Monografia BeatrizQuisbert DanielChipana FINAL

DIPLOMADO EN SOFTWARE LIBRE Y
ESTÁNDARES ABIERTOS GNU/LINUX V.25
IMPLEMENTACIÓN DE CORREO INSTITUCIONAL

BASADO EN SOFTWARE LIBRE CON SOPORTE DE
CERTIFICADOS SSL LET'S ENCRYPT PARA LA
NUEVA PLATAFORMA DE COMIBOL
Beatriz Quisbert Calle

Daniel Chipana Chambi
La Paz - 2021
Nosotros, Beatriz Quisbert Calle y Daniel Chipana Chambi
declaramos que el contenido de este documento es reflejo del trabajo
personal de quienes suscribio y manifestamos que los datos son originales
y tenemos autorización para difundirlos y que ante cualquier notificación
de plagio, copia o falta a la fuente original total o parcial, como asimismo
en caso de recibirse acusaciones legales derivados de su contenido y/o de
los datos presentados, somos responsables directo administrativo,
económico y legal, sin afectar a la Escuela de Gestión Publica
Plurinacional o al facilitador que apoyo este trabajo, a otras entidades
que hayan colaborado en este trabajo o entidades que hayan financiado
este programa o nos hayan concedido ayudas para realizar nuestros
estudios.
DEDICATORIA
CON TODO AFECTO A FRANCO Y THIAGO.

Índice
CAPITULO I. INTRODUCCIÓN…………………………………………………………. 1
1.1 Antecedentes y justificación del tema………………………………………….1
1.2 Situación problemática…………………………………………………………1
1.3 Formulación o planteamiento del problema……………………………………2
1.4 Objetivos……………………………………………………………………….2
1.4.1 El objetivo general………………………………………………………..2
1.4.2 Los objetivos específicos……………………………………………..…..2
CAPITULO II. MARCO TEÓRICO……………………………………………………….3
2.1 Preámbulo………………………………………………………………… ….3
2.2 Definiciones de software libre……………………………………………… 4
2.3 Definiciones de servidor de correo electrónico………………………………. 6
2.3.1 Servidor………………………………………………………………… 5
2.3.2 Servidor DNS…………………………………………………………….. 7
2.3.3 Servidor Web…………………………………………………………….. 8
2.3.3.1 Servidor Web Apache………………………………………………. 7
2.3.4 Servidor de correo Postfix……………………………………………….. 9
2.3.5 Servidor de correo Dovecot……………………………………………….9
2.3.6 Rainloop………………………………………………………………... 9
2.3.7 Let’s Encrypt……………………………………………………………. 9
2.3.7.1 Validación del dominio……………………………………………. 10
2.3.7.2 Emisión y revocación de certificado………………………………. 12
CAPÍTULO III. PROPUESTA………………………………………………………….. 14
3.1 Propuesta de implementación………………………………………………. 14
3.2 Identificación de los servicios a implementar………………………………..15
3.2.1 Servidor de correo Webmail………………………………………….15
3.2.2 Instalación de certificados SSL Let’s Encrypt………………………. 16
3.3 Análisis de riesgo en la implementación……………………………………..17
3.4 Estrategia a seguir para la adopción de las nuevas tecnologías…………… 18
3.5 Costos de la migración o implementación………………………………….. 19
3.6 Cronograma de implementación……………………………………………. 19
CONCLUSIONES Y RECOMENDACIONES…………………………………………….. 20
BIBLIOGRAFÍA……………………………………………………………………… 22
ANEXOS TÉCNICOS………………………………………………………………….. 23
Índice de Tablas
Tabla 1. Tabla de análisis de riesgo……………………………………………….. 17

Tabla 2. Mitigación de riesgos encontrados……………………………………….. 17
Tabla 3. Cronograma de la implementación……………………………………….. 19
Índice de Figuras
Figura 1.- Interacción del certificado Let’s Encrypt con el Software Administrador
del Servidor Web……………………………………………………………………10
Figura 2.- Autorización de Let’s Encrypt…………………………………………...11
Figura 3.- Certificación Let’s Encrypt………………………………………………12
Figura 4.- Certificado revocado Let’s Encrypt……………………………………...13
Figura 5.- Infraestructura planteada………………………………………………….14
Figura 6.- DNS Maestro configuración de named.config.local……………………. 23
Figura 7.- Verificación de las modificaciones…...………………………………… 23
Figura 8.- Edición del archivo comibol.zone………………………………………. 24
Figura 9.- Verificamos del archivo comibol.zone…………………………………... 24
Figura 10.- Configuración de resolv.conf en el Servidor Maestro …………………. 24
Figura 11.- Reinicia el servicio networking…..……………………………………. 25
Figura 12.- Agrega la configuración del servidor esclavo al servidor maestro……... 25
Figura 13.- Reinicia el servicio en var/cache/bind………………………………….. 25
Figura 14.- Verificar la configuración de bind9…………………………………….. 26
Figura 15.- Verificar host -t ns comibol.gob.bo…………………………………….. 26
Figura 16.- Configuracion del DNS para el servidor de correo……………………. 26
Figura 17.- Instalación de Bind9……………………………………………………. 27
Figura 18.- Configuración del servidor DNS var/cache/bind/named.conf.local……. 27
Figura 19.- Host -t ns comibol.gob.bo………………………………………………. 28
Figura 20.- Instalación del servicio dnsutils en el esclavo………………………….. 28
Figura 21.- Configurar en etc/bind/named.conf.local………………………………..29
Figura 22.- Verificamos la configuración……………………………………………29
Figura 23.- Restablecemos el servicio de bind9…………………………………….. 29
Figura 24.- Verificación de Puertos………………………………………………….30
Figura 25.- Verificación dig @192.168.122.62 ns comibol.gob.bo………………… 30
Figura 26.- Actualización de repositorios debian update…………………………… 31
Figura 27.- Actualización de repositorios debian upgrade…………………………. 31
Figura 28.- instalar curl net-tools bash-completion wget lsof nan……………….. 32
Figura 29.- Configuración de etc/host.conf…………………………………………. 32
Figura 30.- Definición del hostname……………………………………………….. 33
Figura 31.- Creación del enlace a la carpeta etc/host………………………………. 33
Figura 32.- Verificación la configuración hostname……………………………….. 33
Figura 33.- Configuración del hostname…………………………………………… 34
Figura 34.- Verificación con dig del Dominio………………………………………34
Figura 35.- Instalación de Postfix en debian 10……………………………………. 35
Figura 36.- Configuración de Postfix en debian 10………………………………… 35
Figura 37.- Configuración de Postfix administrador……………………………….. 36
Figura 38.- Configuración de Postfix dominios……………………………………. 37
Figura 39.- Configuración de Postfix en debian 10…………………………………. 37
Figura 40.- Configuración de IP’s de Postfix en debian 10………………………….38
Figura 41.- Configuración de protocolos Postfix en debian 10 …………………….. 38
Figura 42.- Configuración de limite de buzón de correo Postfix…………….……...39
Figura 43.- Copia de seguridad del archivo main.cf…………………………………39
Figura 44.- Configuración del archivo main.cf……………………………………... 40
Figura 45.- Reinicio el servicio postfix……………………………………………... 41
Figura 46.- Instalación apt-get install dovecot-core dovecot-imapd………………. ..41
Figura 47.- Editar el archivo /etc/dovecot/dovecot.conf……………………………. 42
Figura 48.- Modificar el archivo /etc/dovecot/dovecot.conf………………………... 42
Figura 49.- Editar y modificar el archivo /etc/dovecot/dovecot.conf………………. 43
Figura 50.- Editar el archivo /etc/dovecot/conf.d/10-mail.conf……………………..43
Figura 51.- Modificar el archivo /etc/dovecot/conf.d/10-mail.conf……………….. 44
Figura 52.- Editar el archivo /etc/dovecot/conf.d/10-mail.conf ……………………. 45

Figura 53.- Creación de cuentas de usuarios en Maildir…………………………… 45
Figura 54.- Creación de cuenta beatriz……………………………………………… 46
Figura 55.- Instalar y configurar el Webmail e Instalar apache2…………………… 46
Figura 56.- Instalación de php 7.4 ………………………………………………….. 47
Figura 57.- creación de la carpeta Webmail………………………………………… 47
Figura 58 .- Verificación del enlace de correo electrónico…………………………. 48
Figura 59.- Configuración de correo electrónico…………………………………… 48
Figura 60.- Prueba envío de correo ………………………………………………… 49
Figura 61.- Verificación de envío de correo ……………………………………….. 49
Figura 62.- Verificación del dominio mail.comibol.gob.bo………………………… 50
Figura 63.- Pagina Principal de let’s Encrypt……………………………………… 51
Figura 64.- Instalación de Snapd……………………………………………………. 51
Figura 65.- $sudo snap install --classic certbot…………………………………… 52
Figura 66.- Instalación de snap y el certbot………………………………………… 52
Figura 67.- Creamos el link de acceso de certbot…………………………………. 53
Figura 68.- sudo certbot –apache…………………………………………………… 53
RESUMEN
El correo institucional es y fue siempre una herramienta de uso común en las

instituciones publicas, para la comunicación y para que la información enviada por
los funcionarios de la institución no sea informal al momento de comunicarse por
medio de un correo electrónico. El servidor de correo debe brindar seguridad al
usuario final, misma que brinda en la actualidad los certificados SSL que ahora son
necesarios y que en estos últimos tiempos sera no solo opcional sino obligatorio. Por
lo tanto el presente tema de investigación esta relacionado a la implementación de
una nueva plataforma para el correo institucional de la Corporación Minera de
Bolivia (COMIBOL), la implementacion de certificado SSL Let’s Encrypt y sus
configuraciones pertinentes.
CAPITULO I. INTRODUCCIÓN
El presente CAPÍTULO describe puntos importantes tales como: los

antecedentes con la justificación del tema, problemas y objetivos
planteados del presente tema de investigación.
1.1 ANTECEDENTES Y JUSTIFICACIÓN DEL TEMA
La aplicación de un correo seguro y un certificado SLL como las

herramientas de software libre, permitirán a la vez actualizarse en
las herramientas tecnológicas que van mejorando en el transcurso
de los años, así también adecuándonos a los Decretos Supremos
tales como el Reglamento para el Desarrollo de Tecnologías de
Información y Comunicación.
1.2 SITUACIÓN PROBLEMÁTICA
Dentro de la institución no se dispone de un servidor de correo

electrónico implementado con software libre y tampoco se dispone
de un certificado SSL (Un certificado SSL es una tecnología que,
sin lugar a dudas, brinda una gran solución de seguridad en línea y
garantiza a los clientes que AL sitio que están accediendo es seguro,
ya sea para realizar una simple visita, gestionar compras dentro de
tu eCommerce o iniciar una sesión si se trata de una aplicación),
seguro se observa a la vez los siguientes problemas:
 La conexión es vulnerable debido a la falta de una

certificación SSL.
 Las computadoras pueden obtener un virus o software
malicioso, debido a la falta de un correo institucional sin una
certificación SSL.
1
 La falta de un correo institucional, seguro.
 La falta de implementación de herramientas de software libre.
 Falta de presupuesto para la compra y/o adquisición de
herramientas privativas.
1.3 FORMULACIÓN O PLANTEAMIENTO DEL PROBLEMA
¿De qué manera la implementación de una solución de correo con

Software Libre y certificados SSL Let’s Encript mejoraría la
seguridad de envío y recepción de mensajes de los usuarios de la
COMIBOL?
1.4 OBJETIVOS
1.4.1 EL OBJETIVO GENERAL
Implementar una solución de correo electrónico con soporte de

certificados SSL Let’s Encript1, con herramientas de software libre,
de esta manera lograr que sea menos vulnerable a fallos de
conexión y mas seguro.
1.4.2 LOS OBJETIVOS ESPECÍFICOS
Dentro de los objetivos de la presente investigación se

plantea los siguientes:
✔ Plantear un servidor DNS Maestro y DNS Esclavo a la

implementación del presente tema de investigación.
✔ Plantear un nueva plataforma para la implementación del

correo institucional a la implementación del presente tema
de investigación.
1Let's Encrypt es una autoridad de certificacipon y que proporcionar certificados
X.509 gratuitos para el cifrado de Seguridad de nivel de transporte (TLLS) a
través de un proceso automatizado.
2
✔ Implementar la certificación SSL Let’s Encrypt para la
seguridad del correo institucional a la nueva plataforma en la
implementación del presente tema de investigación.
✔ Describir las ventajas y desventajas del uso de software libre

a la implementación del presente tema de investigación para
descubrir las bondades del software libre.
3
CAPITULO II. MARCO TEÓRICO
El presente capítulo describe las principales ideas y conceptos

relacionados a la implementación de un servidor de correo
institucional, implementación de un certificado SSL 2 y el uso de
herramientas de software libre.
2.1 PREÁMBULO
La Constitución Política del Estado, en su Artículo 103 Parágrafo II,

determina que el Estado asumirá como política la implementación
de estrategias para incorporar el conocimiento y aplicación de
nuevas tecnologías de información y comunicación, Vera,R.(2021).
La Ley de Telecomunicaciones Ley No. 164 de fecha 8 de agosto de

2011, declara de prioridad nacional la promoción del uso de las
tecnologías de información y comunicación para procurar el vivir
bien de todas las bolivianas y bolivianos. Asimismo determina que
el Estado en todos sus niveles, fomentará el acceso, uso y
apropiación social de las tecnologías de información y
comunicación, el desarrollo de contenidos y aplicaciones, como
mecanismos de democratización De oportunidades para todos los
sectores de la sociedad promoviendo y priorizando la utilización del
software libre y estándares abiertos, en el marco de la soberanía y
seguridad nacional, Vera,R.(2021).
El Decreto Supremo N° 29272 de fecha 12 de septiembre de 2007

aprueba el Plan Nacional de Desarrollo “Bolivia Digna, Soberana,
Productiva y Democrática para Vivir Bien” dispone el acceso
2 Un certificado SSL es un pequeño archivo de datos que vincula digitalmente

una clave criptográfica con los datos de una organización.
4
universal al conocimiento y a la comunicación, como bienes
públicos, de responsabilidad social del Estado en la generación y
difusión por Internet de contenidos locales para el desarrollo
productivo, educativo y de salud, porque están asociados a generar
espacios de igualdad y de oportunidad mediante su
democratización y el establecimiento de nexos interactivos para
que la sociedad no sólo reciba conocimiento e información, sino que
contribuya a producir, adaptar y reinterpretar el saber”. Vera, R.
(2021).
2.2 DEFINICIONES DE SOFTWARE LIBRE
Titularidad: Cualidad de una persona natural o jurídica que

desarrolló los sistemas y las aplicaciones de manera directa o a
través de terceros, teniendo el derecho de registrar,licenciar el
programa como libre y aceptar las políticas de licenciamiento de
software libre y del RESL 3
, bajo absoluta responsabilidad,
independientemente de la ADSIB4 y terceros, Vera,R.(2021).
Software libre: Software licenciado por su Titular bajo una licencia

de software libre, que permita al usuario el ejercicio de las
siguientes libertades: o Ejecutar el software, para cualquier
propósito, sin restricción alguna;o Estudiar cómo funciona el
software y modificarlo para que cumpla un determinado propósito,
a través del acceso al código fuente del mismo y todos los
componentes que hacen posible su funcionamiento. El acceso al
código fuente es una condición necesaria e imprescindible;o
3 Repositorio Estatal de Software Libre

4 Agencia de Gobierno Electrónico y Tecnologías de Información y
Comunicación (AGETIC)
5
Redistribuir copias del software;o Distribuir copias de las versiones
modificadas a terceros. El acceso al código fuente es una condición
necesaria e imprescindible, Vera,R.(2021).
Según el Art. 3 capitulo. 1 del Reglamento para el Desarrollo de

Tecnologías de Información de Comunicación, la definición de
software libre viene descrita como: “Es el software licenciado por su
autor, bajo una licencia de código fuente abierta, de manera tal que
permita al usuario el ejercicio de las siguientes libertades”:
 Ejecutar el software, para cualquier propósito, sin restricción

alguna;
 Estudiar cómo funciona el software y modificarlo para que
cumpla un determinado propósito, a través del acceso al
código fuente del mismo y todos los componentes que hacen
posible su funcionamiento. El acceso al código fuente es una
condición necesaria e imprescindible;
 Redistribuir copias del software;
 Distribuir copias de las versiones modificadas a terceros. El
acceso al código fuente es una condición necesaria e
imprescindible.
2.3 DEFINICIONES DE SERVIDOR DE CORREO ELECTRÓNICO
2.3.1 SERVIDOR
Segun Ionos (2019), el término servidor tiene dos significados en el

ámbito informático. El primero hace referencia al ordenador que
pone recursos a disposición a través de una red, y el segundo se
refiere al programa que funciona en dicho ordenador. En
consecuencia aparecen dos definiciones de servidor:
6
✔ Definición Servidor (hardware): un servidor basado en
hardware es una máquina física integrada en una red informática
en la que, además del sistema operativo, funcionan uno o varios
servidores basados en software. Una denominación alternativa para
un servidor basado en hardware es "host" (término inglés para
"anfitrión"). En principio, todo ordenador puede usarse como "host"
con el correspondiente software para servidores.
✔ Definición Servidor (software): un servidor basado en

software es un programa que ofrece un servicio especial que otros
programas denominados clientes (clients) pueden usar a nivel local
o a través de una red. El tipo de servicio depende del tipo de
software del servidor. La base de la comunicación es el modelo
cliente-servidor y, en lo que concierne al intercambio de datos,
entran en acción los protocolos de transmisión específicos del
servicio.
2.3.2 SERVIDOR DNS
El servidor DNS y la resolución de nombres en Internet, cuando se

quiere acceder a una página web en Internet se necesita la
dirección IP del servidor donde está almacenada, pero, por regla
general, el usuario solo conoce el nombre del dominio. La razón no
es otra que la dificultad de recordar las series numéricas del tipo
93.184.216.34 que las componen, que son las que, precisamente,
constituyen la base de la comunicación en Internet. Es por este
motivo por el que las direcciones IP se “traducen” en nombres que
podamos recordar, los llamados dominios.
El proceso de traducción de los nombres de dominio en direcciones

numéricas que las máquinas puedan entender es lo que se conoce
7
como resolución de nombres, una labor que realiza el Domain
Name System, en castellano Sistema de Nombres de Dominio,
conocido por sus siglas DNS.
Utilizamos DNS cada vez que hacemos uso de un servicio de

Internet, como el correo electrónico, el http, telnet o ftp.
La finalidad del DNS es facilitar la comunicación con los equipos

ubicados en la red; haciendo referencia por nombre en vez de
direcciones numéricas.
2.3.3 SERVIDOR WEB
Un servidor web o servidor HTTP es un programa informático que

procesa una apliccacion del lado del servidor, realizando conexiones
bidireccionales o unidireccionales y sincronas o asincronas con el
cliente y generando o cediendo una respuesta en cualquier lenguaje
o aplicación del lado del cliente. El código recibido por el cliente es
renderizado por un navegador web. Para la transmisión de todos
estos datos suele utilizarse algún protocolo. Generalmente se usa el
protocolo HTTP para estas comunicaciones, perteneciente a la capa
de aplicación del modelo OSI. El término también se emplea para
referirse al ordenador, (Según Wikipedia, 2021).
2.3.3.1 SERVIDOR WEB APACHE
Servidor Web más utilizado. Por defecto viene instalado en

cualquier distribución de Linux.
✔ Funcionamiento básico: Proceso padre que hace copias de si

mismo para atender a todas las peticiones de los clientes.
✔ Servicio que escucha por defecto en el puerto 80 (http).
8
2.3.4 SERVIDOR DE CORREO POSTFIX
Postfix es un servidor de correo de SMTP 5 que se encarga del envío

de correos electrónicos (MTA), fue creado para ser una alternativa a
Sendmail.
2.3.5 SERVIDOR DE CORREO DOVECOT
Dovecot es un servidor de IMAP 6 y POP37 de código abierto para

sistemas GNU/Linux.
2.3.6 RAINLOOP
RainLoop es un Webmail basado en PHP y tiene las siguientes

funciones Admite apache, nginx y otros servidores web es gratis
para proyectos personales y sin ánimo de lucro.
2.3.7 LET’S ENCRYPT
El objetivo de Let’s Encrypt y el protocolo ACME8 es hacer posible la

configuración de un servidor HTTPS y hacer que obtenga
automáticamente un certificado confiado por el navegador, sin
ninguna intervención humana. Esto se logra ejecutando un agente
de manejamiento de certificados en un servidor de web, (como
menciona la pagina oficial de Let’s Encrypt).
5 El SMTP (Simple Mail Transfer Protocol o Protocolo para Transferencia Simple

de Correo)
6 La abreviación IMAP quiere decir: Internet Message Access Protocol y es uno
de los dos protocolos para recibir mensajes de email a través de internet ( el
otro es POP3 ).
7 POP3, Protocolo de Oficina de Correo o "Protocolo de Oficina Postal"
8 Automatización de la emisión e instalación del certificado SSL/TLS (protocolo

ACME)
9
Para entender cómo esta tecnología funciona, se va a caminar a
través del proceso de configuración de https://example.com/ con un
agente de manejamiento de certificados que soporta Let’s Encrypt,
(como menciona la pagina oficial de Let’s Encrypt).
Hay dos pasos para este proceso. Primero, el agente le prueba al AC

que el servidor de web controla el dominio. Luego, el agent puede
pedir, renovar, y revokar certificados para ese dominio, (como
menciona la pagina oficial de Let’s Encrypt)
2.3.7.1 Validación de dominio

Let’s Encrypt identifica el administrador del servidor por llave
pública. La primera vez que el software del agente interactúa con
Let’s Encrypt, genera un nuevo par de llaves y demuestra al Let’s
Encrypt CA que el servidor controla uno o más dominios. Esto es
similar al proceso tradicional de un AC de crear una cuenta y
agregar dominios a esa cuenta.
Para iniciar el proceso, el agente le pregunta al Let’s Encrypt CA lo

que hay que hacer para demostrar que controla example.com. El
Let’s Encrypt CA9 mirará el nombre de dominio que se solicita y
emitirá uno o más conjuntos de retos. Estas son diferentes maneras
que el agente puede demostrar control sobre el dominio. Por
ejemplo, la AC puede darle al agente la opción de:
• Provisionar un record DNS record bajo example.com, ó

• Provisionar un recurso HTTP bajo un well-known URI en http://
example.com/
9 Certificate Authority () : Una organización que emite certificados.

Let’s Encrypt, IdenTrust, Sectigo, and DigiCert son autoridades de
certificación.
10
Junto con los retos, el Let’s Encrypt CA también provee un nonce
que el agente debe firmar con su par de llave privada para
demostrar que controla el par de llaves.
Figura 1.- Interacción del certificado Let’s Encrypt con el Software Administrador del
Servidor Web
Fuente: Let’s Encrypt. (18 de octubre de 2019).
El software de agente completa uno de los conjuntos de retos

proveidos. Digamos que es capaz de realizar la segunda tarea
anterior: crea un archivo en un path especifico en el site
http://example.com. El agente también firma el nonce proveido con
su llave privada. Una vez el agente ha completado estos pasos,
notifica la AC que está listo para completar la validación.
Luego, es el trabajo de la AC verificar los que retos han sido
satisfechos. La AC verifica la firma en el nonce, e intenta descargar
un archivo del servidor web y hacerce seguro que recibió el
contenido esperado.
Figura 2.- Autorizacion de Let’s Encrypt
11
Si la firma sobre el nonce es válida, y los retos son válidos,

entonces el agente identificado por su llave pública está autorizado
a realizar la gestión de certificados para example.com. Llamamos el
par de llaves que el agente usó un “par de llaves autorizado” para
example.com.
2.3.7.2 Emisión y Revocación de Certificado
Una vez el agente tenga un par de llaves autorizado, solicitando,

renovando, y revocando certificados es simple—solo envía
mensajes de manejo de certificados y firmados con el par de llaves
autorizado.
Para obtener un certificado para un dominio, el agente construye un

PKCS#10 Certificate Signing Request que le pregunta al AC Let’s
Encrypt que emita un certificado para example.com con una llave
pública especificada. Como siempre, el CSR incluye una firma por la
llave privada correspondiente a la llave pública en el CSR. El agent
también firma el CSR entero con la llave autorizada para
example.com de manera que el Let’s Encrypt CA sepa que está
autorizado. Cuando el Let’s Encrypt CA recibe una solicitud, verifica
ambas firmas. Si todo se ve bien, emite un certificado para
example.com con la llave pública del CSR y lo devuelve al agente.
Figura 3.- Certificación Let’s Encrypt
12
Revocación funciona de una manera similar. El agent firma una

solicitud de revocación con el par de llaves autorizado para
example.com, y el Let’s Encrypt CA verifica que la solicitud es
autorizada. Si lo es, publica información de revocación a los canales
normales de revocación (i. e. OCSP), para que los confiados tales
como navegadores pueden saber que no deben aceptar el
certificado recovado.
Figura 4.- Certificado revocado Let’s Encrypt
13
CAPÍTULO III. PROPUESTA
El presente capitulo describe la solución propuesta al presente tema

de investigación, la elaboración y el planteamiento de las
configuraciones para la implementación de software libre con
certificación SSL segura.
3.1 PROPUESTA DE IMPLEMENTACIÓN
La infraestructura en base a la aplicación se trabajara en Linux

Debian 10 Buster, la propuesta de implementación es bajo la
siguiente infraestructura.
Figura 5.- Infraestructura planteada
INTERNET
BD
SERVIDOR SERVIDOR MYSQL
LOCAL DNS SERVIDOR
DNS ESCLAVO WEB Y
MAESTRO SERVIDOR
DE CORREO
Fuente: Elaboración propia
14
Se comprende de un:
Servidor DNS Maestro con la dirección ip: 192.168.122.62
Servidor DNS Esclavo con la dirección ip: 192.168.122.26
Servidor Correo Electrónico que es a la vez Servidor Web se

encuentra con la dirección ip: 192.168.122.209
Para configurar El servidor DNS Maestro y Esclavo las

configuraciones necesarias se encuentran en el Anexo 1 del
presente documento.
3.2 IDENTIFICACIÓN DE LOS SERVICIOS A IMPLEMENTAR
Se contempla los siguientes servicios:
1. Servidor de Correo WebMail

2. Certificado Let’s Script
3.2.1 SERVIDOR DE CORREO WEBMAIL
Los requisitos para realizar la configuración de un Servidor de

Correo, viene dado por las siguientes configuraciones:
1. Configuración adecuada de los parámetros de red
2. Configuración de un servidor DNS, donde este definido el dominio

(en el presente caso se utilizara www.comibol.gob.bo).
3. Configuración de un servidor web, por el uso de Webmail.
✔ Realizaremos la instalación y configuración de postfix
✔ Instalaremos y configuraremos Dovecot IMAP en Debian 10.
✔ Crearemos los usuarios para el correo institucional.
15
✔ Instalamos y configuramos Webmail, para la configuración
primeramente instalamos:
- Apache2 y php7
✔ Instalamos el cliente Webmail
✔ Configuramos el administrador de correo Webmail
Las configuraciones mas necesarias se encuentran en Anexo 2 del

presente documento.
3.2.2 INSTALACIÓN DE CERTIFICADO SSL LET’S SCRIPT

Para la configuración se utilizar cliente ACME llamado CERTBOT.
Donde los requerimientos inciales para la instalación viene dado
por:
✔ Configuración por línea de comandos
✔ Acceso a sitio web, que este en linea y que el puerto 80 este
en escucha.
✔ Conexion SSH, involucra eso que este habilitado un usuario
SUDO
✔ Dominio habilitado WWW.COMIBOL.GOB.BO
Las configuraciones para la implementación del certificado se

realizaran en un ambiente de producción debido que no permite ser
aplicado en ambientes de prueba como nuestros servidores de
nuestras maquinas virtuales de prueba, ya que la instalación busca
el dominio y la ip publica en toda la red.
Las configuraciones necesarias para la instalación de Certbot se
encuentran en el Anexo 3 del presente documento.
16
3.3 ANÁLISIS DE RIESGO EN LA IMPLEMENTACIÓN
Tabla 1. Tabla de Análisis de Riesgo
Proba
Expos bilida Ries
Tipo Activo Valor Vulnerabilidad Amenazas ición d go
Fallo técnico 5 4 100
Disponibilidad de
hardware y software
información 5 3 75
5 Copias de seguridad
Disponibilidad de
servicios 4 3 60
Servidores Falta de seguridad 5 4 100
Espacio en disco 3 4 60
Servicios no estables 5 4 100
5 Falta de mantenimiento Partes de hardware
inestables por falta de
mantenimiento 3 4 60
Facilidades y opciones Disponibilidad de
5 en la creación y acceso a cuentas de
Servidor de búsqueda de contactos correo 5 5 125
correo
Fallo tecnico 5 4 100
software
institucional
5 Backup de Correo Disponibilidad de
información 5 4 100
Fallo tecnico 3 5 75
Certificado
Actualización periodica
SSL de 5
de certificado Fallo en la funcionalidad
sofware libre
del correo institucional 4 5 100
*Ocurrencia Muy Alta (5), Alta (4), Media (3), Baja (2), Muy Baja (1)**Riesgo = Valor *
Exposición * Probabilidad
Tabla 2. Mitigación de riesgos encontrados

Identificación de Consecuencias Acciones Posibles
Riesgos y Amenazas Posibles
Falta de Al tener el Instalación de
administración de crecimiento de herramientas de
cuentas de usuarios funcionarios en la administración de
de correo. institución y varios cuentas de correo
cambios recurrentes como LDAP
de cuentas de
usuario existe el
riesgo de no disponer
cuentas de correo
actualizadas.
17
Falta de No tener servicios - Disponer de un
mantenimiento en los estables cronograma de
servidores mantenimiento anual
preventivo y
correctivo de los
servidores a nivel
hardware y software
-Generar bitácora de
incidentes de
mantenimiento de
servidores.
Copias de respaldo y Incurre a no tener -Generar las copias
backups disponible los de respaldo y backup
servicios y del correo
disponibilidad de institucional en base
información de a un cronograma.
correo -Generar reportes de
acceso después de la
generación de
backup que asegure
el servicio habilitado.
3.4 ESTRATEGIA A SEGUIR PARA LA ADOPCIÓN DE LAS

NUEVAS TECNOLOGÍAS
La implementación de las nuevas tecnologías, en base al análisis de
riesgos, se plantea la implementación en base a dos etapas:
ETAPA 1.-
✔ Implementación de servidor de correo electrónico
✔ Instalación de certificado con ACM Certbot de Let’s Encript
ETAPA 2.-
Configuración de cuentas con LDAP, debido a que la
implementación si esta tecnología se puede controlar si no existe
muchas cuentas a administrar, pero si el correo institucional se
18
expadiera para cuentas de usuarios a nivel nacional, tendría que
tomarse en cuenta esta herramienta para su implementación.
3.5 COSTOS DE LA MIGRACIÓN O IMPLEMENTACIÓN

Inicialmente el costo para la implementación es cero, debido que al
momento se dispone de infraestructura para la implementación de
un servidor de correo electrónico con software libre, ya
posteriormente se ve la adquisición de un disco con mas capacidad
si su implementación aumenta a la cantidad de cuentas de usuario
a nivel nacional. Tambien mencionar que debido al uso de
herramientas que disponen de licencias GNU GPL, el coste es uno
de los factores favorables.
3.6 CRONOGRAMA DE LA IMPLEMENTACIÓN
Tabla 3. Cronograma de implementación

Dias Habiles
N.º Actividad
1 2 3 4 5 6 7
Instalación de Debian
Buster par los
1 servidores
2 Configuración DSN
Instalación de servidor
3 de correo
Creacion de cuentas de
4 usuario
Configuración
5 certificado
Elaboración de
6 Documentación
7 Pruebas de funcionamiento
19
CONCLUSIONES Y RECOMENDACIONES
Con la presente monografía se concluye y recomienda lo siguiente:
Se pudo realizar la configuración de los servidores DNS Esclavo y

Maestro y el reconocimiento del dominio www.comibol.gob.bo,
planteando de esta manera una nueva plataforma para la
implementación de correo institucional en cuanto a los servidores
DNS.
Se realizo la instalación del servidor de correo electrónico de

manera exitosa, implementando a la vez un servidor web, debido
que nuestro correo es Webmail con Rainloop, juntamente la
creación de las cuentas de usuario de la institución de La Paz. En
este punto pudimos observar y debido al análisis de riesgo, se
recomienda o a posterior gestionar los usuarios con LDAP que por
ahora no incurre en un riego por la cantidad de usuarios
inicialmente que hacen uso del correo del institucional que es en las
oficinas de La Paz y por la existencia del poco movimiento de
personal.
Se instalo el certificado SSL de manera exitosa, donde nos

encontramos inicialmente en problemas por que el certificado no se
instalaba en nuestros servidores virtuales de prueba y se tuvo que
implementar el correo institucional en producción, para que se
instale el certificado de manera exitosa ya que esta acción se
realiza en producción.
Para la presentación del presente tema de investigación en cuanto

al certificado SSL del correo, solo se realizaron las configuraciones
20
básicas, se recomienda mejorar las configuraciones a detalles para
la implementación del certificado SSL.
Se recomienda a la vez un proceso automatizado para la

actualización del certificado SSL debido que este requiere se
actualize dado un periodo de tiempo por que es un certificado de
software libre y por que asi lo dispone Let’s Encrypt.
21
BIBLIOGRAFÍA
Vera,R.(2021). Políticas de Implementación y Gestión del Repositorio

Estatal de Softwre Libre [Archivo PDF] Recuperado el 07 de Julio de 2021
de https://softwarelibre.gob.bo/auth/login
Ionos. (2019).Digital Guide Ionos. Recuperado el 09 de Julio de 2021 de

https://www.ionos.es/digitalguide/servidores/know-how/que-es-un-
servidor-un-concepto-dos-definiciones/
Let’s Encrypt. (18 de octubre de 2019). Documentación de Let’s Encrypt

Recuperado el 09 de Julio de 2021 de https://letsencrypt.org/es/docs/
Wikipedia. (2021). Concepto de Servidor Web

Recuperado el 08 de Julio de 2021 de
https://es.wikipedia.org/wiki/Servidor_web
ionos. (2019).Digital Guide Ionos. Recuperado el 12 de Julio de 2021 de

https://www.ionos.es/digitalguide/servidores/know-how/que-es-el-servidor-
dns-y-como-funciona/
22
ANEXOS TÉCNICOS
ANEXO 1 .- CONFIGURACIÓN DE SERVICIO DNS
PASO 1. Se realiza la configuración en etc/bind/named.config.local

Figura 6.- DNS Maestro configuración de named.config.local
Fuente.- Elaboración Propia

PASO 2. Se verifica el archivo named-checkconf
Figura 7.- Verificación de las modificaciones
23
PASO 3. Se ingresa a editar a var/cache/bind/comibol.zone
Figura 8.- Edición del archivo comibol.zone
PASO 4. Se verifica comibol.zone
Figura 9.- Verificación del archivo comibol.zone
PASO 5. Se configurar en el servidor maestro en etc/resolv.conf
Figura 10.- Configuración de resolv.conf en el Servidor Maestro
24
PASO 6. Se reinicia el servicio networking en el servidor maestro
Figura 11.- Reinicia el servicio networking
PASO 7. Añadimos la configuración del servidor esclavo al servidor

maestro.
Figura 12.- Agrega la configuración del servidor esclavo al servidor maestro
PASO 8. Reiniciamos el servicio en var/cache/bind
Figura 13.- Reinicia el servicio en var/cache/bind
25
PASO 9. Se verifica la configuración bind9
Figura 14.- Verificar la configuración de bind9
PASO 10. Verificamos el DNS Esclavo, host -t ns comibol.gob.bo
Figura 15.- Verificar host -t ns comibol.gob.bo
PASO 11. Configuramos el DNS para el servidor de correo
Figura 16.- Configuración del DNS para el servidor de correo
26
CONFIGURACIÓN DEL SERVIDOR ESCLAVO
PASO 12. Se instalo bind9
Figura 17.- Instalación de Bind9
PASO 13. Se configuro en var/cache/bind/named.conf.local
Figura 18.- Configuración del servidor DNS esclavo var/cache/bind/named.conf.local
27
PASO 14. En el esclavo se virifica con host -t ns comibol.gob.bo
Figura 19.- Host -t ns comibol.gob.bo
PASO 15. Instalamos el servicio dnsutils en el esclavo
Figura 20.- Instalación del servicio dnsutils en el esclavo
28
PASO 16. Configurar en etc/bind/named.conf.local, del servidor
DNS esclavo
Figura 21.- Configuración de etc/bind/named.conf.local
PASO 17. Verificar la configuración.
Figura 22.- Verificamos la configuración.
PASO 18. Reseteamos el servicio bind9 en el esclavo.
Figura 23.- Restablecemos el servicio de bind9
29
PASO 19. Se verifica los puertos escuchando
Figura 24.- Verificación de Puertos
PASO 20. Verificamos la configuración del esclavo al maestro

con dig @192.168.122.62 ns comibol.gob.bo
Figura 25.- Verificación dig @192.168.122.62 ns comibol.gob.bo
30
ANEXO 2.- CONFIGURACIÓN DE CORREO ELECTRÓNICO
PASO 1. Actualizamos los repositorios update y upgrade.
Figura 26.- Actualización de repositorios debian update
PASO 2. Iniciamos a instalar herramientas necesarios como:
Figura 27.- Actualización de repositorios debian
31
PASO 3. Se instala curl net-tools bash-completion wget lsof nan.
Figura 28.- instalar curl net-tools bash-completion wget lsof nan
PASO 4. Se configura etc/host.conf
Figura 29.- Configuración de etc/host.conf
Con esta configuración se asegura que el cliente DNS revise

primero el archivo /etc/hosts antes de hacer la consulta al servidor
DNS.
32
PASO 5. Se define el hostname
Figura 30.- Definición del hostname
PASO 6. Se crea el enlace a la carpeta etc/host
Figura 31.- Creación del enlace a la carpeta etc/host
PASO 7. Hacemos las pruebas verificando la configuración

hostname.
Figura 32.- Verificación la configuración hostname
33
PASO 8. Colocamos en resolv.conf
Figura 33.- Configuración del hostname
PASO 9. Probamos con dig el dominio
Figura 34.- Verificación con dig del Dominio
34
PASO 10. INSTALACIÓN DE POSTFIX EN DEBIAN 10
Figura 35.- Instalación de Postfix en debian 10
Figura 36.- Configuración de Postfix en debian 10
35
Figura 37.- Configuración de Postfix Administrador y dominio
Figura 37.- Configuración de Postfix Administrador y dominio
36
Figura 38.- Configuración de Postfix en dominios
Figura 39.- Configuración de Postfix en debian 10
37
Figura 40.- Configuración de IP’s de Postfix en debian 10
Figura 41.- Configuración de protocolos Postfix en debian 10
38
Figura 42.- Configuración de limite de buzon de correo Postfix
CONFIGURACIÓN DE POSTFIX EN DEBIAN 10
PASO 11. Hacemos una copia de seguridad del archivo original
Figura 43.- Copia de seguridad del archivo main.cf
#LÍNEA 9
SMTPD_BANNER = $MYHOSTNAME ESMTP
#LÍNEA 35, NOS ASEGURAMOS QUE DIGA:

MYHOSTNAME = MAIL.COMIBOL.GOB.BO
#LÍNEA 36, AGREGAMOS

MYDOMAIN = COMIBOL.GOB.BO
#LÍNEA 39, NOS ASEGURAMOS QUE DIGA
39
MYDESTINATION = COMIBOL.GOB.BO, MAIL.COMIBOL.GOB.BO,
LOCALHOST.LOCALDOMAIN, LOCALHOST
#AL FINAL AGREGAMOS

HOME_MAILBOX = MAILDIR/
# CONFIGURACIOENS SMTP
SMTPD_SASL_TYPE = DOVECOT
SMTPD_SASL_PATH = PRIVATE/AUTH
SMTPD_SASL_AUTH_ENABLE = YES
SMTPD_SASL_SECURITY_OPTIONS = NOANONYMOUS
SMTPD_SASL_LOCAL_DOMAIN = $MYHOSTNAME
SMTPD_RECIPIENT_RESTRICTIONS =
PERMIT_MYNETWORKS,PERMIT_AUTH_DESTINATION,PERMIT_SASL_AUTHENTICATED,R
EJECT
Se realiza la configuración en los puntos mencionados
Figura 44.- Configuración del archivo main.cf
40
Reiniciamos el servicio postfix
Figura 45.- Reinicio el servicio postfix
PASO 12. INSTALAR Y CONFIGURAR DOVECOT IMAP EN

DEBIAN 10
Instalar apt-get install dovecot-core dovecot-imapd
Figura 46.- Instalación apt-get install dovecot-core dovecot-imapd
41
PASO 13. Editamos el archivo de configuración
/etc/dovecot/dovecot.conf
Figura 47.- Editar el archivo /etc/dovecot/dovecot.conf
PASO 14. MODIFICAR el archivo /etc/dovecot/conf.d/10-auth.conf

#Línea 30, quitamos comentario
listen = *, ::
Figura 48.- Modificar el archivo /etc/dovecot/dovecot.conf
42
#LÍNEA 10
DISABLE_PLAINTEXT_AUTH = NO
#LÍNEA 100
AUTH_MECHANISMS = PLAIN LOGIN
Figura 49.- Editar y modificar el archivo /etc/dovecot/dovecot.conf
PASO 15. Ahora editamos el archivo /etc/dovecot/conf.d/10-

mail.conf
Figura 50.- Editar el archivo /etc/dovecot/conf.d/10-mail.conf
43
Figura 51.- Modificar el archivo /etc/dovecot/conf.d/10-mail.conf
El último archivo de configuración a editar es

/etc/dovecot/conf.d/10-master.conf
NANO -C /ETC/DOVECOT/CONF.D/10-MASTER.CONF
#LÍNEA 96 Y 97 QUITAR COMENTARIO,
#DESPUÉS AGREGAR… USER = POSTFIX Y GROUP = POSTFIX
#A LA LÍNEA 100 TAMBIÉN QUITAR COMENTARIO,
#TODO EL BLOQUE QUEDA ASÍ:
UNIX_LISTENER /VAR/SPOOL/POSTFIX/PRIVATE/AUTH {
MODE = 0666
USER = POSTFIX
GROUP = POSTFIX
}
44
Figura 52.- Editar el archivo /etc/dovecot/conf.d/10-mail.conf
PASO 16. Después de hacer todos los cambios reiniciamos los

servicios
SYSTEMCTL RESTART DOVECOT

SYSTEMCTL STATUS DOVECOT
Reiniciamos el servicio de dovecot y vemos el servicios
PASO 17. Creación de cuentas, se crea los usuarios con el

comando $adduser daniel.chipana
Figura 53.- Creación de cuentas de usuario en Maildir
45
Figura 54.- Creación de cuenta beatriz
PASO 18. Instalar y configurar el Webmail

Instalar apache2
Figura 55.- Instalar y configurar el Webmail e Instalar apache2
46
PASO 19. Instalación de php 7.4 con debian 10
se ejecuta el comando sudo apt-get install php
Figura 56.- Instalación de php 7.4
PASO 20. Como el servidor web ya está instalado, vamos a crear

una carpeta virtual para instalar el webmail.
cd /var/www/html/
LS
MKDIR WEBMAIL
CD WEBMAIL
Figura 57.- Creación de la carpeta Webmail
47
Ahora descargamos e instalamos el cliente Webmail, si no están en
el directorio correcto no va a funcionar.
CURL -SL HTTPS://REPOSITORY.RAINLOOP.NET/INSTALLER.PHP | PHP
PASO 21. Ingresando al enlace de correo electrónico
Figura 58 .- Ingresando al enlace de correo electrónico

PASO 22. Verificación del enlace de correo electrónico
Figura 59.- Configuración de correo electrónico
48
PASO 23. Verificación de correo por parte de los usuarios
Figura 60.- Prueba envío de correo
Figura 61.- Verificación de envío de correo
49
PASO 24. Verificación del dominio mail.comibol.gob.bo
Figura 62.- Verificación del dominio mail.comibol.gob.bo
50
ANEXO 3.- CONFIGURACIÓN DEL CERTIFICADO LET’S SCRIPT
PASO 1. Selección de cliente ACME Certbot

En la pagina de certboot, seleccionamos el Software y el Sistema
Nos pedira que tengamos los anteriores requisitos (describir)
Figura 63.- Pagina Principal de let’s Encrypt
PASO 2. Instalación de Snapd
Figura 64.- Instalación de Snapd
51
PASO 3. Instalar Certbot, se instala con $sudo snap install --classic
certbot
Figura 65.- sudo snap install --classic certbot
PASO 4. Instalación de snap y el certbot.
Figura 66.- Instalamos el snap y el certbot.
52
PASO 5. CREACIÓN del link de acceso de certbot.
Figura 67.- Creación del link de acceso de certbot
PASO 6. Instalar certbot –-apache (la certificación)
Figura 68.- sudo certbot --apache
Fuente: Elaboración Propia
53

Monografia BeatrizQuisbert DanielChipana FINAL

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Monografia BeatrizQuisbert DanielChipana FINAL

Cargado por

Copyright:

Formatos disponibles

DIPLOMADO EN SOFTWARE LIBRE Y

ESTÁNDARES ABIERTOS GNU/LINUX V.25

IMPLEMENTACIÓN DE CORREO INSTITUCIONAL

Beatriz Quisbert Calle

CON TODO AFECTO A FRANCO Y THIAGO.

Tabla 1. Tabla de análisis de riesgo……………………………………………….. 17

Figura 52.- Editar el archivo /etc/dovecot/conf.d/10-mail.conf ……………………. 45

El correo institucional es y fue siempre una herramienta de uso común en las

El presente CAPÍTULO describe puntos importantes tales como: los

1.1 ANTECEDENTES Y JUSTIFICACIÓN DEL TEMA

La aplicación de un correo seguro y un certificado SLL como las

1.2 SITUACIÓN PROBLEMÁTICA

Dentro de la institución no se dispone de un servidor de correo

 La conexión es vulnerable debido a la falta de una

1.3 FORMULACIÓN O PLANTEAMIENTO DEL PROBLEMA

¿De qué manera la implementación de una solución de correo con

1.4.1 EL OBJETIVO GENERAL

Implementar una solución de correo electrónico con soporte de

1.4.2 LOS OBJETIVOS ESPECÍFICOS

Dentro de los objetivos de la presente investigación se

✔ Plantear un servidor DNS Maestro y DNS Esclavo a la

✔ Plantear un nueva plataforma para la implementación del

✔ Describir las ventajas y desventajas del uso de software libre

El presente capítulo describe las principales ideas y conceptos

La Constitución Política del Estado, en su Artículo 103 Parágrafo II,

La Ley de Telecomunicaciones Ley No. 164 de fecha 8 de agosto de

El Decreto Supremo N° 29272 de fecha 12 de septiembre de 2007

2 Un certificado SSL es un pequeño archivo de datos que vincula digitalmente

2.2 DEFINICIONES DE SOFTWARE LIBRE

Titularidad: Cualidad de una persona natural o jurídica que

Software libre: Software licenciado por su Titular bajo una licencia

3 Repositorio Estatal de Software Libre

Según el Art. 3 capitulo. 1 del Reglamento para el Desarrollo de

 Ejecutar el software, para cualquier propósito, sin restricción

2.3 DEFINICIONES DE SERVIDOR DE CORREO ELECTRÓNICO

Segun Ionos (2019), el término servidor tiene dos significados en el

✔ Definición Servidor (software): un servidor basado en

2.3.2 SERVIDOR DNS

El servidor DNS y la resolución de nombres en Internet, cuando se

El proceso de traducción de los nombres de dominio en direcciones

Utilizamos DNS cada vez que hacemos uso de un servicio de

La finalidad del DNS es facilitar la comunicación con los equipos

2.3.3 SERVIDOR WEB

Un servidor web o servidor HTTP es un programa informático que

2.3.3.1 SERVIDOR WEB APACHE

Servidor Web más utilizado. Por defecto viene instalado en

✔ Funcionamiento básico: Proceso padre que hace copias de si

Postfix es un servidor de correo de SMTP 5 que se encarga del envío

2.3.5 SERVIDOR DE CORREO DOVECOT

Dovecot es un servidor de IMAP 6 y POP37 de código abierto para

RainLoop es un Webmail basado en PHP y tiene las siguientes

2.3.7 LET’S ENCRYPT

El objetivo de Let’s Encrypt y el protocolo ACME8 es hacer posible la

5 El SMTP (Simple Mail Transfer Protocol o Protocolo para Transferencia Simple

8 Automatización de la emisión e instalación del certificado SSL/TLS (protocolo

Hay dos pasos para este proceso. Primero, el agente le prueba al AC

2.3.7.1 Validación de dominio

Para iniciar el proceso, el agente le pregunta al Let’s Encrypt CA lo

• Provisionar un record DNS record bajo example.com, ó

9 Certificate Authority () : Una organización que emite certificados.

Fuente: Let’s Encrypt. (18 de octubre de 2019).

El software de agente completa uno de los conjuntos de retos

Si la firma sobre el nonce es válida, y los retos son válidos,