Zentyal para Administradores de Redes VERSION 2.0 £¥zentyal Linux Small Business ServerIntroduccién a Zentyal 1.1. Presentacién 1.2.1 Las pymes y las TICs 41.1.2 Zentyak: servidor Linux para pymes 1.13. Acerca de este manual 1.2. Instala 1.2.1. ELinstalador de Zentyal. 1.2.2. Configuracién iniciat. 1.2.3. Requisitos de hardware in 1.3. Primeros pasos con Zentyal 1.3.1 La interfaz web de administracién de Zentyal... 1.3.2. Emplazamiento en la red de Zentyal 1.3.3. Configuraci6n de red en Zentyal. 1.3.4, Ejemplos practicos Zentyal Infrastructure 5 2.1. Servicio de resolucién de nombres de dominio (DNS) 2.1.1. Configuracion de un servidor DNS caché con Zentyal 2.1.2. Configuracién de un servidor DNS autoritario con Zentyal 2.1.3. Ejemplos practicos 2.1.4, Bjercicios propuestos 2.2. Servicio de sincronizacién de hora (NTP) 2.2.1. Configuracion det cliente NTP i 2.2.2. Configuracién de un servidor NTP con Zentyal 2.2.3. Ejemplos practicos 2.3. Servicio de configuracién de red (DHCP) 2.3.1. Configuracién de un servidor DHCP con Zentyal. 2.3.2. Ejemplos Practicos 2.3.3. Bjercicios propuestos 2.4. Autoridad de certificacion (CA) 2.4.1. Infraestructura de clave publica (PKI) 2.4.2. Importacién de certificados en los clientes. 2.4.3. Configuracién de una Autoridad de Certificacién con Zentyal 2.4.4, Ejemplos practicos a 11 41 oa 45 45 16 23 29 30 1.30 36 37 45 45 50 52 254 37 37 58 60 61 61 63 66 67 67 67 69 7 80Zentyol 20 para Administrodores de Redes 2.5. Servicio de publicacién de paginas web (HTTP) 80 2.5.1. Configuracién de un servidor HTTP con Zentyal 82 Ejemplos practicos 83 Bjercicios propuestos 86 2.6. Servicio de Transferencia de ficheros (FTP) 84 Configuracién del cliente FIP. ai 85 Configuracién de un servidor FTP con Zentyal. 89 2.6.3. Ejemplos practicos 90 3. Zentyal Gateway 91 3.1. Abstracciones de red de alto nivel en Zentyal on 3.1.2. Objetos de red on 3.1.2. Servicios de red %% 3.1.3. Ejemplos practicos 96 3.1.4, Bjercicios propuestos 7 3.2. Cortafuegos 98 Configuracién de un cortafuegos con Zentyal 98 Redireccién de puertos con Zentyal 102 Ejemplos practicos 103 3.2.4, Bjercicios propuestos. 105 3.3. Encaminamiento 105 3.3.1. Configuracién del encaminamiento con Zentyal. 106 2. Configuracién del balanceo con Zentyal 108 Configuraci6n de la tolerancia a fallos con Zentyal 109 Ejemplos practicos 312 Bjercicios propuestos 115 3.4, Calidad de servicio 115 3.4.1. Configuracién de la calidad de servicio con Zentyal. i 115 3.4.2. Ejemplos practicos 117 3.4.3. Ejercicios propuestos 18 3.5. Servicio de autenticacién de red (RADIUS) 118 3.5.1. Configuracién det Punto de Acceso con RADIUS, 19 3.5.2. Configuracién del cliente RADIUS. 120 3.5.3. Configuracién de un servidor RADIUS con Zentyal 130 3.5.4, Ejemplos practicos 331 3.6. Servicio de Proxy HTTP 31 3.6.1. Configuracién en el navegador de un Proxy HTTP 132 Configuracién del Proxy HTTP con Zentyal. 137 Limitacién de las descargas con Zentyal ee aeZentyol: Linux Small Business Server 3.6.4, Filtrado de contenidos con Zentyal.... ae 3.6.5. Ejemplos précticos 143 3.6.6. Ejercicios propuestos 144 Zentyal Unified Threat Manager 145 4.2. Configuraci6n Avanzada para el proxy HTTP 146 4.1.4. Configuracion de perfiles de filtrado 146 4.1.2. Perfil de filtrado por objeto 147 4.1.3. Filtrado basado en grupos de usuarios... sense 148 4.1.4 Filtrado basado en grupos de usuarios para objetos 149 4.1.5. Ejemplos précticos a 149 4.1.6. Ejercicios propuestos 150 4.2. Servicio de redes privadas virtuales (VPN) 151 4.2.1. Configuracién det cliente VPN 152 ‘4.2.2. Configuracién de un servidor VPN con Zentyal 155 ‘4.2.3. Configuracin de un servidor VPN para la interconexién de redes..... 158 4.2.4, Ejemplos practicos 160 4.2.5. Ejercicios propuestos eases i 163 4,3. Sistema de Deteccién de Intrusos (IDS) 163 4.3.1, Configuraci6n de un IDS con Zentyal 164 4.3.2, Alertas del IDS 165 4.3.3. Ejemplos practicos. : 165 4.3.4, Ejercicios propuestos : 166 4.4, Filtrado de correo electrénico ... . 167 ‘4.4.1. Esquema del filtrado de correo en Zentyal. 167 ‘4.4.2. Listas de control de conexiones externas 17% 4.4.3. Prony transparente para buzones de correo POPS 175 4.4, Ejemplos précticos. 175 5. Zentyal Office ‘ 177 5.1. Servicio de directorio (LoAP).. 177 5.4.1, Configuracién de un servidor Zentyal maestro 179 5.1.2. Configuracién de Zentyal como esclavo de Windows Active Directory... 181, 5.1.3. Configuracién de un servidor LDAP con Zentyat 184 5.1.4, Rincn del Usuario 188 5.1.5. Ejemplos précticos 189 5.1.6. Ejercicios propuestos 189 5.2. Servicio de comparticién de ficheros y de autenticacion 189 5.2.1, Configuracion de un servidor de ficheros con Zentyal. 191 5.2.2. Configuracién de clientes Samba aa ; 194Zentyol 20 para Administrodores de Redes Configuracién de un servidor de autenticacién con Zentyal. 195 5.2.4, Configuracion de clientes PDC 196 5.2.5. Ejercicios propuestos 197 5.3. Servicio de comparticién de impresoras .... 198 5.3.1. Configuracion de un servidor de impresoras con Zentyal 199 5.3.2. Fjercicios propuestos : costes 202 5.4. Servicio de groupware 202 5.4.1. Configuracion de un servidor groupware (Zarafa) con Zentyal 203 6. Zentyal Unified Communications 205 6.1, Servicio de correo electrénico (SMTP/POP3-IMAP4) 205 6.1.1. Configuracién de un servidor SMTP/POP3-IMAP4 con Zentyal 209 Configuracién del cliente de correo 215 Ejemplos practicos poeta secndinnunemesteeeaseian A Bjercicios propuestos....... oe maa soe 2B 6.2. Servicio de correo web 23 6.2.2. Configuracién del correo web con Zentyal 224 6.3. Servicio de mensajeria instantdnea (Jabber/XMPP) 25 6.3.2. Configuracién de un servidor Jabber/XMPP con Zentyal 226 Configuracién de un cliente Jabber 27 Configurando salas de conferencia Jabber 232 Ejemplos practicos i 237 6.3.5. Bjercicios propuestos 237 6.4, Servicio de Voz sobre IP. 238 6.4.2. Configuracion de un servidor Voz IP con Zentyal 243 6.4.2. Configuracién de un softphone para conectar a Zentyal 247 6.4.3. Uso de las funcionalidades de Voz IP de Zentyal 249 6.4.4, Ejemplos practicos 250 6.4.5. Bjercicios propuestos 251 253 7.1. Registros 253 7.1.2. Consulta de registros en Zentyat 253 Configuracién de registros en Zentyal 256 Ejemplos practicos ‘i 257 7.1.4, Bjercicios propuestos 257 7.2. Eventos y alertas 258 7.2.1. La configuracion de eventos y alertas en Zentyal 258 7.2.2. Ejemplos practicos 261 Bjercicios propuestos 261 —Zentyal: Linux Small Business Server 7.3. Monitorizacion 262 7.3.1. Métricas 263 7.3.2. Alertas 266 7.3.3. Bjercicios propuestos 267 7.4. Copias de seguridad 267 7.4.1. Disefio de un sistema de copias de seguridad... 267 7.4.2. Backup de la configuracién de Zentyal scarce SO 7.4.3. Configuracién de las copias de seguridad de un servidor Zentyal........270 7... Como recuperarse de un desastre 275 7.45. Bjercicios propuestos 278 7,5. Actualizacién de software 278 - Gestion de componentes de Zentyal 278 - Actualizaciones del sistema... cost cr eaoctietata OE - Actualizaciones aUtOMStiCAS a sennseeetese cere tene |. Ejercicios propuestos 282 7.6. Cliente de Zentyal Cloud 282 7.6.1. Subscribir un servidor Zentyal a Zentyal Cloud 283 7.6.2. Copia de seguridad de la configuracién a Zentyal Cloud 284 7.7. Herramientas de soporte 285 7.7.4. informe de la configuracion 285 7.7.2. heceso remoto de soporte : 285 Apéndice A. Entorno de pruebas con VirtualBox 287 A.1. Acerca de la virtualizacién 287 A2. VirtualBox 289 A2.1. Creacién de una méquina virtual en VirtualBox sos: 289 ‘2.2. Configuracién de una maquina virtual en VirtualBox 294 ‘A2.3. Instanténeas en VirtualBox 299 2.4, Aijadir un disco duro virtual adicional 300 Apéndice B. Entorno de pruebas con VirtualBox 303 B.1. Escenario 1: Servidor Zentyal virtualizado con conexién a Internet y acceso desde el anfitrién y otro cliente 303 B.2. Escenario 2: Servidor Zentyal virtualizado con acceso desde el anfitrion y otro cliente con conexién a Internet a través de dos gateways 307 B.3. Escenario 3: Servidor Zentyal virtualizado con conexién a Internet y acceso desde el anfitrién y otros dos clientes 309 B.4, Escenario 4: Servidor Zentyal virtualizado conectado a otro Zentyal virtualizado uniendo redes separadas 310Zentyol 20 para Administrodores de Redes Apéndice C. Herramientas de virtualizacion Bat C1.LVM i . | C.2. Ejemplo practic A 312 C3. Ejemplo practico 8 eee 313 HeeElaborado por: ‘Box Technologies SL. Ozentyal “isso ives (Ci Maria de Luna 12 50018.- Zaragoza 1 Servicios editoriales Edit Lin Editorial SL. Avda. de Portugal, 85-Local 28011- Madrid wwwtibresdelinuccom D) Aviso de Copyright Copyright © 2010 eBox Technologies Si. Todos los derechos reservados. Ninn parte de este manval podra Ser reproduciéatansmiida, wanscrita,almacenoda en un sistema de recupeacion mi raducda 2 ualquieriiomo, de cvlquier forme o por calquer medio sn el consentimient previo por escito de ‘Box Technologies SL fen e ha hecho todo lo posible pars grantzer quel informacion contenida en este manuals recs completa Box Technologies, 5L no se hace responsoble de eroresniomisione’s. i deningindafo oa- 3Honado por el uta de este producto, ebox Technologies SL suminstra estos materales "tay como estan {Su suminisro no implica ring tipo de garanta ni expresa ni implica incuyendo per sin Limitarse ‘alla (ar olativas al cumplimiento Ge eriterios comercisles yaa adecuacion a propostos paiculars. {copyright de este manual prteneceaeBox Technologies 5. Zentyal © ello de Zentya son marcas reglstrades de oB0x Technologies SL. Todos los demas nombres de marcas meneionados en este manual Son marcas comeriolesoregstrodas de susrespecivostitulres,y se usan dncamente con fines ide feativos.VERSION 2.0 cy > zentyal Linux Small Business ServerFerma) Zentyal Gateway Para configurar el servicio, accederemos 2 RADIUS en el meni izquierdo. Alli podremos definir si Todos los usuarios 0 solamente los usuarios que pertenecen a uno de los grupos ‘existentes, podrén acceder al servici ‘Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacién a Zentyal de- ben ser especificados en Clientes RADIUS. Para cada uno podemos definir: Habilitado. Indicando si el NAS esta habilitado 0 no. Cliente, El nombre para este cliente, como podria ser el nombre de la maquina. Direccién IP. La direccién IP o el rango de direcciones IP desde las que se permite enviar peticiones al servidor RADIUS. Contrasefia compartida. Contrasefia para autenticar y cifrar las comunicaciones en- te el servidor RADIUS y el NAS. Esta contrasefia deberd ser conocida por ambas partes. 3.54 EJEMPLOS PRACTICOS (Cl BeMPLO PRAcTICOR Un instituto desea actualizar su red permitiendo a sus estudiantes el uso de la Wi-Fi en 5Us portatiles. Un requisito es que solamente los estudiantes sean capaces de acceder usando un usuario y contrasena suministrado por el centro. 1. ACCION. Acceder a Zentyal. entrar en Estado del Médulo y activar el médulo RADIUS, para ello marcar su casilla ena columna Estado Informar de (os cambios que se van 2 realizar en el sistema, Confirmar la operacién pulsando el botén Aceptar. EFECTO. Se ha activado el bot6n Guardar Cambios. 2. ACCION. Acceder al mend RADIUS aftadirun cliente NAS usando Aftade nuevo En et formulario que se despliegaactivaremos Enabled, escogemos un nombre para el NAS cliente en Client, por ejemplo NASinsttutor, la direccién IP seré 192.168.1.12/52 Para autenticar los mensajes entre el NAS y el servidor de RADIUS, usaremos una contraseaa que debemos especiicar también en el cliente NAS. RMN SERVICIO DE Proxy HTTP Un servidor proxy HTTP se utiliza para reducir el consumo de ancho de banda del tréfico ‘web, aumentar la velocidad de navegacién, definir la politica de acceso a la web y mejorar la seguridad bloqueando contenidos potencialmente peligrosos. Se produce un ahorto de trafico ya que las peticiones de las paginas web se hacen al proxy yno a Internet directamente. Aumenta la velocidad de respuesta ya que el proxy crea una ‘caché de los contenidos accedidos de manera que no es necesario solicitar por segunda ‘vez un elemento ya accedido anteriormente, Podemos definir, ademas, una politica de ac- eso y filtrado de los contenidos analizando dinamicamente en cada pagina, usando listas blancas o listas negras, en base a horarios, usuarios, grupos y direcciones IP. Estos conteni- dos pueden ser anatizados bloqueando contenidos peligrosos como virus.Zentyol 2.0 para Administradores de Redes 3.6.1 %cNotas En contrapartida tiene como desventajas que algunas operaciones avanzadas del proto- colo pueden no llegar a funcionar correctamente al no estar usando una conexién directa, ‘© que puede suponer en algunos casos una violacién de la intimidad al inspeccionar el contenido accedido por los usuarios. ara utilizar un proxy los clientes han de configurar los navegadores para ello, pero pode- ‘mos utilizarlo también para forzar la politica de uso de la red configuréndolo como un pro- xy transparente, Con esta configuracién los clientes no necesitan reconfigurar su navega- dor y tampoco es posible evadir el proxy cambiando la configuracién de su navegador. En contrapartida, un proxy transparente no es compatible con la autenticacién de los usuarios. contra el servidor proxy HTTP. El servicio de proxy HTTP escucha normalmente en el puerto 3128/TCP. Zentyal utiliza Squid" para proxy HTTP, junto a Dansguardian® para el control de conte- nidos. (CONFIGURACION EN EL NAVEGADOR DE UN Proxy HTTP. Para configurar un proxy HTTP en Windows es necesario ira Inicio-> Configuracién-> Panel de control y en la ventana que se abre seleccionar Conexiones de red e Internet. Figura 3.40, Panel de contro. 13 winwsquidcacheorg/ 122 rwdonsguardion orFO y.8187-1) ‘Aqui iremos a Opciones de internet. 0 ellja un ieono de Panel de control Batre Qhemmertnt hovteentninn — QBrectimie: Damengmn Figura 3.41. Coneviones de ede nternet Aparecera la ventana Propiedades de Internet con varias pestahas, en nuestro caso nos in- teresa la pestaia Conexiones. Una vez alli pulsaremos Configuraciéon de LAN... Figura 5.42. Propiedades de internet ]fe Pia] Zentyol 20 para Administrodores de Redes Y se mostrard la ventana Configuracion de (a red de drea local (LAN). ea rece onan warts scone Figura 5.43. onfiguracion dea red de drea local (LAN). Para indicar que queremos usar un proxy HTTP debemos marcar la casilla Utilizar un ser- vidor proxy para su LAN. Esta configuracion no se aplicard a conexiones de acceso telefoni- 0 0 de redes privadas virtuales (VPN). Debajo hay otra casilla No usar Servidor proxy para direciones locales, es recomendable marcarla para evitar que las peticiones a direcciones dentro de la red local se realicen a través del proxy HTTP. Para configurar la conexién al proxy irmos a Opciones avanzada: [7 orstmine tere presi, Sy usr aueypeais ders cane PecieSoe tae lets ona6 eves rat peor ee Figura 5.44. Configuracion de os ervidores pron.Ferma) %Notas. Zentyal Gateway La ventana facilita introducir una direccién diferente para diversos protocolos, normal- mente como usaremos la misma direccién para todas, es suficiente con marcar la casilla Usar el mismo servidor proxy para todos los protecolos. La direccién sera la direccién IP del proxy HTTP o su nombre de dominio asociado, y el puerto normalmente el 3128. En el ‘caso de que se quiera indicar alguna pagina que no pase por el proxy, basta con afiadir la direccién al campo No usar proxy para las direcciones que comiencen por: Una vez establecidos todos los pardmetros bastaré con aceptar los cambios para que el proxy HTTP quede configurado. Enel caso de requerir autenticacién, al acceder por primera vez a una pagina que pase por el proxy HTTP nos pedira usuario y contrasef En la imagen se puede ver la ventana que muestra Internet Explorer. Figura 5.45. Elprowy requere autentcacién Para configurar un proxy HTTP en Ubuntu Lucid accederemos al mend Sistema Preferen- Cas, alli elegimos la opcién Proxy de la red. Aparecera la ventana Preferencias del proxy de la red donde podremos configurar la co- nexién al proxy HTTP desde la pestafia Configuracién manual del proxy.fe Pciia| eypenme—(arimieiie —] nee (3) rowan segen (| a (2 rane: (em nites, [na 2) coerced ony Figura 3.48. Confguracion del proxy. Para indicarle que use proxy debemos marcar la opcién Configuracion manual del prony. Debajo tenemos varios campos dande podemos introducir los datos del proxy para dife- rentes protocolos. Si queremos que una misma configuracién sirva para todos los proto- colos es suficiente con marcar el campo Usar el mismo proxy para todos los protocolos, lo cuales el caso habitual, En la pestafia Anfitriones ignorados podemos gestionar una lista de las direcciones que no pasarén por el proxy. Automaticamente se afiade la red local, pero podemos afiadir otras direcciones en caso de ser necesario. Figura 3.47. Anfitrones ignorados.3.6.2 &cNotas: Zentyol Gateway Una vez configurado el proxy basta con pulsar Aplicar a todo el sistema... y después Rei iar. En el caso de que el proxy requiera autenticacién, al acceder a cualquier pagina no exclu\- dda del mismo, saltaré un cuadro de dialogo, pidiendo que introduzcamos nuestro usuario y contrasefia, En la imagen se puede ver al cuadro de didlogo que aparece en Firefox. Figura 5.48. Elprowy requere autentcacion (CONFIGURACION DEL PROXY HTTP CON ZENTYAL Para configurar el proxy HTTP iremos a Proxy HITP-> General. Podremos defini si el proxy funciona en modo Proxy Transparente para forzar la politica establecida o si por el contra- rio requeriré configuracién manual. En este siltimo caso, en Puerto establecerernos donde escucharé el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tipicos son el 8000 y el 8080. El proxy de Zentyal ‘inicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccién inter- nna en la configuracién del navegador. El tamafio de la caché define el espacio en disco maximo usado para almacenar temporal- mente contenidos web. Se establece en Tamaiio de cachéy corresponde a cada administra- dor decidir cual es el tamaho éptimo teniendo en cuenta las caracteristicas del servidor y cel trafico esperado, TRUCO. Cuanto mayor sea el tamafio, més contenidos estarén almacenados en la ‘cache y menos contenidos nuevos tendrén que descargarse de Internet, mejorando, por lo tanto, la velocidad de navegacién y reduciendo el uso de ancho de banda. ‘Sin embargo, el aumento de tamano tiene como consecuencias negativas no s6lo ‘el aumento de espacio usado en el disco duro, sino también un aumento en el uso de la memoria RAM, ya que la caché debe mantener indices a los elementos alma- cenados en el disco duro.fe Pia Zentyol 20 para Administredores de Redes Ademas también estableceremos aqut la Politica predeterminada para el acceso al conteni- do web HTTP a través del proxy. Esta politica determina si se puede acceder 0 no ala web yy si'se aplica el filtro de contenidos. Puede configurarse de las siguientes maneras: Permitir todo. Con esta politica se permite a los usuarios navegar sin ningin tipo de restricciones, pero todavia disfrutando de las ventajas de la caché, ahorro de trafico y mayor velocidad. Denegar todo. Esta politica deniega totalmente el acceso a la web. Aunque a pri- mera vista podria parecer poco sitil ya que el mismo efecto se podria conseguir con tuna regla de cortafuegos, sin embargo podemos establecer posteriormente polit ‘cas particulares para objetos, usuarios © grupos, pudiendo usar esta politica para ‘denegar en principio y luego aceptar explicitamente en determinadas condiciones. Filtrar. Esta politica permite a los usuarios naveger, pero activa el filtrado de con- tenidos que puede denegar el acceso web segun el contenido solicitado por los usuarios. Autorizar y filtrar, permitir todo o denegar todo. Estas politicas son versiones de las politicas anteriores que incluyen autorizaci6n. La autorizacién se explicard en la seccién 4.4 Configuracién Avanzada para el proxy HTTP. 86 Figura 3.49. Prony HTTP. Es posible indicar qué dominios no serén almacenados en caché. Por ejemplo, si tene- mos servidores web locales no se aceleraré su acceso usando la caché y se desperdiciaria memoria que podria ser usada por elementos de servidores remotos. Si un dominio est ‘exento de la caché, cuando se reciba una peticién con destino a dicho dominio se ignoraré la cachéy se devolveran directamente los datos recibidos desde el servidor sin almacenar- los. Estos dominios se definen en Excepciones a la caché. ‘Tras establecer la politica global, podemos definir politicas particulares para Objetos de red (ver punto 3.1.4) en Proxy HTTP > Politica de objetos. Podremos elegir cualquiera de las seis politicas para cada objeto. Cuando se acceda al proxy desde cualquier miembro det objeto esta politica tendré preferencia sobre la politica global. Una direccién de red puede estar contenida en varios abjetos distintos por lo que es posible ordenar los objetos paraFO Pons) Zentyal Gateway reflejar la prioridad. Se aplicaré La politica del objeto de mayor prioridad que contenga la direccién de red. Ademas existe la posibitidad de definir un rango horario fuera del cual no se permitira acceso al objeto de red aunque esta opcién sélo es compatible con politicas de permitir o denegar y no con politicas de filtrado de contenidos. Figura 3.50, Polit de objeto, LIMITACION DE LAS DESCARGAS CON ZENTYAL Otra de las caracteristicas configurables en Zentyal es limitar el ancho de banda de las descargas usando objetos de red mediante Delay Pools. Para configurarlas accederemos a HTTP Proxy > Limitacion de ancho de banda. Las Delay Pools pueden entenderse como ‘cajas en las que se dispone de una determinada cantidad de ancho de banda; se van lle- nando poco a poco y se van vaciando mientras se usa la red. Cuando se vacian se limita el ancho de banda y la velocidad de descarga. Teniendo en cuenta esta explicacin, veamos los valores que podemos establecer por cada cai Ratio, Ancho de banda maximo que se podré utilizar cuando se vacie la caja. Volumen. Capacidad maxima de la caja en bytes, es decir, la caja se vaciar sise han transmitido tantos bytes como los indicados en el volumen. Zentyal permite limitar el ancho de banda mediante dos métodos diferentes, las Delay Pools de clase 1 y las de clase 2. Las restricciones de la clase 1 tienen prioridad sobre las de la clase 2. Si un objeto de red no se corresponde con los limitados por alguna de las reglas no se le aplica ninguna. Delay pools de clase 4. Limitan el ancho de banda globalmente para una subred, permiten configurar un limite de datos transferidos, el Maximo Tamario de Red y tuna restriccién de ancho de banda maximo, el Ratio de Red. La limitacién se activa cuando el limite de datos ha sido superado. Estas Delay Pools se componen de una sola caja compartida por todo el objeto de red Delay pootsde clase 2. Estas Delay Pools se componen de dos tipos de cajas, una ge- neral en la que como en las de clase 1 se va acumulando todo el trafico transmitido 2 la subred y una dedicada a cada cliente. Si un miembro de la subred vacia su caja se limitaré su ancho de banda al Ratio del Cliente, pero no alos demas. Sientre todos vacian la caja agregada, se limita el ancho de banda de todos los clientes a Ratio.fe Pia Figura 3.51. Limitacién de ancho de bande, 3.6.4 _ FILTRADO DE CONTENIDOS CON ZENTYAL Zentyal permite el filtrado de paginas web en base a su contenido. Para ello, es necesario. ‘que la politica global o la politica particular de cada objeto desde el que se accede sea de Filtraro Autorizar y Filtrar. ‘Se pueden definir miltiples perfiles de filtrado en Proxy HTTP» Perfiles de Filtrado, pero ‘sino hay ninguno especifico aplicéndose al usuario, grupo u objeto se aplicaré el perfil, defautt. Figura 5.52. Perfiles de ftrade El filtrado de contenidos de las paginas web se utiliza diferentes métodos incluyendo fil- trado heuristico,tipos MIME, extensiones,listas blancas y listas negras entre otros. La con- General, activar la casilla de Modo transparente. Asegu- ramos que Zentyal puede actuar como puerta de enlace, es decir, que haya al menos una interfaz de red externa y otra interna. Comprobar que el proxy tiene Siempre denegar como Politica predeterminada. Pulsar Cambiar. 15 hps/Atore xentyacomotherfadvanced:security him.Zentyol 2.0 para Administradores de Redes EFECTO, El prony est configurado en modo transparente y deniega todo el tric. 4, ACCION. Guardar cambios para confirmar la configuracién. EFECTO. Se reinilardn os servicios de cortafuegos y prony HTTP. 5. ACCION. Configurar un cliente para que use el servidor Zentyal como puerta de en- lace. Abrir un navegador web en el clientee intentar acceder a wwwzentyal com. EFECTO. Observar en nuestro cliente como en vez de la pagina oficial de Zentyal recibimos una pagina de aviso por acceso a contenido prohibido. 3.6.6 EJERCICIOS PROPUESTOS (COBERCICIOA Desactivar el modo transparente. Establecer une politica global que permita navegar. Comprobar desde otro cliente que podemos navegar a través del proxy del servidor Zentyal. (CO BERCICIOB Desactivar el modo transparente. Establecer una politica global que no permita nave- gar. Comprobar desde otro cliente que se nos prohibe el acceso. (Cl percicioc Activar el modo transparente. Establecer una politica global que permita navegar. Com- probar desde otro cliente que podemos navegar a través del proxy, sin definir una co- nexién explicita. EJERCICIOD. Establecer una politica global que incluya filtrado de contenidos. Activar el médulo de antivirus. En el perfil por defecto activar el antivirus. Comprobar que deniega la descar- 2 de ficheros infectados. Para esto se puede usar el archivo de ejemplo de virus EICAR, {que se puede encontrar en varios sitios, entre ellos www.eicar.org, Cleercicioe Establecer una politica global que incluya filtrado de contenidos. Establecer elumbral a stricto. Comprobar que ciertas paginas son denegadas por su contenido inapropiado. Cpercicio F Establecer una politica global que incluya filtrado de contenidos. Permitir explicita- mente el acceso a un dominio prohibido como resultado de la configuracién del ejer~ cicio anterior. CBERCICIOG Establecer una politica global que incluya filtrado de contenidos. Prohibir el acceso al dominio marca.es. Comprobar que no podemos acceder a este domi (Opercicio# Crear un objeto para una maquina interna. Petmitir navegar a este objeto. Establecer tuna politica global que no permita la navegacién. Comprobar que sélo desde el objeto podemos navegar.