Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual Zentyal Linux
Manual Zentyal Linux
Linux
Zentyal
Este manual de Zentyal se presentara por partes Instalacion, configuracion inicial, infraestructura y asi
sucesivamente ya que el manual es muy largo, seran descritos en varios post llamados parte1, 2...etc, lo hago ya
que los Post que han publicado de Zentyal aunque muy buenos carecen de manuales para su instalacion, espero les
gusten y comenten
Introduccin a Zentyal
* Presentacin
o Las pymes y las TICs
o Zentyal: servidor Linux para pymes
o Acerca de esta documentacin
* Instalacin
o El instalador de Zentyal
o Configuracin inicial
o Requisitos de hardware
* Primeros pasos con Zentyal
o La interfaz web de administracin de Zentyal
o Emplazamiento en la red de Zentyal
o Configuracin de red en Zentyal
Zentyal Infrastructure
* Zentyal Infrastructure
* Servicio de resolucin de nombres de dominio (DNS)
o Introduccin a DNS
o Configuracin de un servidor DNS cach con Zentyal
o Configuracin de un servidor DNS autoritario con Zentyal
* Servicio de sincronizacin de hora (NTP)
o Introduccin a NTP
o Configuracin de un servidor NTP con Zentyal
* Servicio de configuracin de red (DHCP)
o Introduccin a DHCP
o Configuracin de un servidor DHCP con Zentyal
* Autoridad de certificacin (CA)
o Infraestructura de clave pblica (PKI)
o Configuracin de una Autoridad de Certificacin con Zentyal
* Servicio de publicacin de pginas web (HTTP)
o Introduccin a HTTP
o Configuracin de un servidor HTTP con Zentyal
* Servicio de Transferencia de ficheros (FTP)
o Introduccin a FTP
o Configuracin de un servidor FTP con Zentyal
Zentyal Gateway
* Zentyal Gateway
* Abstracciones de red de alto nivel en Zentyal
o Objetos de red
o Servicios de red
* Cortafuegos
o Introduccin al sistema de cortafuegos
o Configuracin de un cortafuegos con Zentyal
o Redireccin de puertos con Zentyal
* Encaminamiento
o Introduccin al encaminamiento o routing
o Configuracin del encaminamiento con Zentyal
o Configuracin del balanceo con Zentyal
o Configuracin de la tolerancia a fallos con Zentyal
* Calidad de servicio
o Configuracin de la calidad de servicio con Zentyal
* Servicio de autenticacin de red (RADIUS)
o Introduccin a RADIUS
o Configuracin de un servidor RADIUS con Zentyal
* Servicio de Proxy HTTP
o Introduccin al servicio de Proxy HTTP
o Configuracin del Proxy HTTP con Zentyal
o Limitacin de las descargas con Zentyal
o Filtrado de contenidos con Zentyal
Zentyal Unified Threat Manager
* Zentyal Unified Threat Manager
* Configuracin Avanzada para el proxy HTTP
o Configuracin de perfiles de filtrado
o Perfil de filtrado por objeto
o Filtrado basado en grupos de usuarios
o Filtrado basado en grupos de usuarios para objetos
* Servicio de redes privadas virtuales (VPN)
o Introduccin a las redes privadas virtuales (VPN)
o Configuracin de un servidor VPN con Zentyal
o Configuracin de un servidor VPN para la interconexin de redes con Zentyal
* Sistema de Deteccin de Intrusos (IDS)
o Introduccin al Sistema de Deteccin de Intrusos
o Configuracin de un IDS con Zentyal
o Alertas del IDS
* Filtrado de correo electrnico
o Esquema del filtrado de correo en Zentyal
o Listas de control de conexiones externas
o Proxy transparente para buzones de correo POP3
Zentyal Office
* Zentyal Office
* Servicio de directorio (LDAP)
o Introduccin al servicio de directorio (LDAP)
o Configuracin de un servidor Zentyal maestro
o Configuracin de Zentyal como esclavo de Windows Active Directory
o Configuracin de un servidor LDAP con Zentyal
Zentyal Cloud garantiza una red segura y actualizada a un nivel profesional con un coste reducido
Las suscripciones estn dirigidas a dos tipos de clientes claramente diferenciados. Por un lado la Suscripcin
Profesional est dirigida a pequeas empresas o proveedores TIC con un nmero reducido de servidores Zentyal
que deben ser mantenidos al da, asegurando su contnuo funcionamiento, que se benefician de las actualizaciones
garantizadas, las alertas y los informes. Por otra parte, la Suscripcin Empresarial est dirigida a grandes empresas
o proveedores de servicios gestionados que adems tienen la necesidad de monitorizar y administrar mltiples
instalaciones Zentyal de forma remota. As mismo, los clientes que dispongan de una suscripcin, pueden obtener
acceso a suscripciones adicionales como la recuperacin de desastres, actualizaciones avanzadas de seguridad o
llamadas mediante Voz IP a un bajo coste.
Estas subscripciones se complementan con otros servicios adicionales como formacin, despliegue o soporte
tcnico provistos generalmente por alguno de sus partners certificados. Zentyal dispone de una Red Global de
Partners en rpida expansin, a travs de la cual consigue llevar la atencin necesaria para distribuir el producto y
los servicios a las pymes de todo el mundo. El estereotipo de los partners de Zentyal son proveedores locales de
servicios TIC, consultores o proveedores de servicios gestionados que ofrecen un servicio de asesora, despliegue,
soporte y/o externalizacin completa de la infraestructura y servicios de red de sus clientes. Para ms informacin
sobre los beneficios y cmo convertirse en partner dirjase a la seccin de partners de zentyal.com [3].
La combinacin entre el servidor y las subscripciones aportan unos beneficios muy importantes que se traducen en
ahorros superiores al 50% del coste total de instalacin y mantenimiento de un servidor para pymes, comparando
los costes de Zentyal con los de una instalacin tpica de Windows Small Business Server.
[1] http://www.zentyal.com/
[2] http://enise.inteco.es/images/stories/Ponencias/T25/marcos%20polanco.pdf
[3] http://www.zentyal.com/es/partners/
Acerca de esta documentacin
Esta documentacin describe las principales caractersticas tcnicas de Zentyal, ayudando a comprender la forma
en la que se pueden configurar los distintos servicios de red en Zentyal y a ser productivo en la administracin de
una infraestructura TIC en un entorno pyme con sistemas Linux.
La documentacin est dividida en siete captulos. Este primer captulo introductorio ayuda a comprender el
contexto de Zentyal, as como su instalacin y a dar los primeros pasos con el sistema. Los siguientes cinco
captulos explican en profundidad cinco perfiles tpicos de instalacin, como servidor de infraestructura de una red,
como servidor de acceso a Internet o Gateway, como servidor de seguridad o UTM, como servidor de oficina o
como servidor de comunicaciones. Esta diferenciacin en cinco grupos funcionales se hace slo para facilitar los
despliegues de Zentyal en los escenarios ms tpicos, pero un servidor Zentyal puede ofrecer cualquier
combinacin funcional sin ms lmites que los que impongan el hardware sobre el que est instalado y el uso que
se haga del servidor.
Finalmente, el ltimo captulo describe las herramientas y servicios disponibles para facilitar el mantenimiento de
un servidor Zentyal, garantizando su funcionamiento, optimizando su uso, solventando las incidencias y
recuperando el sistema en caso de desastre.
Instalacin
Zentyal est concebido para ser instalado en una mquina (real o virtual) de forma, en principio, exclusiva. Esto no
impide que se puedan instalar otros servicios o aplicaciones adicionales, no gestionados a travs de la interfaz de
Zentyal, que debern ser instalados y configurados manualmente.
Funciona sobre la distribucin Ubuntu [1] en su versin para servidores, usando siempre las ediciones LTS (Long
Term Support) [2], cuyo soporte es mayor: cinco aos en lugar de tres.
La instalacin puede realizarse de dos maneras diferentes:
* usando el instalador de Zentyal (opcin recomendada),
* instalando a partir de una instalacin de Ubuntu Server Edition.
En el segundo caso es necesario aadir los repositorios oficiales de Zentyal y proceder a la instalacin de aquellos
mdulos que se deseen [3].
Sin embargo, en el primer caso se facilita la instalacin y despliegue de Zentyal ya que todas las dependencias se
encuentran en un slo CD y adems se incluye un entorno grfico que permite usar el interfaz web desde el propio
servidor.
La documentacin oficial de Ubuntu incluye una breve introduccin a la instalacin y configuracin de Zentyal
[4], en el captulo de eBox (anterior nombre del proyecto).
[1] Ubuntu es una distribucin de Linux desarrollada por Canonical y la comunidad orientada a ordenadores
porttiles, de sobremesa y servidores: http://www.ubuntu.com/.
[2] Para una descripcin detallada sobre la publicacin de versiones de Ubuntu se recomienda la consulta de la gua
Ubuntu: https://wiki.ubuntu.com/Releases.
[3] Para ms informacin sobre la instalacin a partir del repositorio dirjase a
http://trac.zentyal.org/wiki/Document/Documentation/InstallationGuide.
[4] https://help.ubuntu.com/10.04/serverguide/C/ebox.html
El instalador de Zentyal
El instalador de Zentyal est basado en el instalador de Ubuntu Server as que el proceso de instalacin resultar
muy familiar a quien ya lo conozca.
En primer lugar seleccionaremos el lenguaje de la instalacin, para este ejemplo usaremos Espaol.
Podemos instalar utilizando la opcin por omisin que elimina todo el contenido del disco duro y crea las
particiones necesarias para Zentyal usando LVM [5] o podemos seleccionar la opcin expert mode que permite
realizar un particionado personalizado. La mayora de los usuarios deberan elegir la opcin por omisin a no ser
que estn instalando en un servidor con RAID por software o quieran hacer un particionado ms especfico a sus
necesidades concretas.
En el siguiente paso elegiremos el lenguaje que usar la interfaz de nuestro sistema una vez instalado, para ello nos
pregunta por el pais donde nos localizamos, en este caso Espaa.
Localizacin geogrfica
Podemos usar la deteccin de automtica de la distribucin del teclado, que har unas cuantas preguntas para
asegurarse del modelo que estamos usando o podemos seleccionarlo manualmente escogiendo No.
Despus elegiremos un nombre para nuestro servidor; este nombre es importante para la identificacin de la
mquina dentro de la red.
Nombre de la mquina
En el siguiente paso, se nos pregunta por nuestra zona horaria, que se autoconfigurar dependiendo del pas de
origen que hayamos seleccionado anteriormente, pero se puede modificar en caso de que sea errnea.
Zona horaria
Una vez terminados estos pasos, comenzar la instalacin que ir informando de su estado mediante el avance de la
barra de progreso.
A continuacin se nos pregunta por el nombre del administrador.
Despus habr que indicar el nombre de usuario o login usado para identificarse ante el sistema. Este usuario
tendr privilegios de administracin y adems ser el utilizado para acceder a la interfaz de Zentyal.
En el siguiente paso nos pedir la contrasea para el usuario. Cabe destacar que el anterior usuario con esta
contrasea podr acceder tanto al sistema (mediante SSH o login local) como a la interfaz web de Zentyal, por lo
que seremos especialmente cuidadosos en elegir una contrasea segura (ms de 12 carcteres incluyendo letras,
cifras y smbolos de puntuacin).
Confirmar contrasea
Esperaremos a que nuestro sistema bsico se instale, mientras muestra una barra de progreso. Este proceso puede
durar unos 20 minutos aproximadamente, dependiendo del servidor en cada caso.
La instalacin del sistema base est completada; ahora podremos extraer el disco de instalacin y reiniciar.
Reiniciar
Nuestro sistema Zentyal est funcionando! El sistema arrancar un interfaz grfico con un navegador que permite
acceder a la interfaz de administracin, y aunque tras este primer reinicio el sistema haya iniciado el entorno
grfico automticamente, de aqu en adelante, necesitar autenticarse antes de que ste arranque.
Para comenzar a configurar los perfiles o mdulos de Zentyal, usaremos el usuario y contrasea indicados
durante la instalacin. Cualquier otro usuario que aadamos posteriormente al grupo admin podr acceder
al interfaz de Zentyal al igual que tendr privilegios de sudo en el sistema.
[5] LVM es el administrador de volmenes lgicos en Linux, una introduccin su gestin puede encontrarse
en http://www.howtoforge.com/linux_lvm.
Perfiles de Zentyal
Seleccin avanzada
Para nuestro ejemplo usaremos una instalacin del perfil de Gateway nicamente.
Al terminar la seleccin, se instalarn tambin los paquetes adicionales necesarios y adems si hay algn
complemento recomendado se preguntar si lo queremos instalar tambin. Esta seleccin no es definitiva, ya que
posteriormente podremos instalar y desinstalar el resto de mdulos de Zentyal a travs de la gestin de software.
El sistema comenzar con el proceso de instalacin de los modulos requeridos, mostrando una barra de progreso
donde adems podemos leer una breve introduccin sobre las funcionalidades y servicios adicionales disponibles
en Zentyal.
Una vez terminado el proceso de instalacin el asistente configurar los nuevos mdulos realizando algunas
preguntas.
En primer lugar se solicitar informacin sobre la configuracin de red, definiendo para cada interfaz de red si es
interna o externa, es decir, si va a ser utilizada para conectarse a Internet u otras redes externas o si est conectada a
la red local. Se aplicarn polticas estrictas en el cortafuegos para todo el trfico entrante a travs de interfaces de
red externas.
A continuacin tendremos que seleccionar el tipo de servidor para el modo de operacin del mdulo Usuarios y
Grupos. Si slo vamos a tener un servidor elegiremos Servidor stand-alone. Si por el contrario estamos
desplegando una infraestructura maestro-esclavo con varios servidores Zentyal y gestin de usuarios y grupos
centralizada o si queremos sincronizar los usuarios con un Microsoft Active Directory, elegiremos Configuracin
avanzada. Este paso aparecer solamente si el mdulo Usuarios y Grupos est instalado.
Una vez hayan sido respondidas estas cuestiones, se proceder a la configuracin de cada uno de los mdulos
instalados.
Guardando cambios
Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard: nuestro servidor Zentyal ya
est listo!
Dashboard
queremos confiar en este sitio, aceptaremos el certificado autogenerado y no nos lo volver a solicitar en adelante.
Advertencia
Para acceder a la interfaz web se debe usar Mozilla Firefox, ya que otros navegadores como Microsoft Internet
Explorer no estn soportados.
La primera pantalla solicita el nombre de usuario y la contrasea, podrn autenticarse como administradores tanto
el usuario creado durante la instalacin como cualquier otro perteneciente al grupo admin.
Login
Una vez autenticados, aparecer la interfaz de administracin que se encuentra dividida en tres partes
fundamentales:
Men lateral izquierdo:
Contiene los enlaces a todos los servicios que se pueden configurar mediante Zentyal, separados por categoras.
Cuando se ha seleccionado algn servicio en este men puede aparecer un submen para configurar cuestiones
particulares de dicho servicio.
Men lateral
Men superior:
Contiene las acciones: guardar los cambios realizados en el contenido y hacerlos efectivos, as como el cierre de
sesin.
Men superior
Contenido principal:
El contenido, que ocupa la parte central, comprende uno o varios formularios o tablas con informacin acerca de la
configuracin del servicio seleccionado a travs del men lateral izquierdo y sus submens. En ocasiones, en la
parte superior, aparecer una barra de pestaas en la que cada pestaa representar una subseccin diferente dentro
de la seccin a la que hemos accedido.
Contenido de un formulario
El Dashboard
El Dashboard es la pantalla inicial de la interfaz. Contiene una serie de widgets configurables. En todo momento se
pueden reorganizar pulsando en los ttulos y arrastrndolos.
Pulsando en Configurar Widgets la interfaz cambia, permitiendo retirar y aadir nuevos widgets. Para aadir uno
nuevo, se busca en el men superior y se arrastra a la parte central. Para eliminarlos, se usa la cruz situada en la
esquina uperior derecha de cada uno de ellos.
Hay un widget importante dentro del Dashboard que muestra el estado de todos los mdulos instalados en Zentyal.
La imagen muestra el estado para un servicio y la accin que se puede ejecutar sobre l. Los estados disponibles
son los siguientes:
Ejecutndose:
El servicio se est ejecutando aceptando conexiones de los clientes. Se puede reiniciar el servicio usando
Reiniciar.
Ejecutndose sin ser gestionado:
Si no se ha activado todava el mdulo, se ejecutar con la configuracin por defecto de la distribucin.
Parado:
El servicio est parado bien por accin del administrador o porque ha ocurrido algn problema. Se puede iniciar el
servicio mediante Arrancar.
Deshabilitado:
Cada mdulo puede tener dependencias sobre otros para que funcione. Por ejemplo, el mdulo DHCP necesita que
el mdulo de red est habilitado para que pueda ofrecer direcciones IP a travs de las interfaces de red
configuradas. Las dependencias se muestran en la columna Depende y hasta que estas no se habiliten, no se puede
habilitar tampoco el mdulo.
La primera vez que se habilita un mdulo, se pide confirmacin de las acciones que va a realizar en el sistema as
como los ficheros de configuracin que va a sobreescribir. Tras aceptar cada una de las acciones y ficheros, habr
que guardar cambios para que la configuracin sea efectiva.
Guardar Cambios
Advertencia
Si se cambia la configuracin de las interfaces de red, el cortafuegos o el puerto del interfaz de administracin, se
podra perder la conexin teniendo que cambiar la URL en el navegador o reconfigurar a travs del entorno grfico
en local.
Configuracin general
Hay varios parmetros de la configuracin general de Zentyal que se pueden modificar en Sistema General.
Configuracin general
Contrasea:
Podemos cambiar la contrasea de un usuario. Ser necesario introducir
su nombre de Usuario, la Contrasea actual, la Nueva contrasea y confirmarla de nuevo en la seccin Cambiar
contrasea.
Idioma:
Podemos seleccionar el idioma de la interfaz mediante Seleccin de idioma.
Puerto del interfaz de administracin:
Por defecto es el 443 de HTTPS, pero si queremos utilizarlo para el servidor web, habr que cambiarlo a otro
distinto y especificarlo en la URL a la hora de acceder: https://direccion_ip:puerto/.
Nombre de la mquina:
Es posible cambiar el hostname o nombre de la mquina, por ejemplo: zentyal.home.local. El nombre de la
mquina sirve para identificarla de otras dentro de la red.
Ubicaciones en la red
A lo largo de esta documentacin se ver cmo configurar Zentyal para desempear un papel de puerta de enlace y
cortafuegos. Y por supuesto tambin veremos la configuracin en los casos que acte como un servidor ms dentro
de la red.
Adems cada interfaz puede definirse como Externa si est conectada a una red externa, normalmente Internet,
para aplicar polticas ms estrictas en el cortafuegos. En caso contrario se asumir interna, conectada a la red local.
Cuando se configure como DHCP, no slamente se configurar la direccin IP sino tambin los servidores DNS y
la puerta de enlace. Esto es habitual en mquinas dentro de la red local o en las interfaces externas conectadas a los
routers ADSL.
Si configuramos la interfaz como esttica especificaremos la direccin IP, la mscara de red y adems podremos
asociar una o ms Interfaces Virtuales a dicha interfaz real para disponer de direcciones IP adicionales.
Estas direcciones adicionales son tiles para ofrecer un servicio en ms de una direccin IP o subred, para facilitar
la migracin desde un escenario anterior o para tener en un servidor web diferentes dominios usando certificados
SSL.
Si se dispone de un router ADSL PPPoE [1] (un mtodo de conexin utilizado por algunos proveedores de
Internet), podemos configurar tambin este tipo de conexiones. Para ello, slo hay que seleccionar PPPoE e
introducir el Nombre de usuario y Contrasea proporcionado por el proveedor.
En caso de tener que conectar el servidor a una o ms redes VLAN, seleccionaremos Trunk (802.11q). Una vez
seleccionado este mtodo podremos crear tantas interfaces asociadas al tag definido como queramos y las
podremos tratar como si de interfaces reales se tratase.
La infraestructura de red VLAN permite segmentar la red local para mejor rendimiento y mayor seguridad sin la
inversin en hardware fsico que sera necesaria para cada segmento.
El modo puente o bridged consiste en asociar dos interfaces de red fsicas de nuestro servidor conectadas a dos
redes diferentes. Por ejemplo una tarjeta conectada al router y otra tarjeta conectada a la red local. Mediante esta
asociacin podemos conseguir que el trfico de la red conectada a una de las tarjetas se redirija a la otra de modo
transparente.
Esto tiene la principal ventaja de que las mquinas clientes de la red local no necesitan modificar absolutamente
ninguna de sus configuraciones de red cuando instalemos un servidor Zentyal como puerta de enlace, y sin
embargo, podemos gestionar el trfico que efectivamente pasa a travs de nuestro servidor con el cortafuegos,
filtrado de contenidos o deteccin de intrusos.
Esta asociacin se crea cambiando el mtodo de las interfaces a En puente de red. Podemos ver como al
seleccionar esta opcin nos aparece un nuevo selector, Puente de red para que seleccionemos a qu grupo de
interfaces queremos asociar esta interfaz.
Creacin de un bridge
Esto crear una nueva interfaz virtual bridge que tendr su propia configuracin como una interfaz real, por lo cual
aunque el trfico la atraviese transparentemente, puede ser utilizado para ofrecer otros servicios como podra ser el
propio interfaz de administracin de Zentyal o un servidor de ficheros.
En el caso de configurar manualmente la interfaz de red ser necesario definir la puerta de enlace de acceso a
Internet en Red Puertas de enlace. Normalmente esto se hace automticamente si usamos DHCP o PPPoE pero
no en el resto de opciones. Para cada uno podremos indicar Nombre, Direccin IP, Interfaz a la que est conectada,
su Peso que sirve para indicar la prioridad respecto a otros gateways y si es el Predeterminado de todos ellos.
Adems si es necesario el uso de un proxy HTTP para el acceso a Internet, podremos configurarlo tambin en esta
seccin. Este proxy ser utilizado por Zentyal para conexiones como las de actualizacin e instalacin de paquetes
o la actualizacin del antivirus.
Para que el sistema sea capaz de resolver nombres de dominio debemos indicarle la direccin de uno o varios
servidores de nombres en Red DNS.
Si la conexin a Internet asigna una direccin IP dinmica y queremos que un nombre de dominio apunte a ella, se
necesita un proveedor de DNS dinmico. Utilizando Zentyal se puede configurar alguno de los proveedores de
DNS dinmico ms populares.
Para ello iremos a Red DynDNS y seleccionaremos el proveedor, del Servicio, Nombre de usuario, Contrasea
y Nombre de mquina que queremos actualizar cuando la direccin pblica cambie, slo resta Habilitar DNS
dinmico.
Diagnstico de red
Para ver si hemos configurado bien nuestra red podemos utilizar las herramientas de Red Diagnstico.
ping es una herramienta que utiliza el protocolo de diagnstico de redes ICMP (Internet Control Message Protocol)
para comprobar la conectividad hasta una mquina remota mediante una sencilla conversacin entre ambas.
Tambin disponemos de la herramienta traceroute que se encarga de mostrar la ruta que toman los paquetes hasta
llegar a la mquina remota determinada.
Herramienta traceroute
Y por ltimo tambin contamos con la herramienta de resolucin de nombres de dominio que se utiliza para
comprobar el correcto funcionamiento del servicio.
El servicio de sincronizacin de la hora o NTP mantiene sincronizada la hora del sistema en las mquinas.
Para la auto-configuracin de red, se usa el servicio de DHCP que permite asignar diversos parmetros de red a las
mquinas conectadas como pueden ser la direccin IP, los servidores DNS o la puerta de enlace para acceder a
Internet.
La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones ha aumentado
el inters por el despliegue de autoridades de certificacin que permiten acceder a los diversos servicios de forma
segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayora de los servicios y certificados
para la autenticacin de los usuarios.
Adems, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas bajo el servidor
HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS.
Servicio de resolucin de nombres de dominio (DNS)
Introduccin a DNS
BIND [4] es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley
y en la actualidad mantenido por el Internet Systems Consortium. La versin BIND 9, reescrita desde cero para
soportar las ltimas funcionalidades del protocolo DNS, es la usada por el mdulo de DNS de Zentyal.
[4] http://www.isc.org/software/bind
Configuracin de un servidor DNS cach con Zentyal
El mdulo de servidor de DNS de Zentyal siempre funciona como servidor DNS cach para las redes marcadas
como internas en Zentyal, as que si solamente queremos que nuestro servidor realice cach de las consultas DNS,
bastar con habilitar el mdulo.
En ocasiones, puede que este servidor DNS cach tenga que ser consultado desde redes internas no configuradas
directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia
segmentos internos o redes VPN.
Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a travs de un fichero de
configuracin. Podremos aadir estas redes en el fichero /etc/ebox/80dns.conf mediante la opcin intnets=:
# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =
Y tras reiniciar el mdulo DNS se aplicarn los cambios.
El servidor DNS cach de Zentyal consultar directamente a los servidores DNS raz a qu servidor autoritario
tiene que preguntar la resolucin de cada peticin DNS y las almacenar localmente durante el perodo de tiempo
que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada
conexin de red, aumentando la sensacin de velocidad de los usuarios y reduciendo el consumo real de trfico
hacia Internet.
Para que el servidor Zentyal utilice su propio servidor DNS cach, que acabamos de configurar, tendremos que ir a
Red DNS y configurar 127.0.0.1 como primer servidor DNS.
El dominio de bsqueda es bsicamente una cadena que se aadir a la bsqueda en caso de que sea imposible
resolver con la cadena de texto que el usuario ha pedido. El dominio de bsqueda se configura en los clientes, pero
se puede servir automticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuracin
inicial de red, podrn adquirir tambin este dato. Por ejemplo nuestro dominio de bsqueda podra ser
foocorp.com, el usuario intentara acceder a la mquina example; al no estar presente en sus hosts conocidos, la
resolucin de este nombre fallara, por lo que su sistema operativo probara automticamente con
example.foocorp.com, resultando en una resolucin de nombre con xito en este segundo caso.
En Red Herramientas de diagnstico disponemos de la herramienta de Resolucin de Nombres de Dominio, que
mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red DNS.
Lista de dominios
Para configurar un nuevo dominio, desplegaremos el formulario pulsando Aadir nuevo. Desde ste se configurar
el Nombre del dominio y opcionalmente la Direccin IP a la que har referencia el dominio.
Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de l mediante la tabla Nombres.
Para cada uno de estos nombres Zentyal configurar automticamente la resolucin inversa. Adems para cada uno
de los nombres podremos definir cuantos Alias queramos.
Normalmente los nombres apuntan a la mquina dnde est funcionando el servicio y los alias a los servicios
alojados en ella. Por ejemplo, la mquina amy.zentyal.com tiene los alias smtp.zentyal.com y mail.zentyal.com
para los servicios de mail y la mquina rick.zentyal.com tiene los alias www.zentyal.com o store.zentyal.com entre
otros, para los servicios web.
Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio.
Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo.
Mediante la Preferencia, determinamos a cul de estos servidores le intentarn entregar los mensajes otros
servidores. Si el de ms preferencia falla lo reintentarn con el siguiente.
Adems tambin podemos configurar los registros NS para cada dominio o subdominio mediante la tabla
Servidores de nombres.
Hay que mencionar que cuando se aade un nuevo dominio, se puede apreciar la presencia de un campo llamado
Dinmico con valor falso. Un dominio se establece como dinmico cuando es actualizado automticamente por un
proceso externo sin reiniciar el servidor. Si un dominio se establece como dinmico no puede configurarse a travs
del interfaz. En Zentyal los dominios dinmicos son los actualizados automticamente por DHCP con los nombres
de las mquinas a las que ha asignado una direccin IP, vase Actualizaciones dinmicas.
Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software [4], el estndar de facto en sistemas Linux.
Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.
[4] https://www.isc.org/software/dhcp
propio servidor DNS de Zentyal, hay que tener en cuenta que el mdulo DNS [5] debe estar habilitado.
Servidor de nombres secundario:
Servidor DNS con el que contactar el cliente si el primario no est disponible. Su valor debe ser una direccin IP
de un servidor DNS.
Servidor NTP:
Servidor NTP que usar el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o
la direccin IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener
el mdulo NTP [6] habilitado.
Servidor WINS:
Servidor WINS (Windows Internet Name Service) [7] que el cliente usar para resolver nombres en una red
NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor
WINS, el mdulo de Compartir de ficheros [8] tiene que estar habilitado.
Debajo de estas opciones, podemos ver los rangos dinmicos de direcciones y las asignaciones estticas. Para que
el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estticas; en
caso contrario el servidor DHCP no servir direcciones IP aunque est escuchando en todas las interfaces de red.
Los rangos de direcciones y las direcciones estticas disponibles para asignar desde una determinada interfaz
vienen determinados por la direccin esttica asignada a dicha interfaz. Cualquier direccin IP libre de la subred
correspondiente puede utilizarse en rangos o asignaciones estticas.
Para aadir un rango en la seccin Rangos se introduce un nombre con el que identificar el rango y los valores que
se quieran asignar dentro del rango que aparece encima.
Optiones avanzadas
La concesin dinmica de direcciones tiene un tiempo lmite. Una vez expirado este tiempo se tiene que pedir la
renovacin (configurable en la pestaa Opciones avanzadas). Este tiempo vara desde 1800 segundos hasta 7200.
Esta limitacin tambin se aplica a las asignaciones estticas.
Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente servidor a qu
servidor PXE se debe conectar el cliente ligero y este se encargar de transmitir todo lo necesario para que el
cliente ligero sea capaz de arrancar su sistema. El servidor PXE puede ser una direccin IP o un nombre de
mquina. Ser necesario indicar la ruta de la imagen de arranque, o si Zentyal es el servidor PXE, se podr subir el
fichero con la imagen a travs de la interfaz web.
Actualizaciones dinmicas
Las actualizaciones dinmicas de DNS permiten asignar nombres de dominio a los clientes DHCP mediante la
integracin de los mdulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las mquinas presentes
en la red por medio de un nombre de dominio nico en lugar de por una direccin IP que puede cambiar.
Para utilizar esta opcin, hay que acceder a la pestaa Opciones de DNS dinmico y para habilitar esta
caracterstica, el mdulo DNS debe estar habilitado tambin. Se debe disponer de un Dominio dinmico y un
Dominio esttico, que ambos se aadirn a la configuracin de DNS automticamente. El dominio dinmico aloja
los nombres de mquinas cuya direccin IP corresponde a una del rango y el nombre asociado sigue el patrn
dhcp-<direccin-IP-ofrecida>.<dominio-dinmico>. Con respecto al dominio esttico, el nombre de mquina
seguir este patrn: <nombre>.<dominio-esttico> siendo el nombre que se establece en la tabla de Asignaciones
estticas.
Accederemos a Autoridad de Certificacin General y nos encontraremos con el formulario para inicializar la
CA. Se requerir el Nombre de Organizacin y el nmero de Das para expirar. Adems, tambin es posible
especificar opcionalmente Cdigo del Pas (acrnimo de dos letras que sigue el estndar ISO-3166-1 [5]), Ciudad y
Estado.
Listado de certificados
El paquete con las claves descargadas contiene tambin un archivo PKCS12 que incluye la clave privada y el
certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc.
Si renovamos un certificado, el actual ser revocado y uno nuevo con la nueva fecha de expiracin ser expedido.
Y si se renueva la CA, todos los certificados se renovarn con la nueva CA tratando de mantener la antigua fecha
de expiracin. Si esto no es posible debido a que es posterior a la fecha de expiracin de la CA, entonces se
establecer la fecha de expiracin de la CA.
Renovar un certificado
Si revocamos un certificado no podremos utilizarlo ms, ya que esta accin es permanente y no se puede deshacer.
Opcionalmente podemos seleccionar la razn para revocarlo:
* unspecified: motivo no especificado,
* keyCompromise: la clave privada ha sido comprometida,
* CACompromise: la clave privada de la autoridad de certificacin ha sido comprometida,
Revocar un certificado
Cuando un certificado expire, el resto de mdulos sern notificados. La fecha de expiracin de cada certificado se
comprueba una vez al da y cada vez que se accede al listado de certificados.
[5] http://es.wikipedia.org/wiki/ISO_3166-1
[6] Para ms informacin sobre los Subject Alternative Names vase
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name
Certificados de Servicios
En Autoridad de Certificacin Certificados de Servicios podemos encontrar la lista de mdulos de Zentyal que
usan certificados para su funcionamiento. Cada mdulo genera sus certificados autofirmados, pero podemos
remplazar estos certificados por otros emitidos por nuestra CA.
Para cada servicio se puede generar un certificado especificando su Nombre Comn. Si no existe un certificado con
el nombre especificado, la Autoridad de Certificacin lo crear automticamente.
Certificados de Servicios
Una vez activado, tendremos que reiniciar el mdulo sobre el que hemos activado el certificado para que lo
comience a utilizar, al igual que si renovamos el certificado asociado.
Objetos de red
Cada uno de estos objetos se compondr de una serie de miembros que podremos modificar en cualquier momento.
Los miembros tendrn al menos los siguientes valores: Nombre, Direccin IP y Mscara de red. La Direccin
MAC es opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina y se
aplicar en aquellos contextos que la direccin MAC sea accesible.
Los miembros de un objeto pueden solaparse con miembros de otros, con lo cual hay que tener cuidado al usarlos
en el resto de mdulos para obtener la configuracin deseada y no tener problemas.
Servicios de red
Los Servicios de red son la manera de representar los protocolos (TCP, UDP, ICMP, etc) y puertos usados por una
aplicacin. La utilidad de los servicios es similar a la de los objetos: si con los objetos se puede hacer referencia a
un conjunto de direcciones IP usando un nombre significativo, podemos as mismo identificar un conjunto de
puertos por el nombre de la aplicacin que los usa.
Pongamos como ejemplo la navegacin web. El puerto ms habitual es el de HTTP, 80/TCP. Pero adems tambin
tenemos que contar con el de HTTPS 443/TCP y el alternativo 8080/TCP. De nuevo, no tenemos que aplicar una
regla que afecte a la navegacin web a cada uno de los puertos, sino al al servicio que la representa que contiene
estos tres puertos. Otro ejemplo puede ser la comparticin de ficheros en redes Windows, donde el servidor
escucha en los puertos 137/TCP, 138/TCP, 139/TCP y 445/TCP.
Para trabajar con los servicios en Zentyal se debe ir al men Servicios donde se listan los servicios existentes
creados por cada uno de los mdulos que se hayan instalado y los que hayamos podidos definir adicionalmente.
Para cada servicio podemos ver su Nombre, Descripcin y un indicador de si es Interno o no. Un servicio es
Interno si los puertos configurados para dicho servicio se estn usando en el mismo servidor. Adems cada servicio
tendr una serie de miembros, cada uno de estos miembros tendr los valores: Protocolo, Puerto origen y Puerto
destino. En todos estos campos podemos introducir el valor Cualquiera, por ejemplo para especificar servicios en
los que sea indiferente el puerto origen o un Rango de puertos.
El protocolo puede ser TCP, UDP, ESP, GRE o ICMP. Tambin existe un valor TCP/UDP para evitar tener que
aadir dos veces un mismo puerto que se use en ambos protocolos, como en el caso de DNS.
Servicios de red
Cortafuegos
Introduccin al sistema de cortafuegos
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter [2] que
proporciona funcionalidades de filtrado, marcado de trfico y de redireccin de conexiones.
[2] http://www.netfilter.org/
Interfaz externa
La poltica para las interfaces externas es denegar todo intento de nueva conexin a Zentyal mientras que para las
interfaces internas se deniegan todos los intentos de conexin excepto los que se realizan a servicios definidos por
los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas conexiones, aunque siempre
pueden ser modificadas posteriormente por el administrador. Una excepcin a esta norma son las conexiones al
servidor LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La
configuracin predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones.
Filtrado de paquetes
La definicin de las polticas del cortafuegos se hace desde Cortafuegos Filtrado de paquetes.
Se pueden definir reglas en 5 diferentes secciones segn el flujo de trfico sobre el que sern aplicadas:
* Trfico de redes internas a Zentyal (ejemplo: permitir acceso al servidor de ficheros desde la red local).
* Trfico entre redes internas y de redes internas a Internet (ejemplo: restringir el acceso a todo Internet o
determinadas direcciones a unas direcciones internas o restringir la comunicaciones entre las subredes internas).
* Trfico de Zentyal a redes externas (ejemplo: permitir descargar ficheros por HTTP desde el propio servidor).
* Trfico de redes externas a Zentyal (ejemplo: permitir que el servidor de correo reciba mensajes de Internet).
* Trfico de redes externas a redes internas (ejemplo: permitir acceso a un servidor interno desde Internet).
Hay que tener en cuenta que los dos ltimos tipos de reglas pueden crear un compromiso en la seguridad de
Zentyal y la red, por lo que deben utilizarse con sumo cuidado.
Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un cortafuegos. La definicin
de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de red para especificar a
qu protocolos y puertos se aplican las reglas y los Objetos de red para especificar sobre qu direcciones IP de
origen o de destino se aplican.
Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera, una Direccin IP o un Objeto en
el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones el
Origen o el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal tanto el Destino en
Trfico de redes internas a Zentyal y Trfico de redes externas a Zentyal como el Origen en Trfico de Zentyal a
redes externas.
Adems cada regla siempre tiene asociado un Servicio para especificar el protocolo y los puertos (o rango de
puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por
ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de
trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de
servicios genricos que son muy tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos, Cualquiera TCP o Cualquiera UDP para seleccionar cualquier protocolo TCP o UDP respectivamente.
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones nuevas. Zentyal permite tomar tres
tipos distintos de decisiones:
* Aceptar la conexin.
* Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido
establecer la conexin.
* Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs de Registros
-> Consulta registros -> Cortafuegos podemos ver sobre qu conexiones se estn produciendo.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final, una vez que una regla
acepta una conexin, no se sigue evaluando el resto. Una regla genrica al principio puede hacer que otra regla ms
especfica posterior no sea evaluada, es por esto por lo que el orden de las reglas en las tablas es muy importante.
Existe la opcin de aplicar un no lgico a la evaluacin de la regla con Inversa para la definicin de polticas ms
avanzadas.
Por ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la
conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada
ya que la regla anterior ya acepta la conexin. Igualmente si queremos restringir la salida a Internet, primero
explcitamente denegaremos los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden dara
acceso a todos los sitios a todo el mundo.
Por omisin, la decisin es siempre denegar las conexiones y tendremos que explcitamente aadir reglas que las
permitan. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera
versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet,
desde el servidor Zentyal (en Trfico de Zentyal a redes externas) y tambin se permiten todas las conexiones
desde las redes internas hacia las externas (en Trfico entre redes internas y de redes internas a Internet. Adems
cada mdulo instalado aade una serie de reglas en las secciones Trfico de redes internas a Zentyal y Trfico de
redes externas a Zentyal normalmente permitiendo las conexiones desde las redes internas pero denegndola desde
las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuegos puesto que de esta
manera para permitir el servicio solamente hay que cambiar el parmetro Decisin y no es necesario crear una
regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por
primera vez y no son modificadas automticamente en el futuro.
Finalmente, existe un campo opcional Descripcin para comentar el objetivo de la regla dentro de la poltica global
del cortafuegos.
Redireccin de puertos
Encaminamiento
Introduccin al encaminamiento o routing
Zentyal usa el subsistema del kernel de Linux para el encaminamiento configurado mediante la herramiente
iproute2 [1].
[1] http://www.policyrouting.org/iproute2.doc.html
Habilitado:
Indica si realmente esta puerta de enlace es efectiva o est desactivada.
Nombre:
Nombre por el que identificaremos a la puerta de enlace.
Direccin IP:
Direccin IP de la puerta de enlace. Esta direccin debe ser directamente accesible desde la mquina que contiene
Zentyal, es decir, sin otros enrutamientos intermedios.
Interfaz:
Interfaz de red conectada a la puerta de enlace. Los paquetes que se enven a la puerta de enlace se enviarn a
travs de esta interfaz.
Peso
Cuanto mayor sea el peso, ms paquetes se enviarn por esa puerta de enlace si activamos el balanceo de trfico.
Predeterminado
Si esta opcin est activada, esta ser la puerta de enlace por defecto.
Si se tienen interfaces configuradas como DHCP o PPPoE [2] no se pueden aadir puertas de enlace explcitamente
para ellas, dado que ya son gestionadas automticamente. A pesar de eso, se pueden seguir activando o
desactivando, editando su Peso o elegir si es el Predeterminado, pero no se pueden editar el resto de los atributos.
Adems Zentyal puede necesitar utilizar un proxy para acceder a Internet, por ejemplo para las actualizaciones de
software y del antivirus, o para la redireccin del propio proxy HTTP.
Para configurar este proxy externo iremos a Red Puertas de enlace, all podremos indicar la direccin del
Servidor proxy as como el Puerto del proxy. Tambin podremos especificar un Usuario y Contrasea en caso de
que el proxy requiera autenticacin.
[2] http://es.wikipedia.org/wiki/PPPoE
Configuracin de rutas
Estas rutas podran ser sobreescritas si se utiliza el protocolo DHCP.
Las reglas de encaminamiento para mltiples puertas de enlace, conocidas tambin como reglas multigateway
permiten que una red pueda usar varias conexiones a Internet de una manera transparente. Esto es muy til para
organizaciones que requieran ms ancho de banda que el que ofrece una nica conexin ADSL o que no puedan
permitirse interrupciones en su acceso a Internet, una situacin cada vez ms comn.
El balanceo de trfico reparte de manera equitativa las conexiones salientes hacia Internet, permitiendo utilizar la
totalidad del ancho de banda disponible. La forma ms simple de configuracin es establecer diferentes pesos para
cada puerta de enlace, de manera que si las conexiones de las que se dispone tienen diferentes capacidades
podemos hacer un uso ptimo de ellas.
Balanceo de trfico
Adems, Zentyal se puede configurar para hacer que determinado tipo de trfico se enve siempre por un router
especfico en caso de ser necesario. Ejemplos comunes son enviar siempre el correo electrnico o todo el trfico de
una determinada subred por un determinado router.
Las reglas multigateway y el balanceo de trfico se establecen en la seccin Red Balanceo de trfico. En esta
seccin podemos aadir reglas para enviar ciertas conexiones a una determinada puerta de enlace dependiendo de
la Interfaz de entrada, el Origen (puede ser una Direccin IP, un Objeto, el propio servidor Zentyal o Cualquiera),
el Destino (una Direccin IP o un Objeto), el Servicio al que se quiere asociar esta regla y por cual de los Gateway
queremos direccionar el tipo de trfico especificado.
puertas de enlace que siguen habilitadas, se deshabilitan las reglas multigateway asociadas a esa puerta de enlace y
tambin se consolidan las reglas de calidad de servicio. De esta forma, los usuarios de la red no deberan sufrir
problemas con su conexin a Internet. Una vez que Zentyal detecta que la puerta de enlace cada est
completamente operativa se restaura el comportamiento normal de balanceo de trfico, reglas multigateway y
calidad de servicio.
El failover est implementado como un evento de Zentyal. Para usarlo, primero se necesita tener el mdulo
Eventos habilitado, y posteriormente habilitar el evento WAN Failover.
WAN failover
Para configurar las opciones y pruebas del failover se debe acudir al men Red WAN Failover. Se puede
especificar el periodo del evento modificando el valor de la opcin Tiempo entre revisiones. Para aadir una regla
simplemente hay que pulsar la opcin Aadir nueva y aparecer un formulario con los siguientes campos:
Habilitado:
Indica si la regla va a ser aplicada o no durante la comprobacin de conectividad de los routers. Se pueden aadir
distintas reglas y habilitarlas o deshabilitarlas de acuerdo a las necesidades, sin tener que borrarlas y aadirlas de
nuevo.
Gateway:
Se selecciona la puerta de enlace de la lista de previamente configuradas.
Tipo de prueba:
Puede tomar uno de los siguientes valores:
Ping a puerta de enlace:
Enva un paquete de control desde el servidor Zentyal a su puerta de enlace y espera una respuesta de esta, de este
modo comprueba que existe conectividad entre ambas mquinas y que la puerta de enlace est activa. No
comprueba que la puerta de enlace tenga conexin con Internet.
Ping a mquina:
Como en el tipo anterior, esta prueba enva un paquete de control y espera una respuesta, solo que esta vez se enva
a una mquina externa a la red, por lo que ya no slo se comprueba que se puede conectar con la puerta de enlace,
si no que tambin se comprueba si esta tiene conexin con Internet.
Resolucin DNS:
Intenta obtener la direccin IP para el nombre de mquina especificado, lo que requiere que, como en el caso
anterior, exista conectividad entre el servidor y la puerta de enlace y de esta a Internet, pero adems, que los
servidores de DNS sigan siendo accesibles.
Peticin HTTP:
Esta prueba sera la ms completa, ya que intenta descargar el contenido del sitio web especificado, lo que requiere
que todos los requisitos de las pruebas anteriores se satisfagan.
Mquina:
El servidor que se va a usar como objetivo en la prueba. No es aplicable en caso de Ping a puerta de enlace.
Nmero de pruebas:
Nmero de veces que se repite la prueba.
Ratio de xito requerido:
Indica que proporcin de intentos satisfactorios es necesaria para considerar correcta la prueba.
Con la configuracin predeterminada, si alguna de estas reglas se activa, deshabilitando una puerta de enlace, el
evento queda registrado solamente en el fichero de registro /var/log/ebox/ebox.log. Si deseamos recibir
notificaciones por otras vas, podemos configurar un emisor de eventos para ello como se detalla en el captulo
Eventos y alertas o bien adquirir la Subscripcin Profesional de Zentyal [3] que incluye el envo automtico de
alertas.
Calidad de servicio
Configuracin de la calidad de servicio con Zentyal
Zentyal es capaz de realizar moldeado de trfico en el trfico que atraviesa el servidor, permitiendo aplicar una tasa
garantizada, limitada y una prioridad a determinados tipos de conexiones de datos a travs del men Moldeado de
trfico Reglas.
Para poder realizar moldeado de trfico es necesario disponer de al menos una interfaz interna y una interfaz
externa. Tambin debe existir al menos una puerta de enlace. Adems, desde Moldeado de trfico Tasas de
Interfaz debemos configurar las tasas de subida y bajada de las interfaces externas con el ancho de banda que
soporten las puertas de enlace conectadas a cada una de ellas. Las reglas de moldeado son especficas para cada
interfaz y pueden asignarse a las interfaces externas con ancho de banda asignado y a todas las interfaces internas.
Si se moldea la interfaz externa, entonces se estar limitando el trfico de salida de Zentyal hacia Internet. En
cambio, si se moldea la interfaz interna, entonces se estar limitando la salida de Zentyal hacia sus redes internas.
El lmite mximo de tasa de salida y entrada viene dado por la configuracin en Moldeado de trfico Tasas de
Interfaz. Como se puede esperar, no se puede moldear el trfico entrante en s, debido a que el trfico proveniente
de la red no es predecible y controlable de casi ninguna forma. Existen tcnicas especficas a diversos protocolos
para tratar de controlar el trfico entrante a Zentyal, como por ejemplo, TCP con el ajuste artificial del tamao de
ventana de flujo de la conexin TCP o controlando la tasa de confirmaciones (ACK) devueltas al emisor.
Para cada interfaz se pueden aadir reglas para dar Prioridad (0: mxima prioridad, 7: mnima prioridad), Tasa
garantizada o Tasa limitada. Esas reglas se aplicarn al trfico determinado por el Servicio, Origen y Destino de la
conexin.
Opcionalmente puede instalarse el componente Layer-7 Filter (Filtro de capa 7) que permite el moldeado de trfico
en base a un anlisis ms complejo de los paquetes centrado en identificar los protocolos de alto nivel por su
contenido y no solo por su puerto. Como veremos si lo instalamos, podremos utilizar este filtro seleccionando
Servicio basado en aplicacin o Grupo de servicios basados en aplicacin como Servicio.
Podemos editar los grupos de servicios o crear nuevos desde Moldeado de trfico Protocolos de aplicacin.
Las reglas que utilizan este tipo de filtrado son ms eficaces que las que simplemente comprueban el puerto, ya que
puede haber servidores sirviendo desde puertos no habituales que pasaran inadvertidos si no se analizara su
trfico. Por otro lado, y como es de esperar, este anlisis tambin suele conllevar una mucho mayor carga de
procesamiento en el servidor Zentyal.
Para configurar el servicio, accederemos a RADIUS en el men izquierdo. All podremos definir si Todos los
usuarios o slamente los usuarios que pertenecen a uno de los grupos existentes podrn acceder al servicio.
Todos los dispositivos NAS que vayan a enviar solicitudes de autenticacin a Zentyal deben ser especificados en
Clientes RADIUS. Para cada uno podemos definir:
Habilitado:
Indicando si el NAS est habilitado o no.
Cliente:
El nombre para este cliente, como podra ser el nombre de la mquina.
Direccin IP:
La direccin IP o el rango de direcciones IP desde las que se permite enviar peticiones al servidor RADIUS.
Contrasea compartida:
Contrasea para autenticar y cifrar las comunicaciones entre el servidor RADIUS y el NAS. Esta contrasea deber
ser conocida por ambas partes.
Proxy Transparente para forzar la poltica establecida o si por el contrario requerir configuracin manual. En este
ltimo caso, en Puerto estableceremos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado
es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones
provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del
navegador.
El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se
establece en Tamao de cach y corresponde a cada administrador decidir cul es el tamao ptimo teniendo en
cuenta las caractersticas del servidor y el trfico esperado.
Adems tambin estableceremos aqu la Poltica predeterminada para el acceso al contenido web HTTP a travs
del proxy. Esta poltica determina si se puede acceder o no a la web y si se aplica el filtro de contenidos. Puede
configurarse de las siguientes maneras:
Permitir todo:
Con esta poltica se permite a los usuarios navegar sin ningn tipo de restricciones pero todava disfrutando de las
ventajas de la cach, ahorro de trfico y mayor velocidad.
Denegar todo:
Esta poltica deniega totalmente el acceso a la web. Aunque a primera vista podra parecer poco til ya que el
mismo efecto se podra conseguir con una regla de cortafuegos, sin embargo podemos establecer posteriormente
polticas particulares para objetos, usuarios o grupos, pudiendo usar esta poltica para denegar en principio y luego
aceptar explcitamente en determinadas condiciones.
Filtrar:
Esta poltica permite a los usuarios navegar pero activa el filtrado de contenidos que puede denegar el acceso web
segn el contenido solicitado por los usuarios.
Autorizar y filtrar, permitir todo o denegar todo:
Estas polticas son versiones de las polticas anteriores que incluyen autorizacin. La autorizacin se explicar en
la seccin Configuracin Avanzada para el proxy HTTP.
Proxy HTTP
Es posible indicar que dominios no sern almacenados en cach. Por ejemplo, si tenemos servidores web locales no
se acelerar su acceso usando la cach y se desperdiciara memoria que podra ser usada por elementos de
servidores remotos. Si un dominio est exento de la cach, cuando se reciba una peticin con destino a dicho
dominio se ignorar la cach y se devolvern directamente los datos recibidos desde el servidor sin almacenarlos.
Estos dominios se definen en Excepciones a la cach.
Tras establecer la poltica global, podemos definir polticas particulares para Objetos de red en Proxy HTTP
Poltica de objetos. Podremos elegir cualquiera de las seis polticas para cada objeto; cuando se acceda al proxy
desde cualquier miembro del objeto esta poltica tendr preferencia sobre la poltica global. Una direccin de red
puede estar contenida en varios objetos distintos por lo que es posible ordenar los objetos para reflejar la prioridad.
Se aplicar la poltica del objeto de mayor prioridad que contenga la direccin de red. Adems existe la posibilidad
de definir un rango horario fuera del cual no se permitir acceso al objeto de red aunque esta opcin slo es
compatible con polticas de permitir o denegar y no con polticas de filtrado de contenidos.
Polticas de objeto
Perfiles de filtrado
El filtrado de contenidos de las pginas web se utiliza diferentes mtodos incluyendo filtrado heurstico, tipos
MIME, extensiones, listas blancas y listas negras entre otros. La conclusin final es determinar si una pgina o un
recurso web puede ser visitado o no.
El primer filtro que podemos configurar es el antivirus. Para poder utilizarlo debemos tener el mdulo de Antivirus
instalado y activado. Si est activado se bloquear el trfico HTTP en el que sean detectados virus.
El filtrado heurstico consiste principalmente en el anlisis de los textos presentes en las paginas web, si se
considera que el contenido no es apropiado (pornografa, racismo, violencia, etc) se bloquear el acceso a la
pgina. Para controlar este proceso se puede establecer un umbral ms o menos restrictivo, siendo este el valor que
se comparar con la puntuacin asignada a la pgina para decidir si se bloquea o no. El lugar donde establecer el
umbral es la seccin Umbral de filtrado de contenido. Se puede desactivar este filtro eligiendo el valor
Desactivado. Hay que tener en cuenta que con este anlisis se pueden llegar a bloquear pginas no deseadas, lo que
se conoce como un falso positivo. Este problema se puede remediar aadiendo los dominios de estas pginas a una
lista blanca, pero siempre existir el riesgo de un falso positivo con nuevas pginas.
Tambin tenemos a continuacin el Filtrado de extensiones de fichero, el Filtrado de tipos MIME y el Filtrado de
dominios.
Perfil de filtrado
Permitir siempre:
El acceso a los contenidos del dominio ser siempre permitido, todos los filtros son ignorados.
Denegar siempre:
El acceso nunca se permitir a los contenidos de este dominio.
Filtrar:
Se aplicarn las reglas usuales a este dominio. Resulta til si est activada la opcin Bloquear dominios no listados.
Filtrado de dominios
Podemos simplificar el trabajo del administrador usando listas clasificadas de dominios. Estas listas son
normalmente mantenidas por terceros y tienen la ventaja de que los dominios estn clasificados por categoras,
permitindonos seleccionar una poltica para una categora entera de dominios. Estas listas son distribuidas en
forma de archivo comprimido. Una vez descargado el archivo, podemos incorporarlo a nuestra configuracin y
establecer polticas para las distintas categoras de dominios. Las polticas que se pueden establecer en cada
categora son las mismas que se pueden asignar a dominios y se aplican a todos los dominios presentes en dicha
categora. Existe una poltica adicional Ignorar que, como su nombre indica, simplemente ignora la existencia de la
categora a la hora de filtrar. Dicha poltica es la elegida por defecto para todas las categoras.
Listado de categoras
Mediante las Actualizaciones Avanzadas de Seguridad de Zentyal [3] podemos instalar automticamente una base
de datos actualizada de categoras de dominios para disponer de las funcionalidades requeridas para una poltica de
filtrado de contenidos de nivel profesional.
Configuracin general
A travs de Correo General Opciones del servidor de correo Autenticacion podemos gestionar las opciones de
autenticacin. Estn disponibles las siguientes opciones:
TLS para el servidor SMTP:
Fuerza a los clientes a usar cifrado TLS, evitando la interceptacin del contenido por personas maliciosas.
Exigir la autenticacin:
Este parmetro activa el uso de autenticacin. Un usuario debe usar su direccin de correo y su contrasea para
identificarse; una vez autenticado podr retransmitir correo a travs del servidor. No se puede usar un alias de la cuenta de
correo para autenticarse.
En la seccin Correo General Opciones del servidor de correo Opciones se pueden configurar los parmetros
generales del servicio de correo:
pueden activarse los servicios para obtener correo de direcciones externas y ManageSieve, estos servicios se explicarn a
partir de la seccin Obtencin de correo desde cuentas externas.
Tambin se puede configurar Zentyal para que permita reenviar correo sin necesidad de autenticarse desde determinadas
direcciones de red. Para ello, se permite una poltica de reenvo con objetos de red de Zentyal a travs de Correo General
Poltica de retransmisin para objetos de red basndonos en la direccin IP del cliente de correo origen. Si se permite el
reenvo de correos desde dicho objeto, cualquier miembro de dicho objeto podr enviar correos a travs de Zentyal.
Advertencia
Hay que tener cuidado con usar una poltica de Open Relay, es decir, permitir reenviar correo desde cualquier lugar, ya que
con alta probabilidad nuestro servidor de correo se convertir en una fuente de spam.
Finalmente, se puede configurar el servidor de correo para que use algn filtro de contenidos para los mensajes [9]. Para
ello el servidor de filtrado debe recibir el correo en un puerto determinado y enviar el resultado a otro puerto donde el
servidor de correo estar escuchando la respuesta. A travs de Correo General Opciones de Filtrado de Correo se
puede seleccionar un filtro de correo personalizado o usar Zentyal como servidor de filtrado.
En la seccin Filtrado de correo electrnico se amplia este tema.
Para crear una cuenta de correo se debe tener un usuario creado y un dominio virtual de correo.
Desde Correo Dominio Virtual, se pueden crear tantos dominios virtuales como queramos que proveen de nombre de
dominio a las cuentas de correo de los usuarios de Zentyal. Adicionalmente, es posible crear alias de un dominio virtual de
tal manera que enviar un correo al dominio virtual o a su alias sea indiferente.
Para crear cuentas de correo lo haremos de manera anloga a la comparticin de ficheros, acudimos a Usuarios y Grupos
Usuarios Crear cuenta de correo. Es ah donde seleccionamos el dominio virtual principal del usuario. Si queremos
asignar al usuario a ms de una cuenta de correo lo podemos hacer a travs de los alias. Indiferentemente de si se ha usado
un alias o no, el correo sera almacenado una nica vez en el buzn del usuario. Sin embargo, no es posible usar un alias para
autenticarse, se debe usar siempre la cuenta real.
Hay que tener en cuenta que se puede decidir si se deseas que a un usuario se le cree automticamente una cuenta de
correo cuando se le da de alta. Este comportamiento puede ser configurado en Usuarios y Grupos -> Plantilla de Usuario
por defecto > Cuenta de correo.
De la misma manera, se pueden crear alias para grupos. Los mensajes recibidos por estos alias son enviados a todos los
usuarios del grupo con cuenta de correo. Los alias de grupo son creados a travs de Usuarios y Grupos Grupos Crear
un alias de cuenta de correo al grupo. Los alias de grupo estn slo disponibles cuando, al menos, un usuario del grupo
tiene cuenta de correo.
Finalmente, es posible definir alias hacia cuentas externas. El correo enviado a un alias ser retransmitido a la
correspondiente cuenta externa. Esta clase de alias se establecen por dominio virtual de correo, no requieren la existencia
de ninguna cuenta de correo y pueden establecerse en Correo Dominios Virtuales Alias a cuentas externas.
Gestin de cola
Desde Correo Gestin de cola podemos ver los correos que todava no han sido enviados con la informacin acerca del
mensaje. Las acciones que podemos realizar con estos mensajes son: eliminarlos, ver su contenido o volver a tratar de
enviarlos (reencolarlos). Tambin hay dos botones que permiten borrar o reencolar todos los mensajes en la cola.
Gestin de cola
debers activar en la seccin Correo General Opciones del servidor de correo Servicios de obtencin de correo.
Una vez activado, los usuarios tendrn sus mensajes de correo de sus cuentas externas recogido en el buzn de su cuenta
interna. Cada usuario puede configurar sus cuentas externas a travs del Rincn del Usuario [10]. Para ello debe tener una
cuenta de correo. Los servidores externos son consultados peridicamente, as que la obtencin del correo no es
instantnea.
Para configurar sus cuentas externas, un usuario debe entrar en el Rincn del Usuario y hacer clic en Recuperar correo de
cuentas externas en el men izquierdo. En la pagina se muestra la lista de cuentas de correo del usuario, el usuario puede
aadir, borrar y editar cuentas. Cada cuenta tiene los siguientes parmetros:
Cuenta externa:
El nombre de usuario o direccin de correo requerida para identificarse en el servicio externo de recuperacin de correo.
Contrasea:
Contrasea para autenticar la cuenta externa.
Servidor de correo:
Direccin del servidor de correo que hospeda la cuenta externa.
Protocolo:
Protocolo de recuperacin de correo usado por la cuenta externa; puede ser uno de los siguientes: POP3, POP3S, IMAP o
IMAPS.
Puerto:
Puerto usado para conectar al servidor de correo externo.
[10] La configuracin del rincn del usuario se explica en la seccin Rincn del Usuario.
Lenguaje Sieve y protocolo ManageSieve
El lenguaje Sieve [11] permite el control al usuario de cmo su correo es recibido, permitiendo, entre otras cosas,
clasificarlo en carpetas IMAP, reenviarlo o responderlo automticamente con un mensaje por ausencia prolongada (o
vacaciones).
ManageSieve es un protocolo de red que permite a los usuarios gestionar sus scripts Sieve. Para usarlo, es necesario que el
cliente de correo pueda entender dicho protocolo [12].
Para usar ManageSieve en Zentyal debes activar el servicio en Correo General Opciones de servidor de correo ->
Servicios de obtencin de correo y podr ser usado por todos los usuarios con cuenta de correo. Si ManageSieve est
activado y el mdulo de correo web [13] en uso, el interfaz de gestin para scripts Sieve estar disponible en el correo web.
La autenticacin en ManageSieve se hace con la cuenta de correo del usuario y su contrasea.
Los scripts de Sieve de una cuenta son ejecutados independientemente de si ManageSieve est activado o no.
Filtros Sieve
El correo web tambin incluye una interfaz para administrar filtros Sieve. Esta interfaz slo est disponible si el protocolo
ManageSieve est activo en el servicio de correo. Visita la seccin Lenguaje Sieve y protocolo ManageSieve para obtener
ms informacin.
Usuarios y Grupos est habilitado, ya que Jabber depende de l. Entonces marcaremos la casilla Jabber para habilitar el
mdulo de Zentyal de Jabber/XMPP.
Para configurar el servicio, accederemos a Jabber en el men izquierdo, definiendo los siguientes parmetros:
Dominio Jabber:
Especifica el nombre de dominio del servidor. Esto har que las cuentas de los usuarios sean de la forma usuario@dominio.
Soporte SSL:
Especifica si las comunicaciones (autenticacin y mensajes) con el servidor sern cifradas o en texto plano. Podemos
desactivarlo, hacer que sea obligatorio o dejarlo como opcional. Si lo dejamos como opcional ser en la configuracin del
cliente Jabber donde se especifique si se quiere usar SSL.
Conectarse a otros servidores:
Para que nuestros usuarios puedan contactar con usuarios de otros servidores externos. Si por el contrario queremos un
servidor privado, slo para nuestra red interna, deber dejarse desmarcada.
Activar MUC (Chat Multi Usuario):
Habilita las salas de conferencias (conversaciones para ms de dos usuarios).
Para crear cuentas de usuario de Jabber/XMPP iremos a Usuarios Aadir usuario si queremos crear una nueva cuenta o a
Usuarios Editar usuario si solamente queremos habilitar la cuenta de Jabber para un usuario ya existente.
Como se puede ver, aparecer una seccin llamada Cuenta Jabber donde podemos seleccionar si la cuenta est activada o
desactivada. Adems, podemos especificar si el usuario en cuestin tendr privilegios de administrador. Los privilegios de
administrador permiten ver los usuarios conectados al servidor, enviarles mensajes, configurar el mensaje mostrado al
conectarse (MOTD, Message Of The Day) y enviar un anuncio a todos los usuarios conectados (broadcast).
Como ya es habitual, en primer lugar deberemos habilitar el mdulo. Iremos a la seccin Estado del Mdulo del men de
Zentyal y seleccionaremos la casilla Voz IP. Si no tenemos habilitado el mdulo Usuarios y Grupos deber ser habilitado
previamente ya que depende de l.
A la configuracin general del servidor se accede a travs del men Voz IP General. Una vez all slo necesitamos
configurar los siguientes parmetros generales:
Habilitar extensiones demo:
Habilita las extensiones 400, 500 y 600. Si llamamos a la extensin 400 podremos escuchar la msica de espera. Llamando a
la 500 se realiza una llamada mediante el protocolo IAX a guest@pbx.digium.com. En la extensin 600 se dispone de una
prueba de eco para darnos una idea de la latencia en las llamadas. En definitiva estas extensiones nos permiten comprobar
que nuestro cliente esta correctamente configurado.
Cuando editemos un usuario, podremos habilitar o deshabilitar la cuenta de Voz IP de este usuario y cambiar su extensin.
Hay que tener en cuenta que una extensin slamente puede asignarse a un usuario y no a ms, si necesitas llamar a ms
de un usuario desde una extensin ser necesario utilizar colas.
Cuando editemos un grupo, podremos habilitar o deshabilitar la cola de este grupo. Una cola es una extensin donde al
recibir una llamada, se llama a todos los usuarios que pertenecen a este grupo.