en un ordenador residente en una red externa. únicamente podremos hacerlo por dirección IP. para navegar en los recursos compartidos desde la VPN se deben explícitamente permitir el tráfico de difusión del servidor SMB/CIFS. Para conectar entre sí los clientes remotos. el siguiente comando: openvpn --config filename Ahora tenemos acceso al cliente 3 desde los dos clientes remotos. Ejemplo práctico B En este ejercicio vamos a configurar un servidor de VPN.

Para lanzar el cliente ejecutar el siguiente comando dentro del directorio: → Servidores.CHAPTER 6. 3. Efecto: Al cumplimentar el formulario. descargar el bundle de configuración para el cliente. Efecto: eBox solicita permiso para realizar algunas acciones. Acción: Configurar el ordenador del cliente. Efecto: El servidor está activo. En nuestro escenario coincide con la dirección de la interfaz externa conectada a la misma red que el ordenador cliente. 5. crearlo siguiendo las instrucciones del ejercicio anterior. pulsar sobre Añadir nuevo. aparecerá un formulario con los campos Habilitado y Nombre. entrar en Estado del módulo y activar el módulo OpenVPN. Acción: Acceder a eBox. Acción: Leer las acciones que se van a realizar y otorgar permiso a eBox para hacerlo. Será un archivo en formato comprimido .conf’. • Certificado del cliente: elegir cliente1. 6. Si no está creado este certificado.tar. Para ello. pulsar en el icono de la columna Descargar bundle de cliente y rellenar el formulario de configuración. para ello marcar su casilla en la columna Estado. Para ello descomprimir el bundle en un directorio. Introduciremos 193 . 2. Efecto: Se ha activado el botón Guardar cambios.gz. • Dirección del servidor: aquí introducir la dirección por la que el cliente puede alcanzar al servidor VPN. Observar que el bundle contenía los ficheros con los certificados necesarios y un fichero de configuración con la extensión ‘. Acción: Para facilitar la configuración del cliente. podemos comprobar su estado en la sección Dashboard. ya que es el SO del cliente. 4. EBOX UNIFIED THREAT MANAGER Para ello: 1. Acción: Acceder a la interfaz de eBox. Introducir las siguientes opciones: • Tipo de cliente: seleccionar Linux. bajaremos un archivo con el bundle para el cliente. entrar en la sección VPN un nombre para el servidor. Efecto: El nuevo servidor aparecerá en la lista de servidores. Acción: Pulsar en Guardar cambios y aceptar todos los cambios. Si no han existido equivocaciones en los pasos anteriores ya tenemos toda la configuración necesaria y no nos queda más que lanzar el programa.

eBox 1. Primero comprobaremos que existe la conexión con el comando ping. iniciar una sesión de consola remota. Acción: Antes de comprobar que existe conexión entre el cliente y el ordenador de la red privada. para ello usamos el siguiente comando desde el ordenador del cliente: ssh [ dirección_ip_del_otro_ordenador ] Después de aceptar la identidad del ordenador e introducir usuario y contraseña. Como es una opción del cortafuegos. entonces necesitaremos activar la opción de Network Address Translation.conf ] Efecto: Al lanzar el comando en la ventana de terminal se irán imprimiendo las acciones realizadas por el programa. Si estamos usando eBox como puerta de enlace por defecto. cuando la conexión esté lista se leerá en la pantalla Initialization Sequence Completed. el servidor VPN se encargará de actuar como representante de los clientes VPN dentro de la red local. para ello ejecutaremos el siguiente comando: ping -c 3 [ dirección_ip_del_otro_ordenador ] Para comprobar que no sólo hay comunicación sino que podemos acceder a los recursos del otro ordenador. debemos estar seguros que este último tiene ruta de retorno al cliente VPN. accederemos a la consola del otro ordenador. Si todo es correcto. En realidad. Cliente remoto NAT con VPN Si queremos tener un servidor VPN que no sea la puerta de enlace de la red local. Esta situación se explica mejor con el siguiente gráfico: 194 . lo será de todas las redes anunciadas. la máquina no posee interfaces externos. en caso contrario necesitaremos añadir una ruta al cliente. Con dicha opción. es decir. tendremos que asegurarnos que el módulo de cortafuegos está activo. en caso contrario se leerán mensajes de error que ayudarán a diagnosticar el problema. para asegurarse que recibe los paquetes de respuesta que posteriormente reenviará a través de la red privada a sus clientes. no habrá problema.4 para Administradores de Redes openvpn --config [ nombre_del_fichero. 7. de lo contrario no podremos activar esta opción.

8: eBox como servidor OpenVPN vs. Para hacerlo. EBOX UNIFIED THREAT MANAGER Figure 6. se necesita hacer dos pequeños cambios habilitando la opción Permitir túneles eBox a eBox para intercambiar rutas entre máquinas eBox y contraseña túnel eBox a eBox para establecer la conexión en un entorno más seguro entre las dos oficinas. usaremos eBox en ambas como puertas de enlace. Sin embargo. Una actuará como cliente OpenVPN y otra como servidora. Hay que tener en cuenta que deberemos anunciar la red LAN 1 en Redes anunciadas. debemos configurar un servidor OpenVPN como hacemos en el Ejemplo práctico B.7: Conexión desde un cliente VPN a la LAN con VPN usando NAT Interconexión segura entre redes locales En este escenario tenemos dos oficinas en diferentes redes que necesitan estar conectadas a través de una red privada. 195 . La siguiente imagen trata de aclarar la situación: Figure 6. eBox como cliente OpenVPN Nuestro objetivo es conectar al cliente 1 en la LAN 1 con el cliente 2 en la LAN 2 como si estuviesen en la misma red local.CHAPTER 6. Por tanto.

podemos hacerlo a través de VPN → Clientes. Se puede establecer la configuración del cliente manualmente o automáticamente usando el bundle dado por el servidor VPN. Sin embargo. como hemos hecho en el Ejemplo práctico B. Si no se usa el bundle. aquellas cuyo papel sea de 196 . la máquina que tiene el papel de servidor tendrá acceso a todas las rutas de las maquinas clientes a través de la VPN. se tendrá que dar la dirección IP y el par protocolopuerto donde estará aceptando peticiones el servidor. Cuando la conexión esté completa. Debes dar un nombre al cliente y activar el servicio.eBox 1. se puede ver un nuevo demonio OpenVPN en la red 2 ejecutándose como cliente con la conexión objetivo dirigida a la otra eBox dentro de la LAN 1. Cuando se guardan los cambios. en el Dashboard.4 para Administradores de Redes Para configurar eBox como un cliente OpenVPN. También será necesaria la contraseña del túnel y los certificados usados por el cliente. Estos certificados deberán haber sido creados por la misma autoridad de certificación que use el servidor.

0/24. • Habilitar Permitir túneles eBox-a-eBox. Una vez en la sección VPN configuración: • Puerto: elegir un puerto que no esté en uso.77. crear un nuevo servidor. Usar los siguientes parámetros de → Servidores. Para concluir la configuración del servidor se deben anunciar redes siguiendo los mismos pasos que en ejemplos anteriores. Efecto: Una vez realizados todos los pasos anteriores tendremos al servidor corriendo. desde la selección de Interfaces donde escuchará el servidor. podemos comprobar su estado en el Dashboard. por ejemplo 192. Esta es la opción que indica que va a ser un servidor de túneles. el cliente suministrará todas sus rutas automáticamente al servidor. pulsar en Descargar bundle de configu- ración del cliente en nuestro servidor. Conviene recordar que este paso no va a ser necesario en el cliente. 2. Nos resta habilitar el servidor y guardar cambios. de forma que los miembros de ambas redes se puedan conectar entre sí. Ejemplo práctico C El objetivo de este ejercicio es montar un túnel entre dos redes que usan servidores eBox como puerta de enlace hacia una red externa. Antes de poder descargar el bundle se deben establecer algunos parámetros en el formulario de descarga: • Tipo de cliente: elegir Túnel eBox a eBox. Asegurarse de que el módulo de VPN está activado y activarlo si es necesario. • Finalmente. • Dirección de VPN: introducir una dirección privada de red que no esté en uso en ninguna parte de nuestra infraestructura. obtener un bundle de configuración del cliente. 197 . 1. elegir la interfaz externa con la que podrá conectar la eBox cliente. descargándolo del servidor. Acción: Acceder a la interfaz Web de eBox que va a tener el papel de servidor en el túnel. Anunciar la red privada a la que se quiere que tenga acceso el cliente. EBOX UNIFIED THREAT MANAGER cliente sólo tendrán acceso a aquellas rutas que el servidor haya anunciado explícitamente. acceder de nuevo a la interfaz Web de eBox y en la sección VPN → Servidores.CHAPTER 6. Acción: Para facilitar el proceso de configuración del cliente. • Introducir una contraseña para túneles eBox-a-eBox.168. como el 7766. Para descargarlo.

Aparecerá un formulario donde podremos marcar la opción de Habilitado. se puede retornar a la lista de clientes y habilitar nuestro cliente. así que se debe volver a la lista de clientes y pulsar en el apartado de configuración correspondiente a nuestro cliente. Sino se tienen suficientes certificados. Para habilitarlo. seleccionar el archivo obtenido en el paso anterior y pulsar sobre Cambiar. para crear uno pulsar sobre Añadir cliente e introducir un nombre para él.gz con los datos de configuración necesarios para el cliente.eBox 1. Efecto: Una vez guardados los cambios. 3. tendremos el cliente activo como podremos comprobar en el Dashboard. Usaremos la opción Subir bundle de configuración del cliente. que se encuentra en la columna de Acciones. En esta sección se ve una lista vacía de clientes. pulsar en el icono de Editar. seguir los pasos de ejercicios anteriores para crear un certificado que pueda usar el cliente. Efecto: Descargamos un archivo tar. Dado que se tiene un bundle de configuración de cliente. 198 . Ahora tenemos el cliente totalmente configurado y sólo nos resta guardar los cambios. • Dirección del servidor: aquí se debe introducir la dirección por la que el cliente pueda conectar con el servidor. en nuestro escenario la dirección de la interfaz externa conectada a la red visible tanto por el servidor como el cliente será la dirección adecuada. Además de la existencia del túnel serán necesarios los siguientes requisitos: • Los ordenadores deberán conocer la ruta de retorno a la otra red privada.4 para Administradores de Redes • Certificado del cliente: elegir un certificado que no sea el del servidor ni esté en uso por ningún cliente más. Acción: Acceder a la interfaz Web del servidor eBox que va a tener el papel de cliente. Comprobar que el módulo VPN está activo. como en nuestro escenario. eBox está siendo utilizado como puerta de enlace no habrá necesidad de introducir rutas adicionales. Si tanto la configuración del servidor como del cliente son correctas. no se necesita rellenar las secciones a mano. Si. • El cortafuegos deberá permitir conexiones entre las rutas para los servicios que utilicemos. Una vez cargada la configuración. Como no está configurado no se podrá habilitar. 4. Una vez introducidos todos los datos pulsamos el botón de Descargar. el cliente iniciará la conexión y en un instante tendremos el túnel listo. Acción: Ahora se comprobará que los ordenadores en las redes internas del servidor y del cliente pueden verse entre sí. ir a la sección VPN → Clientes.

Las dos funciones principales de un IDS es detectar los posibles ataques o intrusiones. EBOX UNIFIED THREAT MANAGER Una vez comprobados estos requisitos podremos pasar a comprobar la conexión. En la pestaña Interfaces aparecerá una tabla con la lista de todas las interfaces de red que tengamos configuradas. para ello entraremos en uno de los ordenadores de la red privada del servidor VPN y haremos las siguientes comprobaciones: • Ping a un ordenador en la red del cliente VPN. eligiendo como objetivo un ordenador residente en la red del servidor VPN. a una base de datos o fichero de registro. 6. lo cual se realiza mediante un conjunto de reglas que se aplican sobre los paquetes del tráfico entrante. podemos seleccionar distintos conjuntos de reglas a aplicar sobre los paquetes capturados.org 199 . Por defecto. se encarga de examinar todo el tráfico de una red local.snort. principalmente ataques provenientes de Internet. que es la herramienta que integra eBox para realizar dicha tarea.1 Configuración de un IDS con eBox La configuración del Sistema de Detección de Intrusos en eBox es muy sencilla. Existen distintos tipos de IDS. En primer lugar. Terminadas estas comprobaciones.CHAPTER 6.4 Sistema de Detección de Intrusos (IDS) Un Sistema de Detección de Intrusos (IDS) es una aplicación diseñada para evitar accesos no deseados a nuestras máquinas. A ambas opciones de configuración se accede a través del menú IDS. tendremos que especificar en qué interfaces de red queremos habilitar la escucha del IDS. las repetiremos desde un ordenador de la red del cliente VPN. algunos IDS combinados con el cortafuegos también son capaces de bloquear los intentos de intrusión. 6.4. • Tratar de iniciar una sesión SSH en un ordenador de la red del cliente VPN. con el objetivo de disparar alertas en caso de resultados positivos. todas ellas se encuentran deshabilitadas debido al incremento en la latencia de red y consumo de CPU 15 Snort: A free lightweight network intrusion detection system for UNIX and Windows http://www. Tras ello. añadiendo información útil (como puede ser la dirección IP de origen del ataque). Solamente necesitamos activar o desactivar una serie de elementos. Además de registrar todos los eventos sospechosos. Uno de los NIDS más populares es Snort 15 . el más común de ellos es el Sistema de Detección de Intrusos de Red (NIDS).

En la pestaña Reglas tenemos una tabla en la que se encuentran precargados todos los conjuntos de reglas de Snort instaladas en nuestro sistema (ficheros bajo el directorio /etc/snort/rules). Si tenemos recursos hardware de sobra podemos también activar otras reglas adicionales que nos puedan interesar. 200 . Por defecto.eBox 1. las relativas a servicios que no existen en nuestra red. puedes habilitar cualquiera de ellas pinchando en la casilla de selección. Podemos ahorrar tiempo de CPU desactivando aquellas que no nos interesen.4 para Administradores de Redes que genera la inspección de tráfico. Sin embargo. se encuentra habilitado un conjunto típico de reglas. El procedimiento para activar o desactivar una regla es el mismo que para las interfaces. por ejemplo.

1. El módulo IDS se encuentra integrado con el módulo de registros de eBox. 2. gracias al sistema de registros y eventos de eBox podemos hacer que esta tarea sea más sencilla y eficiente. en caso de que no se encontrase activado previamente. entrar en Estado del módulo y activar el módulo IDS. podremos consultar las distintas alertas del IDS mediante el procedimiento habitual.CHAPTER 6. Acción: Instalar el paquete nmap en otra máquina mediante el comando aptitude install nmap. Efecto: Se ha activado el botón Guardar Cambios. Acción: Acceder al menú IDS y en la pestaña Interfaces activar una interfaz que sea alcanzable desde la máquina en la que lanzaremos el ataque. Efecto: Cuando el IDS entre en funcionamiento podrá registrar sus alertas. Una vez que ha terminado lo muestra. 201 . 3. A partir de ahora el IDS se encuentra analizando el tráfico de la interfaz seleccionada. así que si este último se encuentra habilitado. 5.2 Alertas del IDS Con lo que hemos visto hasta ahora podemos tener funcionando el módulo IDS. Acción: Acceder a eBox.4. activar el módulo registros. Acción: Guardar los cambios. Nos informa de que se modificará la configuración de Snort. Efecto: El cambio se ha guardado temporalmente pero no será efectivo hasta que se guarden los cambios. pero su única utilidad sería que podríamos observar manualmente las distintas alertas en el fichero /var/log/snort/alert. 4. Acción: Del mismo modo. para ello marcar su casilla en la columna Estado. podemos configurar un evento para que cualquiera de estas alertas sea notificada al administrador del sistema por alguno de los distintos medios disponibles. consultar el capítulo Registros. EBOX UNIFIED THREAT MANAGER 6. Como vamos a ver. Para más información al respecto. Ejemplo práctico Habilitar módulo IDS y lanzar un “ataque” basado en el escaneo de puertos contra la máquina eBox. Así mismo. Efecto: eBox muestra el progreso mientras aplica los cambios. Permitir la operación pulsando el botón Aceptar.

Efecto: Se efectuarán intentos de conexión a distintos puertos de la máquina eBox.eBox 1. 6. Se puede interrumpir el proceso pulsando Ctrl-c. 7. → Consulta Registros y seleccionar Informe completo para el 202 . Acción: Desde la misma máquina ejecutar el comando nmap pasándole como único argumento de línea de comandos la dirección IP de la interfaz de eBox seleccionada anteriormente.4 para Administradores de Redes Efecto: La herramienta nmap se encuentra instalada en el sistema. Efecto: Aparecen en la tabla entradas relativas al ataque que acabamos de efectuar. Acción: Acceder a Registros dominio IDS.

1 Registros eBox proporciona una infraestructura para que sus módulos puedan registrar todo tipo de eventos que puedan ser útiles para el administrador. Este conjunto de características es lo que denominamos el núcleo del sistema eBox. Sino que además ofrece una serie de características que facilitan y hacen más eficiente la administración de eBox. los informes y las actualizaciones de manera más sencilla y eficiente.org/rss-specification/. monitorización de la máquina o las actualizaciones de seguridad de software son cuestiones que se van a explicar en este apartado. Jabber o RSS 2 ). Estos registros se almacenan en una base de datos para hacer la consulta. Además podemos configurar distintos manejadores para los eventos. 7. de forma que el administrador pueda ser notificado por distintos medios (Correo.rssboard. registros de los servicios para saber qué ha pasado y cuándo. notificaciones ante incidencias o determinados eventos. RSS Really Simple Syndication es un formato XML usado principalmente para publicar obras frecuentemente actualizadas http://www. Las copias de seguridad para restaurar un estado anterior.Chapter 7 eBox Core En eBox no sólo se configuran los servicios de red de manera integrada. El gestor de base de datos que se usa es PostgreSQL 1 . 203 .org/. Estos registros se pueden consultar a través de la interfaz de eBox de manera común.postgresql. Disponemos de registros para los siguientes servicios: 1 2 PostgreSQL The world’s most advanced open source database http://www.

eBox 1. • Estado de los servicios. • Problemas con los routers de salida a Internet. Por ejemplo. podemos acceder a la sección Registros del menú de eBox. En el Informe completo se nos ofrece una lista de todas las acciones registradas para el dominio seleccionado. algunos de ellos nos proporcionan un interesante Informe resumido que nos ofrece una visión global del funcionamiento del servicio durante un periodo de tiempo. debemos asegurarnos de que este se encuentre habilitado. En primer lugar. Podemos obtener un Informe completo de todos los dominios de registro. para que funcionen los registros. Para obtener informes de los registros existentes. • Finalización de una copia completa de datos. • Eventos del subsistema RAID por software • Espacio libre en disco. al igual que con el resto de módulos de eBox. Además. Para habilitarlo debemos ir a Estado del módulo y seleccionar la casilla registros. La información proporcionada es dependiente de cada dominio. podemos recibir notificaciones de los siguientes eventos: • Valores específicos de los registros. • Estado de salud de eBox.4 para Administradores de Redes • OpenVPN (Redes privadas virtuales (VPN)) • SMTP Filter (Filtrado de Correo SMTP) • POP3 proxy (Proxy transparente para buzones de correo POP3) • Impresoras (Servicio de compartición de impresoras) • Cortafuegos (Cortafuegos) • DHCP (Servicio de configuración de red (DHCP)) • Correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)) • Proxy HTTP (Servicio Proxy HTTP) • Ficheros compartidos (Servicio de compartición de ficheros y de autenticación) • IDS (Sistema de Detección de Intrusos (IDS)) Así mismo. → Consultar registros 204 .

como ejemplo. Además.1: Pantalla de consulta de registros para el dominio OpenVPN podemos consultar las conexiones a un servidor VPN de un cliente con un certificado concreto. En la imagen podemos ver. las estadísticas de peticiones y tráfico del proxy HTTP al día. El Informe resumido nos permite seleccionar el periodo del informe. Dicha búsqueda podemos almacenarla en forma de evento para que nos avise cuando ocurra alguna coincidencia. que puede ser de un día. el resultado se irá refrescando con nuevos datos. Por tanto.1 Configuración de registros Una vez que hemos visto como podemos consultar los registros. una semana o un mes.1.CHAPTER 7. acompañadas de una tabla-resumen con valores totales de distintos datos. si la consulta se realiza hasta el momento actual. o por ejemplo para el dominio Proxy HTTP podemos saber de un determinado cliente a qué páginas se le ha denegado el acceso. 205 . es importante también saber que podemos configurarlos en la sección Registros → Configurar los registros del menú de eBox. La información que obtenemos es una o varias gráficas. 7. serán desechados. EBOX CORE Figure 7. Los valores configurables para cada dominio instalado son: Habilitado: Si esta opción no está activada no se escribirán los registros de ese dominio. Purgar registros anteriores a: Establece el tiempo máximo que se guardarán los registros. podemos realizar una consulta personalizada que nos permita filtrar tanto por intervalo temporal como por otros distintos valores dependientes del tipo de dominio. una hora. Todos aquellos valores cuya antigüedad supere el periodo especificado.

Ejemplo práctico Habilitar el módulo de registros. Permitir la operación pulsando el botón Aceptar. spam. para ello marcar su casilla en la columna Estado. Observar los resultados en Registros → Consulta Registros → Informe completo.eBox 1. Usar el Ejemplo práctico como referencia para generar tráfico de correo electrónico conteniendo virus. Acción: Acceder al menú Registros → Configurar registros y comprobar que los registros para el dominio Correo se encuentran habilitados. 2. que nos permite seleccionar distintos intervalos comprendidos entre una hora y 90 días. Efecto: Hemos habilitado el módulo registros y nos hemos asegurado de tener activados los registros para el correo.4 para Administradores de Redes Figure 7. entrar en Estado del módulo y activa el módulo registros. Esto lo hacemos mediante el botón Purgar de la sección Forzar la purga de registros. 1.2: Pantalla de informe completo Además podemos forzar la eliminación instantánea de todos los registros anteriores a un determinado periodo. Efecto: Se ha activado el botón Guardar Cambios. remitentes prohibidos y ficheros prohibidos. 206 . Acción: Acceder a eBox. Nos informa de que se creará una base de datos para guardar los registros.

CHAPTER 7. EBOX CORE Figure 7.3: Pantalla de informe resumido 207 .

Efecto: Como ahora el módulo registros está habilitado. Acción: Volver a enviar unos cuantos correos problemáticos (con spam o virus) como se hizo en el tema correspondiente. Acción: Acceder a Registros dominio Correo. a diferencia de lo que ocurrió cuando los enviamos por primera vez.eBox 1. → Consulta Registros y seleccionar Informe completo para el 208 . A partir de ahora quedarán registrados todos los correos que enviemos. 5. Efecto: eBox muestra el progreso mientras aplica los cambios. Acción: Guardar los cambios. 4.4 para Administradores de Redes Figure 7. Efecto: Aparece una tabla con entradas relativas a los correos que hemos enviado mostrando distintas informaciones de cada uno. Una vez que ha terminado lo muestra. los correos han quedado registrados.4: Pantalla de configurar registros 3.

La monitorización se hace mediante gráficas que permiten hacerse fácilmente una idea de la evolución del uso de recursos. Es por ello que las métricas que monitoriza eBox son relativamente limitadas. uso de CPU. El principal problema de la monitorización es la selección de aquellos valores significativos del sistema. Esta información es esencial tanto para diagnosticar problemas como para planificar los recursos necesarios con el objetivo de evitar problemas. 209 . Podemos elegir la escala temporal de las gráficas entre una hora. Para acceder a las gráficas se hace a través de la entrada Monitorización. Para ello simplemente pulsaremos sobre la pestaña correspondiente. Monitorizar implica conocer ciertos valores que nos ofrece el sistema para determinar si dichos valores son normales o están fuera del rango común de valores. Colocando el cursor encima de algún punto de la línea de la gráfica en el que estemos interesados podremos saber el valor exacto para ese momento.2 Monitorización El módulo de monitorización permite al administrador conocer el estado del uso de los recursos del servidor eBox. Es conveniente evitar la obtención de muchos valores sin ningún objetivo concreto. uso de memoria y uso del sistema de ficheros. un mes o un año.CHAPTER 7. para un encaminador la memoria disponible y la carga son valores mucho más significativos para conocer el estado del servicio ofrecido. tanto en su valor inferior como superior. Para cada una de las máquinas esos valores pueden ser diferentes. Ahí se muestran las gráficas de las medidas monitorizadas. Por ejemplo. EBOX CORE 7. un día. Sin embargo. en un servidor de ficheros el espacio libre de disco duro es importante. Estas son: carga del sistema.

eBox 1.1 Métricas Carga del sistema La carga del sistema trata de medir la relación entre la demanda de trabajo y el realizado por el computador. un valor de 2 se interpretaría como que le estamos exigiendo el doble del trabajo que puede realizar. Hay que tener en cuenta que los procesos que están interrumpidos por motivos de lectura/escritura en almacenamiento también contribuyen a la métrica de carga.2. Un valor de 0.5 significaría que podría llegar a soportar el doble de trabajo. Esta métrica se calcula usando el número de tareas ejecutables en la cola de ejecución y es ofrecida por muchos sistemas operativos en forma de media de uno. pero seguiría siendo útil para estimar la relación entre la demanda y la capacidad de trabajo. 210 . La interpretación de esta métrica es la capacidad de la CPU usada en el periodo elegido. Y siguiendo la misma proporción. En estos casos no se correspondería bien con el uso de la CPU. una carga de 1 significaría que esta operando a plena capacidad. cinco y quince minutos. Así.4 para Administradores de Redes 7.

En la mayoría de sistemas Linux ese valor es 100 por segundo pero no hay ninguna limitación o posibilidad que dicho valor sea diferente. código del sistema. Ese tiempo no es un porcentaje sino unidades de scheduling conocidos como jiffies. en espera de una operación de entrada/salida. En caso de que dispongamos de una maquina con múltiples CPUs tendremos una gráfica para cada una de ellas. 211 . EBOX CORE Uso de la CPU Con esta gráfica tendremos una información detallada del uso de la CPU.CHAPTER 7. ejecutando código de usuario. estamos inactivo. En la gráfica se representa la cantidad de tiempo que pasa la CPU en alguno de sus estados. entre otros valores.

4 para Administradores de Redes Uso de la memoria La gráfica nos muestra el uso de la memoria. Se monitorizan cuatro variables: Memoria libre: Cantidad de memoria no usada Caché de pagina: Cantidad destinada a la caché del sistema de ficheros Buffer cache: Cantidad destinada a la caché de los procesos Memoria usada: Memoria usada que no esta destinada a ninguno de las dos anteriores cachés. 212 . Uso del sistema de ficheros Esta gráfica nos muestra el espacio usado y libre del sistema de ficheros en cada punto de montaje.eBox 1.

EBOX CORE Temperatura Con esta gráfica es posible leer la información disponible sobre la temperatura del sistema en grados centígrados usando el sistema ACPI 3 .info/ 213 . Para tener activada esta métrica.CHAPTER 7. 3 La especificación Advanced Configuration and Power Interface (ACPI) es un estándar abierto para la configuración de dispositivos centrada en sistemas operativos y en la gestión de energía del computador. es necesario que existan datos en los directorios /sys/class/thermal o /proc/acpi/thermal_zone.acpi. http://www.

Las alertas de monitorización deben configurarse en el módulo de eventos. de advertencia y de fallo. Entrando en Eventos → Configurar eventos. podemos ver la lista de eventos disponibles. Pulsando en la celda de configuración. De esta manera.2 Alertas Las gráficas no tendrían ninguna utilidad si no se ofreciera notificaciones cuando se producen algunos valores de la monitorización.4 para Administradores de Redes 7. Dependiendo de la métrica también podremos elegir otros parámetros relacionados con 214 . Podremos elegir cualquiera de las métricas monitorizadas y establecer umbrales que disparen el evento. pudiendo así discriminar entre la gravedad del evento. Otra opción importante es la de persistente:. los eventos de monitorización están agrupados en el vento Monitor. podemos saber cuando la máquina está sufriendo una carga inusual o está llegando a su máxima capacidad. En cuanto a los umbrales tendremos de dos tipos.2.eBox 1. accederemos a la configuración de este evento. Tenemos la opción de invertir: que hará que los valores considerados correctos sean considerados fallos y a la inversa.

3 Incidencias (eventos y alertas) Aunque la posibilidad de hacer consultas personalizadas a los registros. La configuración de los observadores es igual que la de cualquier evento. 215 . Sistema de ficheros: Los valores deben establecerse en bytes. como de costumbre. Se complementan mejor todavía con las posibilidades de monitorización de eventos a través de la notificación. Uso de la CPU: Los valores se deben disponer en jiffies o unidades de scheduling. se encuentran activados por defecto. o la visualización de los resúmenes son opciones muy útiles. EBOX CORE esta. Una vez configurado y activado el evento deberemos configurar al menos un observador para recibir las alertas. 4 Teniendo instalado y configuración el módulo de correo (Servicio de correo electrónico (SMTP/POP3-IMAP4)).CHAPTER 7. Temperatura: Los valores a establecer debe establecer en grados. para los eventos tendremos que activar explícitamente aquellos que nos interesen. o para la carga puede ser útil la carga a corto plazo. A diferencia de los registros. Disponemos de los siguientes mecanismos emisores para la notificación de incidencias: • Correo 4 • Jabber • Registro • RSS Antes de activar los eventos debemos asegurarnos de que el módulo se encuentra habilitado. Uso de la memoria física: Los valores deben establecerse en bytes. etc. 7. debemos ir a Estado del módulo y seleccionar la casilla eventos. por ejemplo para el disco duro podemos recibir alertas sobre el espacio libre. así que deberemos seguir las indicaciones contenida en el capítulo de Incidencias (eventos y alertas). que salvo en el caso del cortafuegos. Para habilitarlo. Cada medida tiene una métrica que se describe como sigue: Carga del sistema: Los valores deben ser en número de tareas ejecutables media en la cola de ejecución.

Sólo debemos especificar el porcentaje mínimo de espacio libre con el que queremos ser notificados (cuando sea menor de ese valor). Para ello marcaremos la casilla Habilitado y pulsaremos el botón Cambiar.eBox 1. concesiones DHCP a una determinada IP.5: Pantalla de configurar eventos Además. podemos elegir en primer lugar qué dominios de registro queremos observar. podemos añadir reglas de filtrado específicas dependientes del dominio. podemos seleccionar los emisores que deseemos en la pestaña Configurar emisores. La configuración para el observador de espacio en disco libre es sencilla. Por ejemplo: peticiones denegadas en el proxy HTTP. La creación de alertas para monitorizar también se puede hacer mediante el botón Guardar como evento a través de Registros → Consultar registros → Informe completo. Figure 7. Respecto a la selección de medios para la notificación de los eventos. En el caso del observador de registros. algunos eventos como el observador de registros o el observador de espacio restante en disco tienen sus propios parámetros de configuración. trabajos de cola de impresión cancelados. 216 . etc. Después. Podemos editar el estado de cada uno mediante el icono del lápiz. por cada uno de ellos.4 para Administradores de Redes Para activar cualquiera de ellos accederemos al menú Eventos → Configurar eventos.

CHAPTER 7.6: Pantalla de configurar observadores de registros Figure 7.7: Pantalla de configurar emisores 217 . EBOX CORE Figure 7.

1 Ejemplo práctico Usar el módulo eventos para hacer aparecer el mensaje “eBox is up and running” en el fichero /var/log/ebox/ebox.log). Jabber: Debemos especificar el nombre y puerto del servidor Jabber. Marcar la casilla Habilitado y pulsar el botón Cambiar. que no sea accesible para nadie. Acción: Acceder al menú Eventos y a la pestaña Configurar eventos. 218 . Efecto: Veremos que en la tabla de emisores aparece como habilitado el emisor de Registro. Efecto: Veremos que en la tabla de eventos aparece como habilitado el evento de Estado. 2.eBox 1.log aparecerá un evento con el mensaje ‘eBox is up and running’. el resto de emisores requieren una configuración adicional que detallamos a continuación: Correo: Debemos especificar la dirección de correo destino (típicamente la del administrador de eBox). Dicho mensaje se generará cada vez que se reinicie el módulo de eventos.3. Marcar la casilla Habilitado y pulsar el botón Cambiar. Excepto en el caso del fichero de registro (que escribirá implícitamente los eventos recibidos al fichero /var/log/ebox/ebox. Pulsar el icono del lápiz sobre la fila Estado. Efecto: eBox muestra el progreso mientras aplica los cambios. Acción: Acceder a eBox.4 para Administradores de Redes De idéntica forma a la activación de eventos. y la cuenta Jabber del administrador que recibirá dichas notificaciones. 4. entrar en Estado del módulo y activar el módulo eventos. el nombre de usuario y contraseña del usuario que nos notificará los eventos. 3. RSS: Nos permite seleccionar una política de lectores permitidos. además podemos personalizar el asunto de los mensajes. Acción: Guardar los cambios. En el fichero de registro /var/log/ebox/ebox. o autorizar sólo a una dirección IP u objeto determinado. Una vez que ha terminado lo muestra. 1. Podemos hacer que el canal sea público. para ello marcar su casilla en la columna Estado. debemos editarlos y seleccionar la casilla Habilitado. así como el enlace del canal. 7. Acción: Acceder a la pestaña Configurar emisores. Efecto: Se ha activado el botón Guardar Cambios.log. Pulsar el icono del lápiz sobre la fila Registro.

log volverá a aparecer un nuevo evento con el mensaje ‘eBox is up and running’. EBOX CORE 5. 219 . El uso de una máquina remota ofrece un nivel de seguridad mayor debido a la separación física. comprobar y restaurar copias de seguridad o respaldo del sistema. pero esto dependerá de nuestras necesidades y recursos de almacenamiento disponibles. ya que un compromiso en uno lleva a un compromiso del otro. una copia total de todos los datos. Efecto: En el fichero de registro /var/log/ebox/ebox.1 Diseño de un sistema de copias de seguridad La pérdida de datos en un sistema es un accidente ocasional ante el que debemos estar prevenidos. Otra de las decisiones importantes es si realizaremos las copias de seguridad sobre la misma máquina o a otra remota. fallos de software o un error humano pueden provocar un daño irreparable en el sistema o la pérdida de datos importantes. Fallos de hardware. Un fallo de hardware. tanto de configuración como de datos.4 Copias de seguridad 7.4. Las copias incrementales reducen el espacio consumido para realizar copias de seguridad aunque requieren lógica adicional para la restauración de la copia de seguridad. un fallo de software. esto es.CHAPTER 7.d/ebox events restart. ejecutar el comando sudo /etc/init. Para minimizar este riesgo el servidor de copias debería ser exclusivamente dedicado para tal fin y no ofrecer otros servicios adicionales más allá de los requeridos para realizar las copias. Acción: Desde la consola de la máquina eBox. Una de las primeras decisiones que deberemos tomar es si realizaremos copias completas. Tener dos servidores no dedicados realizando copias uno del otro es definitivamente una mala idea. un error humano o una intrusión en el servidor principal no deberían de afectar la integridad de las copias de seguridad. Es por tanto imprescindible diseñar un correcto procedimiento para realizar. es decir. 7. La decisión más habitual es realizar copias incrementales y de vez en cuando hacer una copia completa a otro medio. o copias incrementales. a partir de una primera copia completa copiar solamente las diferencias.

FTP. 5 Tienda de eBox Technologies en https://store.2 Configuración de las copias de seguridad con eBox En primer lugar. Debemos tener en cuenta que dependiendo del método que seleccione deberemos proporcionar más o menos información: dirección del servidor remoto. usuario o contraseña. En caso de éste último. SCP y Sistema de ficheros. Ésto significa que proporcionaremos los credenciales adecuados para conectar con el servidor.4 para Administradores de Redes 7. Todos los métodos salvo Sistema de ficheros acceden servicios remotos. Además no necesitarás incluir la dirección del servidor remoto ya que eBox lo tendrá configurado automáticamente. emplea este servicio para disfrutar de una ubicación segura remota donde almacenar tus datos. eBox Backup Storage (US West Coast). Figure 7. necesitaremos especificar que protocolo se usa para conectarse al servidor remoto. eBox Backup Storage (US Denver). si se selecciona FTP o SCP tendremos que introducir la dirección del servidor remoto.4.ebox-technologies. Puedes crear una cuenta en nuestra tienda 5 para los métodos eBox Backup Storage.eBox 1.com 220 . debemos decidir si almacenamos nuestras copias de seguridad local o remotamente.8: Configuración Método: Los distintos métodos que son soportados actualmente son eBox Backup Storage (EU). Por otro lado.

Frecuencia de copia incremental: Este valor también está relacionado con Frecuencia de copia de seguridad completa. no tiene sentido hacer copias incrementales con las misma frecuencia que las completas. Estas copias deben hacerse con más frecuencia que las completas. Para entender ésto mejor veamos un ejemplo: El valor de Frecuencia de copia completa es semanal. Si se usa cualquiera de los métodos de eBox Backup Storage. la copia de respaldando más antigua será de dos semanas. o se puede seleccionar una clave GPG ya creada para dar cifrado asimétrico a tus datos. EBOX CORE Warning: Si usamos SCP. En caso de usar Sistema de ficheros. Tiene relación directa con Frecuencia de copia de seguridad completa.CHAPTER 7. Deberemos seleccionar un valor acorde a el periodo que queramos almacenar de las copias de respaldo y el espacio en disco que tengamos. Con esta configuración tendremos cuatro copias de seguridad completas de 221 . Si seleccionamos una frecuencia Semanal y el número de copias almacenadas a 2. Cifrado: Se puede cifrar los datos de la copia de seguridad usando una clave simétrica que se introduce en el formulario. Los valores son: Diario. Servidor o destino: Para FTP. El Numero de copias totales a almacenar es 4. entonces sólo se requiere introducir una ruta relativa. las copias incrementales se harán diarias. Contraseña: Contraseña para autenticarse en la máquina remota. Si no se realiza esta operación. tendremos que ejecutar sudo ssh usuario@servidor y aceptar la huella del servidor remoto para añadirlo a la lista de servidores SSH conocidos. Usuario: Nombre de usuario para autenticarse en la máquina remota. Una configuración típica de copias de respaldo consiste en realizar copias incrementales entre las copias completas. Es importante y debemos familiarizarnos con lo que significa. Número de copias totales almacenadas: Este valor se usa para limitar el número de copias totales que están almacenadas. introduciremos la ruta de un directorio local. Esto significa que si tenemos copias completas semanales. Por el contrario. De forma similar. la copia de respaldo más antigua será de 4 meses. seleccionando Mensual y 4. Semanal y Mensual. y SCP tenemos que proporcionar el nombre del servidor remoto o su dirección IP. Frecuencia de copia de seguridad completa: Este parámetro se usa para determinar la frecuencia con la que las copias de seguridad completas se llevan a cabo. la copia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor.

Una copia completa de una máquina eBox con todos sus módulos ocupa alrededor de 300 MB. 222 . Figure 7. /sys.9: Lista de inclusión y exclusión La lista por defecto de directorios excluidos es: /mnt. Por ejemplo. Configuración de los directorios y ficheros que son respaldados La configuración por defecto efectuará una copia de todo el sistema de ficheros. Esto significa que ante un eventual desastre seremos capaces de restaurar la máquina completamente. Es decir. La lista por defecto de directorios incluidos es: /. Es una mala idea incluir alguno de estos directorios ya que como resultado el proceso de copia de respaldo podría fallar. puedes seleccionar Excluir expresión regular y añadir *. Lo que significa que podemos restaurar cualquier día arbitrario del mes. y /proc. Comienzo de copia de respaldo: Este campo es usado para indicar cuando comienza el proceso de la toma de la copia de respaldo. si quieres saltarte ficheros de vídeo AVI de tu copia de seguridad. Podemos excluir extensiones de fichero utilizando caracteres de shell. y entre cada copia completa tendremos copias incrementales. Es una buena idea establecerlo a horas cuando no haya nadie en la oficina ya que puede consumir bastante ancho de banda de subida. un mes entero de copias. /dev. /media.avi.4 para Administradores de Redes cuatro semanas. Es un buena idea no cambiar esta configuración al menos que tengas problemas de espacio.eBox 1.

EBOX CORE Comprobando el estado de las copias Podemos comprobar el estado de las copias de respaldo en la sección Estado de las copias remotas. el proceso es costoso en tiempo y no se podrá 223 . y la fecha de cuando fue tomada.10: Estado de las copias Cómo comenzar un proceso de copia de respaldo manualmente El proceso de copia de respaldo se inicia automáticamente a la hora configurada. Dependiendo del tamaño del fichero o del directorio que deseemos restaurar. En esta tabla podemos ver el tipo de copia. Podemos usar este método con ficheros pequeños. así como las distintas fechas o versiones de los mismos. En la sección Copia de seguridad → Restaurar ficheros tenemos acceso a la lista de todos los ficheros y directorios que contiene la copia remota. Es posible restaurar ficheros directamente desde el panel de control de eBox.CHAPTER 7. Con ficheros grandes. completa o incremental. Figure 7. Sin embargo. si necesitamos comenzarlo manualmente podemos ejecutar: # /usr/share/ebox-ebackup/ebox-remote-ebackup --full O para iniciar una copia incremental: # /usr/share/ebox-ebackup/ebox-remote-ebackup --incremental Restaurar ficheros Hay dos formas de restaurar un fichero.

Usando now podemos restaurar la copia más actual. /var o /usr mientras el sistema está en funcionamiento puede ser muy peligroso. Debemos ser especialmente cautos con el tipo de fichero que restauramos. Dependiendo del fichero.4 para Administradores de Redes usar el interfaz Web de eBox mientras la operación está en curso.11: Restaurar un fichero Los ficheros grandes y los directorios y ficheros de sistema deben ser restaurados manualmente. podemos hacerlo mientras el sistema está en funcionamiento. No hagas ésto a no ser que sepas muy bien lo que estás haciendo. será seguro restaurar ficheros de datos que no estén siendo abiertos por aplicaciones en ese momento. En este caso. debemos familiarizarnos con la herramienta que usa este módulo: duplicity. 224 . restaurar ficheros del sistema de directorios como /lib. Sin embargo. Normalmente. Se ejecuta el siguiente comando: duplicity restore --file-to-restore -t 3D <fichero o directorio a restaurar> <URL r La opción -t se usa para seleccionar la fecha que queremos restaurar. para directorios de sistema usaremos un CD de rescate como explicamos más tarde. 3D significa hace tres días. Figure 7. En cualquier caso.eBox 1. Sin embargo. El proceso de restauración de un fichero o directorio es muy simple. Estos archivos de datos están localizados bajo el directorio /home/samba.

4.CHAPTER 7. Si nuestra red no está configurada correctamente.odc El comando mostrado arriba restauraría el fichero en /tmp/balance. Una vez que el proceso de arranque ha finalizado podemos obtener un intérprete de comandos pulsando la tecla enter.122. EBOX CORE Figure 7. Usaremos el parámetro nofb en caso de problemas con el tamaño de la pantalla. El nombre de este CD-ROM es grml. Descargaremos la imagen de grml y arrancaremos la máquina con ella. podemos ejecutar netcardconfig para configurarla.3 Como recuperarse de un desastre Tan importante es realizar copias de seguridad como conocer el procedimiento y tener la destreza y experiencia para llevar a cabo una recuperación en un momento crítico. Por ejemplo. Si necesitamos sobreescribir un fichero o un directorio durante una operación de restauración necesitamos añadir la opción –force.odc ejecutaríamos el siguiente comando: # duplicity restore --file-to-restore home/samba/users/john/balance. de lo contrario duplicity rechazará sobreescribir los archivos. Para recuperarnos de un desastre total.odc \ scp://backupuser@192.1 --ssh-askpass --no-encryption /tmp/balance. 7. si queremos restaurar el fichero /home/samba/users/john/balance.168.12: URL remota y argumentos Podemos obtener <URL remota y argumentos leyendo la nota que se encuentra encima de la sección Restaurar ficheros en eBox. Debemos ser capaces de restablecer el servicio lo antes posible cuando ocurre un desastre que deja el sistema no operativo. arrancaremos el sistema usando un CD-ROM de rescate que incluye el software de copia de respaldos duplicity. 225 .odc.

13: Arranque grml Figure 7.4 para Administradores de Redes Figure 7.eBox 1.14: Comenzar un intérprete de comandos 226 .

En caso contrario. Para eliminar los ficheros existentes y pasar a la restauración ejecutamos: # rm -rf /mnt/* Instalaremos duplicity en caso de no tenerlo disponible: # apt-get update # apt-get install duplicity Antes de hacer una restauración completa necesitamos restaurar /etc/passwd y /etc/group. tendremos que ejecutar sudo ssh usuario@servidor para añadir el servidor remoto a la lista de servidores SSH conocidos. podemos tener problemas al restaurar archivos con el propietario incorrecto.122. Así que ejecutamos: # mount /dev/sda1 /mnt El comando de arriba montará la partición en el directorio /mnt.1 /etc/group --ssh-askpass --no-encryption --for Warning: Si usamos SCP. la copia de respaldo no podrá ser realizada ya que fallará la conexión con el servidor.CHAPTER 7. Si no se realiza esta operación. En este caso. Primero eliminaremos todos los directorios existentes en la partición. vamos a suponer que nuestra partición raíz es /dev/sda1. si no haces una restauración completa este paso no es necesario. Ejecutamos: # duplicity restore --file-to-restore etc/passwd \ # scp://backupuser@192. Por supuesto. En este ejemplo haremos una restauración completa. Para evitar este problema sobreescribimos /etc/passwd y /etc/group en el sistema de rescate.1 /mnt/ --ssh-askpass --no-en 227 . Así pues. tendremos problemas si restauramos ficheros en un sistema en el que el nombre de usuario o grupo tienen distinto UID o GID. EBOX CORE El siguiente paso es montar el disco duro de nuestro sistema.168.122.122. Ahora podemos proceder con la restauración completa ejecutando duplicity manualmente: # duplicity restore scp://backupuser@192.168.168. El problema se debe a que duplicity almacena los nombres de usuario y grupo y no los valores numéricos.1 /etc/passwd --ssh-askpass --no-encryption --fo # duplicity restore --file-to-restore etc/group \ # scp://backupuser@192.

4 Copias de seguridad de la configuración eBox Platform dispone adicionalmente de otro método para realizar copias de seguridad de la configuración y restaurarlas desde la propia interfaz. Este método guarda la configuración de todos los módulos que hayan sido habilitados por primera vez en algún momento. 228 . No se permite realizar copias de seguridad si existen cambios en la configuración sin guardar. etc. como puede verse en el aviso que aparece en la imagen. 7.4 para Administradores de Redes Por último debemos crear los directorios excluidos de la copia de respaldo así como limpiar los directorios temporales: # # # # # mkdir -p /mnt/dev mkdir -p /mnt/sys mkdir -p /mnt/proc rm -fr /mnt/var/run/* rm -fr /mnt/var/lock/* El proceso de restauración ha finalizado y podemos reiniciar el sistema original. como de costumbre. Para acceder a las opciones de estas copias de seguridad lo haremos. También permite realizar copia de seguridad de los datos que almacena cada módulo (directorios de usuarios. buzones de voz.). a través del menú principal Sistema → Backup.4. ya que no está preparado el sistema para manejar grandes cantidades de datos. los usuarios del LDAP y cualquier otro fichero adicional para el funcionamiento de cada módulo.2 se desaconseja esta opción en favor del método comentado anteriormente a lo largo de este capítulo.eBox 1. Sin embargo. desde la versión 1.

y restaurarlo mediante Restaurar. por ejemplo. si volvemos a acceder a la pantalla anterior. después de mostrar el progreso se nos notificará el éxito de la operación si no se ha producido ningún error. Al restaurar se nos pedirá confirmación. Así mismo aparecen como datos informativos el tipo de copia. entre sus opciones están elegir qué tipo de copia de seguridad queremos realizar. Cabe 229 . perteneciente a una instalación anterior de eBox Platform en otra máquina. o borrar cualquiera de las copias guardadas.CHAPTER 7. En la sección Restaurar backup desde un archivo podemos enviar un fichero de copia de seguridad que tengamos previamente descargado. se denominan ebox-make-backup y ebox-restore-backup. ebox-make-backup nos permite realizar copias de seguridad de la configuración. aparecerá una pantalla donde se mostrará el progreso de los distintos módulos hasta que finalice con el mensaje de Backup finalizado con éxito. descargar a nuestro disco. incluyendo información extra. hay que tener cuidado porque la configuración actual será reemplazada por completo. EBOX CORE Una vez introducido un nombre para la copia de seguridad. veremos que en la parte inferior de la página aparece una Lista de backups. El proceso de restauración es similar al de copia. Herramientas de linea de comandos para copias de seguridad de la configuración Existen dos herramientas disponibles a través de la línea de comandos que también nos permiten guardar y restaurar la configuración . Entre estos está el bug-report que ayuda a los desarrolladores a arreglar un fallo al enviarlo. la fecha de realización de la misma y el tamaño que ocupa. Posteriormente. seleccionado el tipo deseado (configuración o completo) y pulsando el botón Backup. Residen en /usr/share/ebox. A través de esta lista podemos restaurar.

7. 7. También podemos actualizar el software en el que se apoya eBox.1 Gestión de componentes de eBox La gestión de componentes de eBox permite instalar.ubuntu. leer el capítulo al respecto de la documentación oficial https://help.eBox 1. 7 Mediante la interfaz web podremos ver para qué componentes de eBox está disponible una nueva versión e instalarlos de un forma sencilla. solamente de algunos módulos en concreto. Podemos ver todas las opciones del programa con el parámetro –help. eBox Platform requiere actualizaciones periódicas. actualizar y eliminar módulos de eBox. Tendremos que tener especial cuidado con las dependencias entre los módulos. ebox-restore-backup nos permite restaurar ficheros de copia de seguridad de la configuración.html 6 230 .04/serverguide/C/package-management. sin embargo para facilitar la tarea ofrece una interfaz web que simplifica el proceso. Este tipo de copia de seguridad no se puede realizar desde la interfaz web. bien sea para añadir nuevas características o para reparar defectos o fallos del sistema.debian. Si queremos ver todas las opciones de este programa podemos usar también el parámetro –help. las contraseñas de los usuarios son reemplazadas para mayor confidencialidad.com/8. Aún así.4 para Administradores de Redes destacar que en este modo.5. existe una opción para ignorar las dependencias que puede ser útil usada con precaución. Advanced Packaging Tool (APT) es un sistema de gestión de paquetes software creado por el proyecto Debian que simplifica en gran medida la instalación y eliminación de programas en el sistema operativo GNU/Linux http://wiki.5 Actualización de software Como todo sistema de software. También es útil cuando el proceso de restauración ha fallado por algún motivo. Es el caso típico cuando queremos restaurar una parte de una copia de una versión antigua. APT 6 . eBox distribuye su software mediante paquetes y usa la herramienta estándar de Ubuntu. Por ejemplo. si restauramos una copia del módulo de cortafuegos que depende de una configuración del módulo objetos y servicios debemos restaurar también estos primero. Posee también una opción para extraer la información del fichero. Otra opción a señalar es la posibilidad de hacer restauraciones parciales.org/Apt 7 Para una explicación más extensa sobre la instalación de paquetes software en Ubuntu. principalmente para corregir posibles fallos de seguridad.

231 . y como cada módulo de eBox. se muestra un diálogo con la lista de aquellos paquetes de software que se van a eliminar. en los distintos paquetes de los componentes de eBox. 7. EBOX CORE El propio gestor de componentes es un módulo más. Algunos componentes son básicos y no pueden desinstalarse. son instalados también ellos asegurando el correcto funcionamiento de eBox Platform. Para llevar a cabo su función. debe ser habilitado antes de ser usado.2 Actualizaciones del sistema Las actualizaciones del sistema actualizan programas usados por eBox. Presenta una lista con todos los componentes de eBox. Existe un botón de Actualizar todos los paquetes para actualizar todos aquellos que tengan actualización disponible. Este paso es necesario porque hemos podido querer eliminar un componente que al ser usados por otros conlleva también la eliminación de los últimos. Aquellos componentes que no estén instalados o actualizados.5. También podemos desinstalar componentes pulsando el icono apropiado para esta acción. estos programas pueden tener dependencias también. De manera análoga. ya que haría que se desinstalase eBox Platform. eBox Platform usa diferentes programas del sistema para llevar a cabo sus funciones.CHAPTER 7. Para gestionar los componentes de eBox debemos entrar en Gestión de Software→ Componentes de eBox. Dichos programas son referenciados como dependencias asegurando que al instalar eBox. Antes de realizar la desinstalación. pueden instalarse o actualizarse pulsando en el icono correspondiente en la columna de Acciones. así como la versión instalada y la ultima versión disponible.

‘ → Actualiza- No es aconsejable usar esta opción si el administrador quiere tener una mayor seguridad en la gestión de sus actualizaciones. Si es una actualización de seguridad podemos ver el fallo de seguridad con el registro de cambios del paquete. Si queremos actualizar tendremos que seleccionar aquellos paquetes sobre los que realizar la acción y pulsar el botón correspondiente. Si se instalan paquetes en la maquina por otros medios que no sea la interfaz web. Dicha actualización se realiza cada noche a la medianoche. 232 . pulsando sobre el icono.3 Actualizaciones automáticas Las actualizaciones automáticas consisten en que eBox Platform automáticamente instala cualquier actualización disponible.eBox 1. pero sí puede ser interesante instalarla para aprovechar sus mejoras o sus soluciones frente a fallos de seguridad. cada noche se ejecuta el proceso de búsqueda de actualizaciones a instalar en el sistema. Durante la actualización se irán mostrando mensajes sobre el progreso de la operación. los datos de esta pueden quedar desactualizados. Realizando la actualizaciones manualmente se facilita que posibles errores en las mismas no pasen desapercibidos.5.4 para Administradores de Redes Normalmente una actualización de una dependencia no es suficientemente importante como para crear un nuevo paquete de eBox con nuevas dependencias. Como atajo también tenemos un botón de Actualizar todos los paquetes. Podremos activar esta característica accediendo a la pagina Gestión de Software ciones automáticas. Por ello. 7. Si se quiere forzar dicha búsqueda se puede hacer ejecutando: $ sudo ebox-software Para cada una de las actualizaciones podemos determinar si es de seguridad o no con el icono indicativo de más información. Debe aparecer una lista de los paquetes que podemos actualizar o si el sistema está ya actualizado. Para ver las actualizaciones del sistema debemos ir a Gestión de Sofware → Actualizaciones del sistema.

EBOX CORE 233 .CHAPTER 7.

eBox 1. Figure 7.6 Cliente del Centro de Control eBox Control Center es una solución tolerante a fallos que permite la monitorización en tiempo real y la administración de múltiples instalaciones de eBox de un modo centralizado. monitorización de red e informes personalizados. Nombre de eBox: Es el nombre único que se usará para esta eBox desde el Centro de Control. Incluye características como administración segura.ebox-technologies.1 Subscribir eBox al Centro de Control Para configurar eBox para suscribirse al Centro de Control.com/products/controlcenter/ 234 . Una vez esté todo preparado.16: Subscribiendo eBox al Centro de Control Tras introducir los datos.6. la conexión a Internet debe estar disponible.4 para Administradores de Redes 7. Contraseña: Es la misma contraseña que se usa para entrar en la Web del Centro de Control. Además. la subscripción tardará alrededor de un minuto. 8 A continuación se describe la configuración del lado del cliente con el Centro de Control. entonces sólo una de ellas se podrá conectar. copias de seguridad de configuración automáticas remotas. Cada eBox debería tener un nombre diferente. Durante el proceso se 8 http://www. debes instalar el paquete eboxremoteservices que se instala por defecto si usas el instalador de eBox. ve a Centro de Control y rellena los siguientes campos: Nombre de Usuario o Dirección de Correo: Se debe establecer el nombre de usuario o la dirección de correo que se usa para entrar en la página Web del Centro de Control. si dos eBoxes tiene el mismo nombre para conectarse al Centro de Control. Este nombre se muestra en el panel de control y debe ser un nombre de dominio válido. 7. centralizada y remota de grupos de eBox. Nos tenemos que asegurar que tras terminar el proceso de subscripción se guardan los cambios.

9 Figure 7. se habilitará el módulo vpn. Figure 7.CHAPTER 7. Además para mejorar el proceso de restauración ante un desastre. ir a la sección Redes privadas virtuales (VPN).18: Widget de conexión al Centro de Control 7. Ir a Sistema – > Backup → Backup remoto para comprobar que las copias se han hecho correctamente. entonces un widget aparecerá en el dashboard indicando que la conexión se estableció correctamente. Se pueden restaurar. EBOX CORE habilita una conexión VPN entre eBox y el Centro de Control. Para hacer eso.6. ir a la pestaña Sistema → Backup → Backup remoto de otras máquinas suscritas. descargar o borrar copias de seguridad de la configuración que se almacenan en el Centro de Control. por tanto. se puede restaurar o descargar la configuración almacenada de uno del resto de eBox suscritos al Centro de Control usando tu par usuario/correo electrónico y contraseña. 10 9 235 . Las copias de seguridad de la configuración en eBox se explican en la sección Copias de seguridad de la configuración.2 Copia de seguridad de la configuración al Centro de Control Una de las características usando el Centro de Control es la copia de seguridad automática de la configuración de eBox 10 que se almacena en el Centro de Control. Para más información sobre VPN.17: Tras suscribirse eBox al Centro de Control Si la conexión funcionó correctamente con el Centro de Control. Esta copia se hace diariamente si hay algún cambio en la configuración de eBox. Puedes realizar una copia de seguridad de la configuración de manera manual si quieres estar seguro que tu última configuración está almacenada en el Centro de Control.

eBox 1.19: Copia de seguridad de la configuración remota Figure 7.20: Copia de seguridad de la configuración remota desde otra máquina suscrita 236 .4 para Administradores de Redes Figure 7.