Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Operativos
Avanzados
2
SISTEMAS OPERATIVOS AVANZADOS
Índice
Presentación 5
Red de contenidos 7
Unidad de Aprendizaje 1
NETWORKING LINUX, ARREGLOS DE DISCOS Y VOLÚMENES LÓGICOS 10
1.1 Tema 1 : Networking en Linux 11
1.1.1 : Configuración básica de los parámetros IP 11
1.1.2 : Configuración avanzada de IPv4 17
1.1.3 : Acoplamiento de las interfaces de red - Bonding 17
1.1.4 : Utilitarios de red: ping, netstat y traceroute 20
1.1.5 : Acceso remoto por SSH 21
:
1.2 Tema 2 : Arreglo de discos y Volúmenes Lógicos 25
1.2.1 : Niveles de RAID 26
1.2.2 : Configuración de arreglos de discos RAID 1 30
1.2.3 : Administración de volúmenes lógicos – LVM 39
Unidad de Aprendizaje 2
SERVICIOS DE INFRAESTRUCTURA DE RED 48
2.1 Tema 3 : Servidor de Nombres de Dominio 49
2.1.1 : Jerarquía del árbol DNS 49
2.1.2 : Zonas de Dominios y registros DNS 51
2.1.3 : Servidor DHCP 57
Unidad de Aprendizaje 3
SERVICIO DE MENSAJERÍA 79
3.1 Tema 6 : Servidor de Correo Electrónico 80
3.1.1 : Servicio de correo electrónico 80
3.1.2 : Componentes de un sistema genérico de correo electrónico 81
3.1.3 : Servicio de correo electrónico colaborativo Zimbra ZCS 82
Unidad de Aprendizaje 4
SERVICIO DE SEGURIDAD PERIMETRAL 98
4.1 Tema 6 : Servidor de Seguridad Perimetral 98
4.1.1 : Servicio de Seguridad Perimetral 99
4.1.2 : UTM 99
4.1.3 : Endian Firewall UTM 160
4.1.4 : Escenarios de implementación de Endian Firewall UTM 101
4.1.5 : Instalación de Endian Firewall UTM 104
4.1.6 : Configuración de Endian Firewall UTM 109
Presentación
Sistemas Operativos Avanzados es un curso que pertenece a la línea de sistemas
operativos y se dicta en la carrera de Redes y Comunicaciones. Brinda un conjunto de
conocimientos y herramientas que permite a los estudiantes implementar servicios de redes
que permitan cubrir las necesidades y expectativas de las empresas, considerando criterios
de alta disponibilidad, tolerancia a fallos y balanceo de carga.
Red de contenidos
Sistemas Operativos Avanzados
UNIDAD
1
CONFIGURACIÓN DE RED
IMPLEMENTACIÓN DE ARREGLOS
DE DISCOS Y VOLÚMENES
LÓGICOS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, los estudiantes realizaran la configuración de los parámetros
de red para un servidor en producción y también desplegara soluciones de alta
disponibilidad y tolerancia a fallos.
TEMARIO:
1.1 Tema 1 : Networking en Linux
1.1.1 : Configuración básica de los parámetros IP.
1.1.2 : Configuración avanzada de red – IP Alias
1.1.3 : Acoplamiento de interfaces de red – Bonding
1.1.4 : Utilitarios: ping, netstat, traceroute
1.1.5 : Acceso remoto con SSH
ACTIVIDADES PROPUESTAS
Configurar eficientemente los parámetros IP para un servidor en producción.
Establecer conexión remota administrativa al servidor Linux Centos.
Implementar arreglos de discos. RAID por software
Implementar volúmenes lógicos LVM.
En Centos, Fedora y Red Hat Enterprise Linux la detección de las tarjetas de red es
automática mientras se trate de dispositivos soportados. Para consultar la lista de
dispositivos compatibles, visite hardware.redhat.com.
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
NM_CONTROLLED=no
DOMAIN=cibertec.pe
Otra opción para prescindir del uso de NetworkManager, es desactivar por completo es
servicio, siendo que su uso sólo tiene sentido en una computadora portátil que se conecta a
múltiples redes inalámbricas o bien un sistema escritorio donde se quiere permitir al usuario
regular poder controlar los dispositivos de red. Para desactivar NetworkManager, ejecute la
siguiente línea de comandos:
La resolución de nombres local utiliza el archivo HOSTS, por lo tanto tiene que editar el
archivo /etc/hosts y agregar una entrada con el nombre de host y la dirección IP asociada:
El nombre de host debe ser un FQDN (Fully Qualified Domain Name o Nombre de Dominio
Plenamente Calificado) resuelto por un servidor de nombres de domino (DNS). Puede definir
esta configuración editando el archivo /etc/sysconfig/network y asignado el valor de la
variable HOSTNAME de la siguiente manera:
NETWORKING=yes
HOSTNAME=server.cibertec.pe
A partir de Centos 6 y Red Hat Enterprise Linux 6, la variable HOSTNAME puede ser
establecida en el archivo de configuración de cualquier dispositivo de red del sistema. A
continuación un ejemplo de la configuración:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
NM_CONTROLLED=no
DOMAIN=cibertec.pe
HOSTNAME=server.cibertec.pe
Para configurar la dire4ccion IP debe editar el archivo ifcfg-ethX, donde x=0, 1, 2, etc.
Recuerde el objetivo de cada uno de los parámetros al momento de asignar el valor
respectivo:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
HWADDR=42:77:FE:AA:CC:2B
NM_CONTROLLED=no
IPADDR=192.168.1.2
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
DOMAIN=cibertec.pe
DNS1=8.8.8.8
DNS2=8.8.4.4
En CentOS 5 y Red Hat Enterprise Linux 5 (y versiones anteriores), para configurar las
direcciones IP de los servidores DNS hay que editar el archivo /etc/resolv.conf:
search cibertec.pe
nameserver 8.8.8.8
nameserver 8.8.4.4
Para verificar la configuración de todas las interfaces de red utilizamos la siguiente línea de
comandos:
Si Ud. desea visualizar solo la configuración de una tarjeta de red, por ejemplo verificar la
configuración de la tarjeta de red eth0 puede utilizar la siguiente línea de comandos:
Pero si necesita visualizar el resumen de la configuración IPv4 de todas las interfaces de red
puede utilizar la siguiente línea de comandos:
Por último, hay que verificar la resolución de nombres DNS, y este procedimiento es muy
importante para que nuestro servidor tenga una configuración adecuada y poder
implementar cualquier otro servicio de red.
Para realizar las consultas DNS podemos utilizar dos comandos dig y nslookup con la
siguiente línea de comandos:
;; QUESTION SECTION:
;google.com. IN A
;; ANSWER SECTION:
google.com. 208 IN A 181.64.130.112
google.com. 208 IN A 181.64.130.90
google.com. 208 IN A 181.64.130.101
google.com. 208 IN A 181.64.130.88
google.com. 208 IN A 181.64.130.121
google.com. 208 IN A 181.64.130.84
google.com. 208 IN A 181.64.130.102
google.com. 208 IN A 181.64.130.106
google.com. 208 IN A 181.64.130.99
google.com. 208 IN A 181.64.130.95
google.com. 208 IN A 181.64.130.110
google.com. 208 IN A 181.64.130.113
google.com. 208 IN A 181.64.130.80
google.com. 208 IN A 181.64.130.91
google.com. 208 IN A 181.64.130.123
google.com. 208 IN A 181.64.130.117
> google.com
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: google.com
Address: 181.64.130.37
Name: google.com
Address: 181.64.130.27
Name: google.com
Address: 181.64.130.38
Debemos configurar interfaces virtuales que estarán referenciadas a una interface de red
física, es decir, podemos asignar más de una dirección IP a una tarjeta de red.
Para configurar una interface virtual (por ejemplo eth0:0) de manera no persistente debemos
escribir la siguiente línea de comandos:
DEVICE=eth0:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=172.16.1.5
NETMASK=255.255.255.0
Modo 0 (BALANCE-RR): Se emplea un algoritmo round robin entre la cola virtual y las
de los esclavos. Es algo así como un pequeño paquete para un esclavo y otro paquete
pequeño para el siguiente esclavo, etc. Es el algoritmo que se usa por defecto.
Modo 1 (ACTIVE BACKUP): Este modo no balancea la carga, usa sólo un esclavo y en
caso de fallar, usa el siguiente disponible.
Modo 2 (BALANCE-XOR): Emplea una fórmula para decidir por qué tarjeta de red sale:
(source-MAC xor dest-MAC).
Modo 3 (BROADCAST): Se transmite todo por todas las interfaces. Este método no
balancea tampoco, pero provee tolerancia a fallos.
Interface Bonding
eth1
bond0
eth0
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.1.2
NETMASK=255.255.255.0
USERCTL=no
(3) Por ultimo debemos editar las interfaces que forman parte del bonding (eth0 y eth1),
para esto hay que editar los archivos de configuración de cada interface:
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
USERCTL=no
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
MASTER=bond0
SLAVE=yes
USERCTL=no
1.1.4.1 PING
PING es una herramienta que permite comprobar si hay realmente conectividad. Puede
ejecutar ping hacia cualquier dirección de la red local o de internet con la siguiente línea de
comandos:
1.1.4.2 NETSTAT
Netstat es una herramienta utilizada para supervisar las conexiones de red, estadísticas de
interfaces y asignaturas de multidifusión. Se utiliza principalmente para encontrar problemas
en una red y para medir el tráfico de red como una forma de calcular el desempeño de ésta.
Para visualizar todas las conexiones activas en el sistema, tanto TCP como UDP, se utiliza la
opción – a:
1.1.4.3 TRACEROUTE
Traceroute es una herramienta que permite determinar el camino que siguen los paquetes
de red desde un equipo a otro y así determinar si existe algún problema en algún momento
entre ambos. Si tenemos un problema notable de velocidad, con Traceroute podemos
verificar en qué momento sucede el problema y así intentar encontrar la solución más
adecuada.
SSH (Secure Shell) es un protocolo de red que permite establecer una comunicación a
través de un canal seguro entre un cliente local y un servidor remoto. Utiliza una clave
pública cifrada para autenticar el servidor remoto y, opcionalmente, permitir al servidor
remoto autenticar al usuario.
SCP.(Secure Copy)
SCP es un protcolo seguro para transferir ficheros entre un equipo local y otro remoto,
a través de SSH. Básicamente, es idéntico a RCP (Remote Copy, o Copia Remota),
con la diferencia de que los datos son cifrados durante la transferencia para evitar la
extracción potencial de información a través de programas de captura de las tramas
de red. SCP solo implementa la transferencia de ficheros, pues la autenticación
requerida es realizada a través de SSH.
OpenSSH incluye servicio y clientes para los protocolos SSH, SFTP y SCP. Puede
descargarlo la última versión de la siguiente dirección: http://www.openssh.org/.
También puede utilizar la herramienta yum.
Port:
Para elevar el nivel de seguridad del servicio SSH debe cambiar el puerto por defecto
del servicio (22/TCP) por cualquier otro puerto por ejemplo:
Port 46699.
ListenAddress:
Por defecto el servicio SSH será atendido por todas las interfaces de red, es
recomendable especificar la dirección IP de la interface por donde debe atender el
servicio, por ejemplo:
ListenAddress 192.168.1.2
PermitRootLogin:
Establece si se va a permitir el acceso directo del usuario root al servidor SSH. Si se
va a permitir el acceso hacia el servidor desde redes públicas, resultará importante
utilizar este parámetro con el valor no, por ejemplo:
PermitRootLogin no
X11Forwarding:
Establece si se permite o no la ejecución remota de aplicaciones gráficas. Si se va a
acceder hacia el servidor desde red local, este parámetro puede quedarse con el valor
yes. Si se va a permitir el acceso hacia el servidor desde redes públicas, resultará
prudente utilizar este parámetro con el valor no.
X11Forwarding yes
AllowUsers:
Permite restringir el acceso por usuario y, opcionalmente, el equipo desde el cual
pueden hacerlo. El siguiente ejemplo restringe el acceso hacia el servidor SSH para
que solo puedan hacerlo los usuarios user1 y user2, desde cualquier equipo.
AllowUsers user1 user2
AllowUsers user1@192.168.1.100
(3) Ahora debe iniciar el servicio SSH, utilizando la siguiente línea de comandos:
(4) Si el servicio ya está levantado puede reiniciarlo para aplicar los cambios:
(1) Para acceder al servidor SSH desde un cliente Linux hacia el servidor por SSH, basta
con ejecutar desde el sistema cliente el comando ssh definiendo el usuario a utilizar y el
servidor al cual conectar:
[root@server ~]# ssh usuario@servidor
(2) Para acceder hacia un puerto en particular, se utiliza el parámetro -p. En el siguiente
ejemplo, utilizando la cuanta del usuario “user1”, se intentará acceder al servidor con
dirección IP 192.168.1.2, el cual tiene un servicio de SSH que responde peticiones a
través del puerto 46699.
RAID utiliza una técnica llamada “striping” para dividir la información antes de distribuirla en
bloques que son almacenados de forma organizada en los diferentes discos del “array”. Es
importante indicar que un sistema RAID puede ser interno o externo y su implementación
puede ser hecha a nivel de hardware o software. En este último caso le corresponde a la
BIOS del sistema operativo controlar el RAID cuyos discos podrán ser de tipo IDE, SATA o
SAS. En una implementación por hardware el controlador es independiente, cuenta con
capacidad de proceso propia y dispone de un interfaz SCSI o SATA para la conexión de los
discos que conforman el arreglo.
Un disco duro se caracteriza entre otros parámetros por su MTBF (Mean Time Between
Failure o tiempo medio entre fallos) cuya importancia no sólo radica en su valor sino
también en su significado. EL MTBF nos avisa que los discos pueden dejar de funcionar,
ocasionando pérdidas de datos o imposibilitando el acceso a la información por parte de los
usuarios. Además un sistema de almacenamiento basado en arquitectura RAID ofrece
cuatro ventajas principales:
Mayor fiabilidad que los discos individuales por tratarse de una arquitectura tolerante
a fallos con soporte de elementos redundantes.
Mayor rendimiento y tasa de transferencia de datos que los discos individuales como
resultado de las operaciones de lecturas/escritura simultáneas realizada sobre
múltiples disco en paralelo.
Mayor integridad. Ante un error en los datos almacenados en alguno de los discos
del arreglo (corrupción de datos, error de grabación, etc.), la información de paridad
generada por los sistemas RAID permitirá reconstruir los datos perdidos
manteniendo así la integridad de la información
RAID no protege los datos. Un sistema RAID no impedirá que los datos se vean
modificados o borrados como consecuencia de errores accidentales. Ni tampoco
podrá evitar que los datos se dañen o que sean destruidos por un agujero de
seguridad. Para evitar estos riesgos deberemos disponer de herramientas de
“backup o data recovery”.
RAID no hace que la recuperación ante desastres sea más simple. Las herramientas
de recuperación de datos deberán soportar los controladores RAID apropiados, de lo
contrario no podrán acceder a los datos almacenados en los discos afectados.
Generalmente los dispositivos NAS/SAN incluyen funcionalidades de “backups”,
como la replicación remota, que permite duplicar los arreglos entre unidades o en
ubicaciones remotas utilizando servicios en la nube.
Ventajas:
Permite el acceso a más de un disco a la vez, logrando una tasa de transferencia más
elevada.
Al no requerir espacio para almacenar información de redundancia, el coste por
megabyte resulta inferior.
Desventajas:
No se dispone de información de paridad.
Uso recomendado:
Ventajas:
Protección de la información en caso de fallos del disco y/o de la controladora (en caso
de tener instalada una controladora duplicada).
Ofrece tolerancia a fallos.
Desventajas:
Ineficiencia debido a las tareas de escritura en el disco espejo.
Se “desperdicia” el 50% de la capacidad de almacenamiento del sistema haciendo que
el coste por megabyte “útil” sea mayor.
Uso recomendado:
Para soluciones donde se necesite almacenar archivos importantes (contables,
registros financieros, personales, etc.) son comúnmente respaldadas con una
solución RAID 1.
Este array ofrece tolerancia al fallo, pero además, optimiza la capacidad del sistema
permitiendo una utilización de hasta el 80% de la capacidad del conjunto de discos.
Esto lo consigue mediante el cálculo de información de paridad y su almacenamiento
alternativo por bloques en todos los discos del conjunto. La información del usuario se
graba por bloques y de forma alternativa en todos ellos. De esta manera, si cualquiera de
las unidades de disco falla, se puede recuperar la información en tiempo real, sobre la
marcha, mediante una simple operación de lógica de O exclusivo, sin que el servidor deje
de funcionar.
Ventajas:
Proporciona un buen rendimiento con mínima pérdida de capacidad de
almacenamiento.
Aporta un nivel de redundancia suficiente para ser considerado tolerante a fallos.
Desventajas:
Menores prestaciones que en RAID 1. No ofrece solución al fallo simultáneo en dos
discos.
Cuando las aplicaciones requieren muchas escrituras de tamaño inferior a la división
de datos establecida (stripe), el rendimiento ofrecido por RAID 5 no es el óptimo.
Uso Recomendado:
En servidores de base de datos, correo electrónico, soluciones de virtualización y en
sistemas donde se necesite un rendimiento sea equilibrado con tolerancia a fallos.
Primero se crea un espejo RAID-1 y luego, sobre los anteriores, se establece un RAID-0. El
resultado es un “array” dotado de redundancia con una mejora de rendimiento al no precisar
escritura de paridad. Para que no se pierdan datos cada RAID-1 deberá mantener al menos
uno de sus discos sin fallos.
Ventajas:
RAID-10 ofrece los beneficios combinados de RAID 1 y 0 con el doble de capacidad
de RAID 1
La capacidad total es la mitad de la suma de los cuatro discos. Los cuatro discos del
“array” son controlados como una sola unidad más grande.
RAID-10 puede mantener una falla en el disco por cada “sub array” y ofrece el
rendimiento más rápido con redundancia.
Desventajas:
Mayor costo.
Escalabilidad limitada.
Uso recomendado:
Es una excelente solución para los profesionales de audio y video que requieren un
alto rendimiento, así como una alta tolerancia a fallos.
Nuestro servidor cuenta con dos discos duros de 500 GB Disk0 y Disk1. El primer disco es
reconocido por Linux Centos como /dev/sdb y el segundo disco como /dev/sdc. A
continuación se deben crear las respectivas particiones para unirlas de manera lógica en
una unidad RAID de Nivel 1, es decir, se implementa un arreglo de discos en espejo.
500 GB 500 GB
RAID-1: /dev/md0
500 GB
Importante: Antes de comenzar a configurar el arreglo de discos, agregue dos discos duros
a su servidor utilizando la opción Configuración de VirtualBox.
(1) Listamos los discos en nuestro servidor con la información de las particiones de cada
disco:
(2) Crear una partición en el disco /dev/sdb utilizando la herramienta fdisk. Escriba la
siguiente línea de comandos:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0xe339577c.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
(3) Ahora vamos a utilizar el comando “m” para visualizar las opciones de fdisk:
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0x79ed5909.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
Command action
a toggle a bootable flag
b edit bsd disklabel
c toggle the dos compatibility flag
d delete a partition
l list known partition types
m print this menu
n add a new partition
o create a new empty DOS partition table
p print the partition table
q quit without saving changes
s create a new empty Sun disklabel
t change a partition's system id
u change display/entry units
v verify the partition table
w write table to disk and exit
x extra functionality (experts only)
(4) Creamos una nueva partición utilizando la opción “n” y luego la definimos como partición
primaria con la opción “p”:
p
Partition number (1-4): 1
(5) Ahora cambiamos el System ID de la partición para que pueda formar parte del arreglo
RAID-1. Utilizamos la opción “t” y para listar todas las opciones hacemos uso de la
opción “L”. Finalmente escogemos la opción “fd” para cambiar el System ID a Linux
raid auto:
(6) Finalmente debemos mostrar la tabla de particiones del disco /dev/sdb para comprobar
la configuración realizada. Utilizamos la opción “p”:
(9) Listamos los discos y sus particiones utilizando la siguiente línea de comandos:
(10) Ahora que los discos están preparados para formar parte del RAID-1, procederemos a
crear el arreglo de discos con el comando mdadm de la siguiente manera:
# /etc/fstab
# Created by anaconda on Thu Sep 11 09:22:57 2014
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
tmpfs /dev/shm tmpfs defaults 00
sysfs /sys sysfs defaults 00
proc /proc proc defaults 00
/dev/md0 /mnt/raid1 ext4 defaults 00
(1) Antes de forzar el error en uno de los discos que conforman el RAID-1 debemos verificar
el estado de nuestro arreglo:
Personalities: [raid1]
md0: active raid1 sdc1[2] sdb1[0]
4190848 blocks super 1.2 [2/2] [UU]
(2) Nuestro RAID-1 está conformado por los discos /dev/sdb1 y /dev/sdc1. Vamos a
simular un fallo en el disco /dev/sdc1 utilizando la siguiente línea de comandos:
(3) Visualizamos el estado del arreglo y apreciamos que solo tenemos en funcionamiento
uno de los dos discos [2/1] [U_] que forman el RAID.
Personalities: [raid1]
md0: active raid1 sdc1[2](F) sdb1[0]
4190848 blocks super 1.2 [2/1] [U_]
(4) Ahora hay que remover el disco error /dev/sdc1 del arreglo RAID 1.
(5) Luego añadimos un nuevo disco /dev/sdd1 al arreglo que hemos implementado con la
finalidad de mantener nuestro sistema tolerante a fallos. Utilizamos la siguiente línea de
comandos:
Personalities: [raid1]
md0: active raid1 sdc1[2] sdb1[0]
4190848 blocks super 1.2 [2/2] [UU]
Capacidad flexible
Cuando se utilizan volúmenes lógicos, los sistemas de archivos pueden extenderse a lo
largo de varios discos, ya que se pueden agregar discos y particiones en un único
volumen lógico.
Volúmenes en espejos
Los volúmenes lógicos proporcionan una manera conveniente de configurar copias para
sus datos.
Antes de empezar a configurar los volúmenes lógicos debemos tener las particiones creadas
en los discos duros, en nuestro caso serán /dev/sdd1 y /dev/sde1.
También debe configurar el System ID de los discos con la opción “8e: Linux LVM”, para
poder implementar el volumen lógico. El procedimiento lógico debe seguir el siguiente orden
(2) Creamos los volúmenes físicos (PV) en cada uno de los discos. Utilizamos las siguientes
líneas de comandos:
(3) Si necesita analizar todos los dispositivos de bloque LVM soportado en el sistema de
volúmenes físicos, puede utilizar el siguiente comando: [
(5) Ahora creamos el grupo de volúmenes (VG) considerando los volúmenes físicos
anteriormente configurados, es decir, creamos el volumen de grupo LVM1 considerando
los volúmenes físicos /dev/sdd1 y /dev/sde1.
(7) Ahora configuramos los volúmenes lógicos (LV) tomando como referencia el espacio que
nos proporciona el grupo de volúmenes (VG) configurado en el paso anterior.
Opciones:
-L: Define el tamaño del volumen lógico. En este caso se define 1GB. espacio tomado
del grupo de volumen LVM1.
(8) Verificamos la configuración del volumen lógico (LV) para esto utilizamos la siguiente
línea de comandos:
[root@server ~]# df -h
(1) Una de las ventajas de implementar LVM es que podemos expandir o reducir el tamaño
del volumen. Vamos a expandir el tamaño de nuestro LV DATABASE de 1GB a 2GB,
Utilizamos la siguiente línea de comandos:
(3) Visualizamos el espacio de disco y observamos que el nuevo tamaño del dispositivo no
ha sido actualizado por el filesystem:
[root@server ~]# df -h
(5) Finalmente utilizamos el comando “df” para visualizar la información de los discos:
[root@server ~]# df -h
Resumen
Para configurar los parámetros IP de un servidor antes hay que conocer el diseño del
direccionamiento de la red donde se va a publicar el servicio. Luego debe editar el archivo
de configuración ifcfg-eth0 que se encuentra en el directorio /etc/sysconfig/network-
scripts. En ese mismo directorio guardamos los archivos de configuración de las
direcciones IP Secundarias conocidas también como IP Alias para tener la posibilidad de
asignar más de una dirección IP a una misma interface física.
Luego aprendió a configurar las conexiones remotas hacia y desde un servidor Linux
utilizando OPENSSH cuidando el puerto que apertura la aplicación, los usuarios y los
equipos desde donde se pueden conectar.
UNIDAD
2
SERVICIOS DE
INFRAESTRUCTURA DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, los estudiantes implementan servicios de infraestructura de
red.
TEMARIO:
2.1 Tema 3 : Servidor Nombres de Dominio
2.1.1 : Jerarquía de nombres de dominio.
2.1.2 : Zonas de dominio y registros DNS
2.1.3 : Servicio DHCP
ACTIVIDADES PROPUESTAS
Configurar los servicios de infraestructura DNS y DHCP.
Configurar el servicio de directorio OPENLDAP
Configurar el servicio de archivos SAMBA, además de integrar las plataformas
Windows y Linux en las redes mixtas.
DNS (Domain Name System) es el sistema de nombres de dominio que tiene como principal
objetivo la resolución de nombres de los recursos en las redes TCP/IP. Gracias el servicio
DNS los usuarios podemos acceder a los recursos en las redes utilizando nombres y no
números (direcciones IP). Si el servidor DNS no tiene ninguna entrada en su base de datos
para el host remoto, puede responder al cliente con la dirección de un servidor DNS que
pueda tener información acerca de ese host remoto, o bien puede consultar al otro servidor
DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba
las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a
ningún host del espacio de nombres DNS especificado.
Servidor DNS
El sistema DNS utiliza una base de datos distribuida y jerárquica para almacenar la
información necesaria para resolver los nombres de dominio. Gracias al servicio DNS los
usuarios utilizamos nombres y no números (direcciones IP) para acceder a los recursos de
la red.
Dominio Raíz
Subdominio
Host: www
Figura 10: Jerarquía del Sistema DNS
Fuente: Elaboración Propia
• Subdominio
Nombres adicionales que puede crear una organización que se derivan del nombre
de dominio de segundo nivel registrado. Estos incluyen los nombres agregados para
crecer el árbol DNS de nombres en una organización y se divide en departamentos o
ubicaciones geográficas.
Por ejemplo cibertec como institución educativa en el Perú reservo el nombre
cibertec.edu.pe
• Servidor DNS: Son los equipos que responden a las peticiones de los clientes DNS
consultando la base de datos propia o a otros servidores DNS.
• Clientes DNS: Son los equipos que envían peticiones de resolución de nombres s
los servidores DNS.
org
Organizaciones sin fines de lucro
• Consultas Recursivas
El Servidor DNS asume toda la carga de proporcionar una respuesta completa
para la consulta realizada por el Cliente DNS. El Servidor DNS desarrolla entonces
Consultas Iterativas separadas hacia otros Servidores DNS (en lugar de hacerlo el
Cliente DNS) para obtener la respuesta solicitada.
Un archivo de zona o zona DNS, es un archivo que contiene los datos para poder resolver
las peticiones de nombres asociadas al dominio en direcciones IP. Estos utilizan los
Registros de Recursos (RR) para cumplir con los procesos de resolución de nombres. Los
registros más utilizados son:
options {
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "cibertec.pe" IN {
type master;
file "cibertec.pe.zone";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.in-addr.arpa.zone";
allow-update { none; };
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
$TTL 1D
@ IN SOA mail.cibertec.pe. root.cibertec.pe. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS mail.cibertec.pe.
IN A 192.168.1.2
www IN A 192.168.1.2
mail IN A 192.168.1.2
mail2 IN A 192.168.1.3
cibertec.pe. IN MX 10 mail.cibertec.pe.
cibertec.pe. IN MX 20 mail2.cibertec.pe.
cibertec.pe. IN A 192.168.1.2
$TTL 1D
@ IN SOA mail.cibertec.pe. root.cibertec.pe. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS mail.cibertec.pe.
IN PTR cibertec.pe.
IN A 255.255.255.0
2 IN PTR www.cibertec.pe.
2 IN PTR mail.cibertec.pe.
3 IN PTR mail2.cibertec.pe.
[root@server named]# ls -l
Starting named: [ OK ]
(7) Para ejecutar el servicio “named” durante el proceso de arranque del servidor:
(8) Es importante verificar que el puerto 53/UDP se encuentra abierto, para esto utilizamos
el siguiente comando:
.
GATEWAY=192.168.1.1
DNS1=192.168.1.2
.
IP: 192.168.1.55/24
IP: 192.168.1.5/24
DHCP Discover
DHCP Offer
DHCP Request
a. Asignación manual: La asignación utiliza una tabla con direcciones MAC Sólo los
equipos con una dirección MAC definida en dicha tabla recibirán la dirección IP
definida en la configuración.
La empresa Laboratorios Roster S.A. cuenta con 20 servidores y 200 estaciones de trabajo.
Usted como integrante del equipo de Infraestructura y TI de la empresa debe configurar el
servidor DHCP en Linux Centos con la siguiente información:
Rango de direcciones IP
192.168.1.50
192.168.1.51
.
.
.192.168.1.250
Leasing DHCP
(2) Si tenemos varias tarjetas de red en el servidor, es recomendable que el servicio dhcpd
solamente funcione a través de la tarjeta de red conectada a la red LAN. Nunca debe
habilitar la opción en la tarjeta de red conectada a la red WAN. Para cubrir esta
ddns-update-style interim;
ignore client-updates;
authoritative;
default-lease-time 900;
max-lease-time 7200;
option ip-forwarding off;
option domain-name "cibertec.pe";
shared-network cibertec.pe {
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 192.168.1.2;
range 192.168.1.50 192.168.1.250;
}
}
(6) Para ejecutar el servicio “dhcpd” durante el proceso de arranque del servidor, utilizamos
la siguiente línea de comandos
(7) Si necesitamos fijar una dirección IP, por ejemplo la dirección 192.168.1.250 para que el
servidor DHCP la asigne siempre a un mismo equipo (asumiendo que es el equipo del
gerente general de la empresa) debemos obtener la dirección MAC Address y configurar
las siguientes líneas en el archivo /etc/dhcp/dhcpd.conf:
host pp_gg {
option host-name "pc_gg.cibertec.pe";
hardware ethernet 00:70:F4:65:B4:24;
fixed-address 192.168.1.250;
}
(1) Editar el archivo ifcfg-eth0 y cambiar el valor del parámetro BOOTPROTO a “dhcp”
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
IPADDR=192.168.1.2
NETMASK=255.255.255.0
USERCTL=no
(2) Reiniciar el servicio de red para solicitar al servidor DHCP la asignación de los
parámetros de red:
Como X.500, LDAP organiza la información en un modo jerárquico usando directorios. Estos
directorios pueden almacenar una gran variedad de información y se pueden incluso usar de
forma similar al Servicio de información de red (NIS), permitiendo que cualquiera pueda
acceder a su cuenta desde cualquier máquina en la red acreditada con LDAP.
Sin embargo, en la mayoría de los casos, LDAP se usa simplemente como un directorio
telefónico virtual, permitiendo a los usuarios acceder fácilmente la información de contacto
de otros usuarios. Pero LDAP va mucho más lejos que un directorio telefónico tradicional, ya
que es capaz de propagar su consulta a otros servidores LDAP por todo el mundo,
proporcionando un repositorio de información ad-hoc global. Sin embargo, en este momento
LDAP se usa más dentro de organizaciones individuales, como universidades,
departamentos del gobierno y compañías privadas.
LDAP es un sistema cliente/servidor. El servidor puede usar una variedad de bases de datos
para guardar un directorio, cada uno optimizado para operaciones de lectura rápidas y en
gran volumen. Cuando una aplicación cliente LDAP se conecta a un servidor LDAP puede, o
bien consultar un directorio, o intentar modificarlo. En el evento de una consulta, el servidor,
puede contestarla localmente o puede dirigir la consulta a un servidor LDAP que tenga la
respuesta. Si la aplicación cliente está intentando modificar información en un directorio
LDAP, el servidor verifica que el usuario tiene permiso para efectuar el cambio y después
añade o actualiza la información.
El primer paso para diseñar el DIT es definir el DN Base que es el nivel más alto en el árbol
de directorio, es decir, la base o raíz del directorio.
dc=cibertec, dc=pe
a) dc=example,dc=com
Raíz del directorio
b) ou=usuarios
Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y
Windows.
c) ou=grupos
Contenedor para almacenar Grupos de sistema para sistemas Unix y Windows.
d) ou=equipos
Contenedor para las cuentas de computadoras (Trusted Machine Accounts) para
sistemas Windows.
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
database bdb
suffix "dc=cibertec,dc=pe"
rootdn "cn=admin,dc=cibertec,dc=pe"
rootpw {SSHA}D4u9cTJ7ErP7YBSiPzPhl3lEKV/Vnrls
directory /var/lib/ldap
(7) Para ejecutar el servicio “ldap” durante el proceso de arranque del servidor, utilizamos la
siguiente línea de comandos
$NETINFOBRIDGE = (-x
"/usr/sbin/mkslapdconf"); if
($NETINFOBRIDGE) {
$NAMINGCONTEXT{'aliases'} = "cn=aliases";
$NAMINGCONTEXT{'fstab'} = "cn=mounts";
$NAMINGCONTEXT{'passwd'} = "cn=users";
$NAMINGCONTEXT{'netgroup_byuser'} = "cn=netgroup.byuser";
$NAMINGCONTEXT{'group'} = "cn=groups";
$NAMINGCONTEXT{'netgroup'} = "cn=netgroup";
$NAMINGCONTEXT{'hosts'} = "cn=machines";
$NAMINGCONTEXT{'networks'} = "cn=networks";
$NAMINGCONTEXT{'protocols'} = "cn=protocols";
$NAMINGCONTEXT{'rpc'} = "cn=rpcs";
$NAMINGCONTEXT{'services'} = "cn=services";
} else {
$NAMINGCONTEXT{'aliases'} = "ou=aliases";
$NAMINGCONTEXT{'fstab'} = "ou=mounts";
$NAMINGCONTEXT{'passwd'} = "ou=people";
$NAMINGCONTEXT{'netgroup_byuser'} = "nisMapName=netgroup.byuser";
$NAMINGCONTEXT{'netgroup_byhost'} = "nisMapName=netgroup.byhost";
$NAMINGCONTEXT{'group'} = "ou=group";
$NAMINGCONTEXT{'netgroup'} = "ou=netgroup";
$NAMINGCONTEXT{'hosts'} = "ou=hosts";
$NAMINGCONTEXT{'networks'} = "ou=networks";
$NAMINGCONTEXT{'protocols'} = "ou=protocols";
$NAMINGCONTEXT{'rpc'} = "ou=rpc";
$NAMINGCONTEXT{'services'} = "ou=services";
}
# Default base
$DEFAULT_BASE = "dc=cibertec, dc=pe";
Aunque LDAP permite trabajar con comandos y archivos ldif, para acceder al directorio
LDAP y poder crear y modificar elementos en dicho directorio, es más práctico utilizar un
explorador de directorios LDAP (LDAP browser). Existen muchos exploradores LDAP tanto
de pago como libres. Entre las aplicaciones libres destacamos gq, phpldapadmin (aplicación
web), LAM y JXplorer.
LAM es una interface gráfica para la gestión de las entradas (por ejemplo, usuarios, grupos,
configuración de DHCP) almacenada en un directorio LDAP. LAM fue diseñado para que la
gestión LDAP sea lo más fácil posible para el usuario. Se abstrae de los detalles técnicos de
LDAP y permite que las personas sin experiencia técnica en la gestión de entradas LDAP
puedan administrar el servicio de directorio. Si es necesario, los usuarios avanzados pueden
editar directamente las entradas LDAP a través del navegador LDAP integrado.
[root@server ~]# yum -y install httpd php-cli php-ldap php-gd php-mbstring mysql
php-pear
http://lam.sourceforge.net
memory_limit=128M
b) Si hay problemas con las libreiras pcre, debe descargarlas e instalarlas con la
siguiente línea de comandos:
(6) Una vez cargada la interface web de LAM vamos a la opción LAM Configuration:
Samba fue desarrollado originalmente para Unix por Andrew Tridgell utilizando un sniffer o
capturador de tráfico para entender el protocolo a través de la ingeniería inversa. El nombre
viene de insertar dos vocales al protocolo estándar que Microsoft usa para sus redes, el
SMB o server message block. En un principio, Samba tomó el nombre de smbserver pero
tuvieron que cambiarlo por problemas con una marca registrada. Tridgell buscó en el
diccionario de su máquina Unix alguna palabra que incluyera las letras “s”, “m” y “b” con la
orden grep hasta que dio con Samba.
Samba configura directorios Unix-Linux (incluyendo sus subdirectorios) como recursos para
compartir a través de la red. Para los usuarios de Microsoft Windows, estos recursos
aparecen como carpetas normales de red. Los usuarios de Linux pueden montar en sus
sistemas de archivos estás unidades de red como si fueran dispositivos locales, o utilizar la
orden smbclient para conectarse a ellas muy al estilo del cliente de la línea de órdenes ftp.
Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones
del sistema de archivos que se esté usando en Linux. Por ejemplo, las carpetas home
pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno
acceda a sus propios archivos; sin embargo, deberemos cambiar los permisos de los
archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de
escritura en el recurso no será suficiente.
Los componentes del servicio samba los podemos clasificar según el rol del equipo en la
red:
1) Samba Server
b) nmbd: Registra todos los nombres NetBIOS y responde a las consultas de nombres.
2) Samba Client
[global]
workgroup = CIBERTEC
netbios name = samba.cibertec
server string = Servidor Samba Cibertec
interfaces = lo eth0 192.168.1.3/24
local master = no
domain master = no
domain logons = no
security = user
(1) Crear el directorio que se va a compartir por samba y asignar los permisos:
[publico]
comment = Directorio Publico
path = /home/publico
public = yes
browseable = yes
writeable = yes
force group = users
directory mask = 0777
create mask = 0777
[root@server ~]# netstat -lntp (deben figurar los puertos 139 y 445)
[homes]
comment = Carpetas Home de Usuarios
valid users = %S
browseable = no
read only = no
[sistemas]
comment = Directorio Compartido para Grupo Sistemas
path = /home/sistemas
valid users = @sistemas
write list = @sistemas
force group = sistemas
browseable = yes
directory mask = 0770
create mask = 0770
[global]
2.3.2.5 Agregar equipos al dominio generado por el servicio samba (para cientes
windows 7/8)
(3) Ahora debemos realizar cambios en el registro del Windows 7 a unir en el dominio.
Navegaremos hasta la ruta:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LammanWorkstation
\Parameters
(4) Agregamos los siguientes valores DWORD, con el mismo nombre y valores:
DomainCompatibilityMode = 1
DNSNameResolutionRequired = 0
(5) Luego modificamos y verificamos que los siguientes valores DWORD del registro se
encuentren y tengan los valores indicados. Navegamos hasta la ruta:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
(3) En Seguridad de red: seguridad de sesión mínima para clientes NTML basados en SSP
y Seguridad de red: seguridad de sesión mínima para servidores NTML basados en
SSP, deshabilitar Requerir cifrado de 128-bit.
Resumen
Los servicios de infraestructura permiten que los usuarios en las redes puedan acceder a los
recursos utilizando nombres y no direcciones IP, porque resulta más simple y practico ya
que retener números sería más complejo.
También los equipos en las redes van a poder obtener la configuración de los parámetros IP
de manera automática a través del servicio DHCP, que permite de manera eficiente entregar
las direcciones IP de manera ordenada.
Implementar servicios de directorio con OpenLDAP permitirá integrar otros servicios de red
teniendo una única instancia de autenticación, Podemos integrar servicios de core,
seguridad, aplicaciones contra la base de autenticación LDAP sin necesidad de tener un
Directorio Activo de Microsoft implementado.
UNIDAD
3
SERVICIO DE MENSAJERÍA
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, los estudiantes implementan servicios colaborativos de
correo electrónico.
TEMARIO:
3.1 Tema 6 : Servidor de Correo Electrónico
3.1.1 : Servicio de correo electrónico.
3.1.2 : Componentes en un sistema genérico de correo electrónico
3.1.3 : Servidor de Correo Colaborativo ZImbra ZCS
ACTIVIDADES PROPUESTAS
Revisar los requisitos para implementar una solución de correo colaborativo
Configurar la solución de correo colaborativo Zimbra ZCS
El correo electrónico es la herramienta más antigua y a la vez más útil de Internet. Permite
enviar y recibir mensajes a cualquiera de los usuarios de Internet en el mundo. Dichos
mensajes consisten en la transferencia de información (texto, imágenes, sonido, etc.), es
decir ficheros electrónicos de diversos tipos, entre dos ordenadores.
Fue diseñado para que las personas intercambien mensajes utilizando ordenadores, como
en la vida cotidiana se intercambian cartas utilizando el servicio postal convencional. El
primer software de correo electrónico permitía sólo esa función básica: una persona en un
ordenador redactaba un mensaje que era enviado, a través de la red, a otra persona que
utilizara otro ordenador. Hoy en día las soluciones de correo electrónico son contienen
herramientas colaborativas que permiten que los usuarios puedan intercambiar listas de
contactos, ubicaciones, chat, software de ofimática, etc.
A pesar de su aparente sencillez, las prestaciones del correo electrónico son inmensas:
mandar un mismo mensaje a tantas personas como queramos, con independencia de que
vivan en los lugares más alejados del planeta, sin separarnos del ordenador, en cuestión de
segundos, con la posibilidad de añadir al mensaje archivos de textos, imágenes, programas
informáticos.
La estructura de un mensaje es simple: suele incluir varios campos como son el destinatario
(que pueden ser varios), el remitente, el asunto (que es el título del mensaje) y el texto. Éste
suele ser breve, saltándose gran parte de los convencionalismos del correo normal como
membretes, direcciones, fechas, etc. Al final, se puede incluir un archivo de firma con
nuestros datos. También se pueden adjuntar archivos de cualquier tipo (texto, imágenes,
sonidos, vídeo, programas, etc.)
Recuerde que existen unas normas de cortesía en el correo electrónico y que no está
permitido realizar cualquier tipo de abuso en el correo electrónico. Para reducir y minimizar
los efectos de los virus y del correo basura, el servicio de correo dispone de un antivirus y
una serie de reglas contra el SPAM.
SMTP / SMTPS
MTA MTA
MDA MDA
POPS / IMAPS
MUA MUA
El correo se envía desde el MUA hacia el MTA, para ello utiliza el protocolo SMTP y se
enruta de servidor MTA en servidor MTA hasta llegar al servidor MTA del destinatario,
empleando para la comunicación el protocolo SMTP. Una vez recibido el correo el MTA
destino recibe el correo siempre y cuando la cuenta de usuario exista en la base de datos
del servicio, caso contrario rechaza el correo electrónico,
Después el MTA de destino entrega el correo al agente de reparto de correo (MDA), el cuál
almacena el correo en el buzón del usuario.
El agente de correo MUA accede al buzón para leer el correo empleando protocolo los
protocolos POP (Post Office Protocol) o IMAP (Internet Message Access Protocol).
Zimbra ha sido desarrollado en Java, complementado con AJAX, del que se dispone el
código fuente completo (y binarios para distribuciones Red Hat Linux como Fedora y RHEL),
documentación, herramientas de migración (para Exchange, por ejemplo), entre otros.
Zimbra soporta acceso POP, acceso IMAP, entre otros; e incluye protección anti-spam y
antivirus.
El Servidor ZCS hace uso de proyectos Open Source existentes como ser: Postfix, MySQL,
OpenLDAP y Lucene. Expone una interface de programación de aplicaciones (API) SOAP
para toda su funcionalidad y actúa tanto como un servidor IMAP y POP3
ZCS es compatible con clientes propietarios tales como Microsoft Outlook, Novell Evolution y
Apple Mail. También provee soporte de sincronización nativo de dos vías para muchos
CARRERA DE REDES Y COMUNICACIONES CIBERTEC
83
SISTEMAS OPERATIVOS AVANZADOS
dispositivos móviles (Nokia E-Series, BlackBerry, Windows Mobile, etc). Las versiones ZCS
Enterprise se adquieren con licenciamiento por usuarios, renovables mensualmente o
anualmente. De acuerdo al valor de la renovación anual se puede acceder a 3 modalidades
de soporte.
Junto con ZCS es posible obtener Zimbra Desktop, desarrollado en AJAX, el cual ofrece
ricas experiencias visuales a la vez que permite trabajar con múltiple cuentas
POP/IMAP/SOAP y múltiples bandejas de entrada sin restricciones de espacio, ofrece total
compatibilidad con clientes como Microsoft Outlook, Apple Desktop Suite y Mozilla
Thunderbird.
ZCS aporta beneficios y prestaciones como:
1. A nivel de Administración:
Consola centralizada
Instalación en múltiples servidores
Gestión de colas de mensajes
Gestión de Antivirus/Spam
Gestión de cuentas, Clases de servicios, Políticas Enterprise
Reportes Avanzados
Estadísticas por servidores, como el tráfico de mensajería o la actividad
Spam/Antivirus
2. A nivel de Usuario
Mail
Libretas de direcciones
Calendario
Block de notas
Mensajería instantánea
Listas de tareas
Maletín de documentos
Búsquedas configurables
Antispam/Antivirus
Conjunto de preferencias
Zimbra Proxy instala la características de proxy POP e IMAP y para proxy reverso
de peticiones HTTP, esto es útil para un esquema de instalación en multiservidores.
HOSTNAME=mail.cibertec.pe
(3) Verificar la resolución DNS con dig. Probar la resolución directa (revisar la unidad 2
Servidor de Nombres de Dominio)
;; QUESTION SECTION:
;cibertec.pe. IN A
;; ANSWER SECTION:
cibertec.pe. 86400 IN A 192.168.1.5
;; AUTHORITY SECTION:
cibertec.pe. 86400 IN NS mail.cibertec.pe.
;; ADDITIONAL SECTION:
mail.cibertec.pe. 86400 IN A 192.168.1.5
(4) Probamos la resolución DNS inversa, asegurando que los registros de correo sean
resueltos por nuestro servidor DNS
;; QUESTION SECTION:
;5.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
5.1.168.192.in-addr.arpa. 86400 IN PTR mail.cibertec.pe.
5.1.168.192.in-addr.arpa. 86400 IN PTR www.cibertec.pe.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS mail.cibertec.pe.
;; ADDITIONAL SECTION:
mail.cibertec.pe. 86400 IN A 192.168.1.5
zimbra-ldap...NOT FOUND
zimbra-logger...NOT FOUND
zimbra-mta...NOT FOUND
zimbra-snmp...NOT FOUND
zimbra-store...NOT FOUND
zimbra-apache...NOT FOUND
zimbra-spell...NOT FOUND
zimbra-convertd...NOT FOUND
zimbra-memcached...NOT FOUND
zimbra-proxy...NOT FOUND
zimbra-archiving...NOT FOUND
zimbra-cluster...NOT FOUND
zimbra-core...NOT FOUND
Do you agree with the terms of the software license agreement? [N] Y
Found zimbra-logger
Found zimbra-mta
Found zimbra-snmp
Found zimbra-store
Found zimbra-apache
Found zimbra-spell
Found zimbra-memcached
Found zimbra-proxy
Installing:
zimbra-core
zimbra-ldap
zimbra-logger
zimbra-mta
zimbra-snmp
zimbra-store
zimbra-apache
zimbra-spell
Using packages for a platform in which they were not designed for
may result in an installation that is NOT usable. Your support
options may be limited if you choose to continue.
Cleaning up /etc/ld.so.conf...done.
Cleaning up /etc/prelink.conf...done.
Cleaning up /etc/security/limits.conf...done.
Installing packages
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
8) Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit
1) Hostname: mail.dominio2.com
2) Ldap master host: mail.dominio2.com
3) Ldap port: 389
4) Ldap Admin password: set
5) Secure interprocess communications: yes
6) TimeZone: America/Los_Angeles
Ldap configuration
1) Status: Enabled
2) Create Domain: yes
3) Domain to create: dominio2.com
4) Ldap root password: set
5) Ldap replication password: set
6) Ldap postfix password: set
7) Ldap amavis password: set
8) Ldap nginx password: set
Store configuration
1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@cibertec.pe
** 4) Admin Password UNSET
5) Enable automated spam training: yes
6) Spam training user: spam.zhfuz2pki@cibertec.pe
7) Non-spam(Ham) training user: ham.jmf6v3silv@cibertec.pe
8) Global Documents Account: wiki@cibertec.pe
9) SMTP host: mail. cibertec.pe
10) Web server HTTP port: 80
11) Web server HTTPS port: 443
12) Web server mode: http
13) IMAP server port: 143
14) IMAP server SSL port: 993
15) POP server port: 110
16) POP server SSL port: 995
17) Use spell check server: yes
18) Spell server URL: http://mail.cibertec.pe:7780/aspell.php
19) Configure for use with mail proxy: FALSE
20) Configure for use with web proxy: FALSE
21) Enable version update checks: TRUE
22) Enable version update notifications: TRUE
23) Version update notification email: admin@cibertec.pe
24) Version update source email: admin@ cibertec.pe
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-store: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-logger: Enabled
7) zimbra-spell: Enabled
8) Default Class of Service Configuration:
r) Start servers after configuration yes
s) Save config to file
x) Expand menu
q) Quit
bare...done.
hotrod...done.
yahoo...done.
lavender...done.
oasis...done.
beach...done.
sand...done.
pebble...done.
com_zimbra_phone...done.
com_zimbra_dnd...done.
com_zimbra_bulkprovision...done.
Finished installing common zimlets.
Initializing Documents...done.
Restarting mailboxd...done.
Setting up zimbra crontab...done.
https://mail.cibertec.pe:7071
Para acceder al web client de Zimbra escribimos en la barra de direcciones del navegador:
https://mail.cibertec.pe
Resumen
El servicio de correo electrónico realiza una serie de procesos con la finalidad de transportar
los correos entre los distintos usuarios. Desde que el usuario emisor redacta el correo
interviene el agente MUA, quien luego pasa el correo al MTA. Este se pone en contacto con
el MTA del destinatario quien recibe el correo para luego pasarlo al agente MDA quien se
hace cargo de depositarlo en el buzón del usuario destino.
Los servicios de correo electrónico colaborativo permiten además utilizar aplicaciones como
chat, calendario, maletín, etc. Para que los usuarios puedan tener servicios agregados como
parte de la solución de correo. Zimbra Collaboration Suite es una solución de correo
colaborativo Open Source que permite implementar soluciones de correo en las empresas
con un alto valor de servicios integrados.
UNIDAD
4
SERVICIO DE SEGURIDAD
PERIMETRAL
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al término de la unidad, los estudiantes implementan un sistema de seguridad
perimetral con administración unificada que incluye servicios de Firewall, Proxy, IPS,
VPN y Antivirus
TEMARIO:
4.1 Tema 7 : Servidor de Seguridad Perimetral
4.1.1 : Seguridad Perimetral.
4.1.2 : UTM
4.1.3 : Endian Firewall UTM
4.1.4 : Escenarios de implementación de Endian Firewall UTM
4.1.5 : Instalación de Endian Firewall UTM
4.1.6 : Configuración de Endian Firewall UTM
ACTIVIDADES PROPUESTAS
Implementación de escenarios de seguridad con Endian Firewall UTM
La seguridad al cien por ciento no existe pero es el reto de los profesionales de seguridad
informática implementar los mecanismos necesarios para impedir los accesos no
autorizados a la información corporativa. La planificación de la seguridad en el diseño de la
red es decisiva para poder mitigar los riesgos. Algunos puntos que debemos tomar en
cuenta en el proceso de planificación son:
Controlar los accesos no autorizados.
Daño intencionado y no intencionado.
Uso indebido de información (robo de información).
Hoy en día las organizaciones tienen la posibilidad de unificar los servicios de seguridad en
una única solución, es decir, antes tenían que implementar independientemente una de otra
los servicios de firewall, IDS, PROXY, VPN. Ahora todos los servicios de seguridad se
pueden implementar en una solución llamada UTM (Unified Threat Management).
Estos sistemas inspeccionan cada paquete (información) que va o viene de Internet (u otra
red externa / interna) a nivel de capa de aplicación, y éste puede trabajar de dos modos:
Modo proxy:
Hacen uso del proxy para procesar y redirigir todo el tráfico interno. El firewall UTM
hace de cliente y de servidor, y es el intermediario indirecto de las comunicaciones
desde y hacia el internet o quizás otras redes remotas.
Modo Transparente:
No redirigen ningún paquete que pase por la línea, simplemente lo procesan y son
capaces de analizar en tiempo real los paquetes. Este modo requiere de unas altas
prestaciones hardware pero es la mejor alternativa de UTM.
Endian Firewall es una “llave en mano” de distribución de seguridad para Linux que
convierte a todo el sistema en un dispositivo de seguridad con todas las funciones y con
gestión unificada de amenazas (UTM) El software ha sido firmado pensando en el usuario
ya que es muy fácil de instalar, utilizar y gestionar, sin perder su flexibilidad.
Endian Firewall UTM mantiene los correos protegidos de virus y spam, asegura cualquier
servidor o cliente de correos, gracias a proxies transparentes. Cualquier servidor de correos,
como Microsoft Exchange o clientes como Outlook o Mozilla Thunderbird automáticamente
serán protegidos y filtrados por Endian Firewall antivirus y antispam, no hay necesidad de
modificar configuraciones de su servidor o cliente de correos.
Esta es una red estándar con requerimientos de alta disponibilidad de Internet. Se puede
configurar Endian para conectarse a múltiples proveedores de servicios de Internet (ISP) y
enviar cierto tráfico saliente a través de un proveedor específico y proporcionar redundancia
si un proveedor se cae.
Si alguno de los empleados está mucho tiempo fuera de la oficina y necesita acceder a
recursos internos, entonces este es una configuración común. Configure una laptop
con las credenciales requeridas para autenticarse contra el firewall e independientemente
de donde se encuentre, y que cuenten con una conexión a Internet, este sentirá que está
conectado directamente a su red local. Outlook, unidades de almacenamiento, software
CRM y acceso a la Intranet son solo algunas de las cosas que ellos podrán tener
disponibles.
Endian permite la interconexión de las oficinas principales con las sucursales de manera que
los usuarios de ambas oficinas pueden acceder a los recursos sin reglas de firewall ni
puertos extraños. O podemos manejar un servidor DNS para ambas oficinas, reduciendo los
tiempos de mantenimiento, en realidad tenemos diversas opciones de configuración según
la naturaleza de los negocios.
Endian Firewall es un sistema todo en uno que integra lo mejor del software “open-source”
entre ellos mencionaremos a:
(1) Descargar Endian Firewall UTM desde la página oficial: http://www.endian.com, opción
Community/Download
(4) Ahora hay que escoger el idioma para el proceso de instalación. Endian Firewall puede ser
instalado en los siguientes idiomas: alemán, inglés e italiano. Escogemos el idioma inglés y
vamos a la opción OK.
(5) Estamos casi listos para iniciar el proceso de instalación de los paquetes que trae Endian
Firewall:
(6) Nos envía una advertencia que toda la información de nuestro disco duro será eliminada.
Utilizamos la opción OK para continuar el proceso de instalación.
(7) Finalmente nos avisa si queremos habilitar el puerto de consola. Le decimos que NO y
vamos a la opción OK.
(10) El último paso es asignar una dirección IP, que será la dirección administrativa inicial
que utilizaremos para configurar Endian Firewall
(11) Reiniciamos el servidor y cargara la siguiente pantalla, luego debemos conectarnos por
HTTPS utilizando un navegador web para configurar el servidor de seguridad.
(1) Para empezar a configurar Endian Firewall, utilizamos un navegador web y en la barra
de direcciones ingresamos: https://192.168.1.100:10443 (esta dirección IP
especificamos en la última parte del proceso de instalación)
(2) Utilizamos el botón SIGUIENTE para escoger el idioma (ingles) del Endian
Firewall y la zona horaria (América/Lima) que utilizara nuestro servidor
(4) Luego nos pregunta si vamos a restaurar una copia de seguridad (backup), utilizamos la
opción NO, porque es nuestra primera instalación
(6) Luego nos muestra las interfaces de red reconocidas (en nuestro servidor tenemos dos
tarjetas de red) y seleccionamos la interface RED que será la que se conecte a la red
pública a través de nuestro router.
(7) Ahora nos muestra información para las interfaces ORANGE (DMZ) y BLUE (wifi), pero
solo tenemos dos tarjetas de red, por lo tanto presionamos el botón SIGUIENTE
(8) Luego tenemos que configurar la interface GREEN (LAN) que va conectada a nuestra
red corporativa o privada.
(9) Configuramos los parametros para interface GREEN que es la que esta conectada hacia
nuestra red LAN
(10) Asignamos las direcciones IP de los servidores DNS publicos de nuestro Proveedor de
Servicio de Internet o podemos utilizar las direcciones de los servidores DNS del
proyecto OPENDNS
(11) Podemos registrar la direccion de correo electronico para que nos lleguen las
notificaciones del servidor Endian Firewall
En la topología vemos que el servidor Endian Firewall UTM está en el perímetro de la red
LAN (172.16.1.0/24) y de la red WAN (200.31.116.16/28). Vamos a configurar las reglas de
firewall para permitir el acceso desde internet a los servidores corporativos (Web y Correo
Electrónico).
GREEN: RED:
172.16.1.1/24 200.31.116.18
Endian
Web Server Firewall UTM
172.16.1.3/24
pc_01 pc_02
172.16.1.50/24 172.16.1.50/24
Zimbra Server
172.16.1.4/24 Usuario VPN
(1) Ingresamos a nuestro servidor Endian Firewall utilizando un navegador web y en la barra
de direcciones escribimos: http://172.16.1.1
(2) De igual forma procedemos con la apertura para servidor de correo. Configuramos el
servicio SMTP que utiliza el puerto 25/TCP y hacemos un NAT a la dirección IP Privada
172.16.1.4/24.
(3) Configuramos el acceso para que el Usuario VPN “rcueva” pueda acceder de manera
segura a la red corporativa, además de utilizar los recursos como impresoras, teléfonos
IP, cámaras IP, etc. Primero configuramos el servicio VPN
a. Habilitamos el servicio VPN.
b. Establecer el rango de direcciones que se va a entregar a los clientes VPN
(172.16.1.220 – 172.16.1.254)
c. Inmediatamente se crea el Certificado Digital para configurar los clientes VPN.
Resumen
La seguridad perimetral es una de las capas más importante para mantener segura la
información y además para prevenir el acceso externo no autorizado a la infraestructura
privada de nuestras redes.