Manual completo Instalacion de Zentyal Firewall 4 parte

Zentyal Infrastructure

En este capítulo se explican los servicios para gestionar la infraestructura de una red local y optimizar el tráfico interno, incluyendo la gestión de nombres de dominio, la sincronización de la hora, la auto-configuración de red, la gestión de la autoridad de certificación y la publicación de sitios Web.

El servicio de nombres de dominio o DNS permite acceder a las máquinas y servicios utilizando nombres en lugar de direcciones IP, que son más fáciles de memorizar.

El servicio de sincronización de la hora o NTP mantiene sincronizada la hora del sistema en las máquinas.

Para la auto-configuración de red, se usa el servicio de DHCP que permite asignar diversos parámetros de red a las máquinas conectadas como pueden ser la dirección IP, los servidores DNS o la puerta de enlace para acceder a Internet.

La creciente importancia de asegurar la autenticidad, integridad y privacidad de las comunicaciones ha aumentado el interés por el despliegue de autoridades de certificación que permiten acceder a los diversos servicios de forma segura. Se permite configurar SSL/TLS para acceder de manera segura a la mayoría de los servicios y certificados para la autenticación de los usuarios.

Además, en muchas redes se utilizan multitud de aplicaciones Web que pueden ser instaladas bajo el servidor HTTP sobre distintos nombres de dominio e incluso con soporte HTTPS.

Servicio de resolución de nombres de dominio (DNS)
Introducción a DNS


BIND es el servidor DNS de facto en Internet, originalmente creado en la Universidad de California, Berkeley y en la actualidad mantenido por el Internet Systems Consortium. La versión BIND 9, reescrita desde cero para soportar las últimas funcionalidades del protocolo DNS, es la usada por el módulo de DNS de Zentyal.
http://www.isc.org/software/bind

Configuración de un servidor DNS caché con Zentyal


El módulo de servidor de DNS de Zentyal siempre funciona como servidor DNS caché para las redes marcadas como internas en Zentyal, así que si solamente queremos que nuestro servidor realice caché de las consultas DNS, bastará con habilitar el módulo.

En ocasiones, puede que este servidor DNS caché tenga que ser consultado desde redes internas no configuradas directamente en Zentyal. Aunque este caso es bastante excepcional, puede darse en redes con rutas hacia segmentos internos o redes VPN.

Zentyal permite configurar el servidor DNS para que acepte consultas de estas subredes a través de un fichero de configuración. Podremos añadir estas redes en el fichero /etc/ebox/80dns.conf mediante la opción intnets=:

# Internal networks allowed to do recursive queries
# to Zentyal DNS caching server. Localnetworks are already
# allowed and this settings is intended to allow networks
# reachable through static routes.
# Example: intnets = 192.168.99.0/24,192.168.98.0/24
intnets =


Y tras reiniciar el módulo DNS se aplicarán los cambios.

El servidor DNS caché de Zentyal consultará directamente a los servidores DNS raíz a qué servidor autoritario tiene que preguntar la resolución de cada petición DNS y las almacenará localmente durante el período de tiempo que marque el campo TTL. Mediante esta funcionalidad reduciremos el tiempo necesario para iniciar cada conexión de red, aumentando la sensación de velocidad de los usuarios y reduciendo el consumo real de tráfico hacia Internet.

Para que el servidor Zentyal utilice su propio servidor DNS caché, que acabamos de configurar, tendremos que ir a Red ‣ DNS y configurar 127.0.0.1 como primer servidor DNS.

Manual completo Instalacion de Zentyal Firewall 4 parte
DNS configurado como caché local


El dominio de búsqueda es básicamente una cadena que se añadirá a la búsqueda en caso de que sea imposible resolver con la cadena de texto que el usuario ha pedido. El dominio de búsqueda se configura en los clientes, pero se puede servir automáticamente por DHCP, de tal manera que cuando nuestros clientes reciban la configuración inicial de red, podrán adquirir también este dato. Por ejemplo nuestro dominio de búsqueda podría ser foocorp.com, el usuario intentaría acceder a la máquina example; al no estar presente en sus hosts conocidos, la resolución de este nombre fallaría, por lo que su sistema operativo probaría automáticamente con example.foocorp.com, resultando en una resolución de nombre con éxito en este segundo caso.

En Red ‣ Herramientas de diagnóstico disponemos de la herramienta de Resolución de Nombres de Dominio, que mediante dig nos muestra los detalles de una consulta DNS al servidor que tengamos configurado en Red ‣ DNS.

Ubuntu
Resolución de un nombre de dominio usando el DNS caché local


Configuración de un servidor DNS autoritario con Zentyal


Además de DNS caché, Zentyal puede funcionar como servidor DNS autoritario para un listado de dominios que configuremos. Como servidor autoritario responderá a consultas sobre estos dominios realizadas tanto desde redes internas como desde redes externas, para que no solamente los clientes locales, sino cualquiera pueda resolver estos dominios configurados. Como servidor caché responderá a consultas sobre cualquier dominio solamente desde redes internas.

La configuración de este módulo se realiza a través del menú DNS, dónde podremos añadir cuantos dominios y subdominios deseemos.

Firewall
Lista de dominios


Para configurar un nuevo dominio, desplegaremos el formulario pulsando Añadir nuevo. Desde éste se configurará el Nombre del dominio y opcionalmente la Dirección IP a la que hará referencia el dominio.

Linux
Añadiendo un nuevo dominio


Una vez creado un dominio, podemos definir cuantos nombres queramos dentro de él mediante la tabla Nombres. Para cada uno de estos nombres Zentyal configurará automáticamente la resolución inversa. Además para cada uno de los nombres podremos definir cuantos Alias queramos.

Normalmente los nombres apuntan a la máquina dónde está funcionando el servicio y los alias a los servicios alojados en ella. Por ejemplo, la máquina amy.zentyal.com tiene los alias smtp.zentyal.com y mail.zentyal.com para los servicios de mail y la máquina rick.zentyal.com tiene los alias www.zentyal.com o store.zentyal.com entre otros, para los servicios web.

routing
Añadiendo un nuevo alias


Adicionalmente, podemos definir los servidores de correo encargados de recibir los mensajes para cada dominio. Dentro de Intercambiadores de correo elegiremos un servidor del listado definido en Nombres o uno externo. Mediante la Preferencia, determinamos a cuál de estos servidores le intentarán entregar los mensajes otros servidores. Si el de más preferencia falla lo reintentarán con el siguiente.

zentyal
Añadiendo un nuevo intercambiador de correo


Además también podemos configurar los registros NS para cada dominio o subdominio mediante la tabla Servidores de nombres.

Manual completo Instalacion de Zentyal Firewall 4 parte
Añadiendo un nuevo servidor de nombres


Hay que mencionar que cuando se añade un nuevo dominio, se puede apreciar la presencia de un campo llamado Dinámico con valor falso. Un dominio se establece como dinámico cuando es actualizado automáticamente por un proceso externo sin reiniciar el servidor. Si un dominio se establece como dinámico no puede configurarse a través del interfaz. En Zentyal los dominios dinámicos son los actualizados automáticamente por DHCP con los nombres de las máquinas a las que ha asignado una dirección IP, véase Actualizaciones dinámicas.

Servicio de sincronización de hora (NTP)
Introducción a NTP


Zentyal integra ntpd como servidor NTP. Este servicio NTP utiliza el puerto 123 del protocolo UDP.
http://www.eecis.udel.edu/~mills/ntp/html/ntpd.html

Configuración de un servidor NTP con Zentyal

Zentyal utiliza el servidor NTP tanto para la sincronización de su propio reloj como para ofrecer este servicio en la red, así que es importante activarlo aunque sólo sea para si mismo.

Una vez habilitado el módulo, en Sistema ‣ Fecha/hora deberemos habilitar la sincronización mediante NTP y después seleccionar contra qué servidores queremos sincronizar. Normalmente es conveniente sincronizar contra el repositorio de servidores del proyecto NTP que ya vienen preconfigurados en Zentyal, aunque podemos cambiar estos valores para sincronizar contra un servidor NTP local que tengamos instalado o cualquier otro de nuestra elección.

Ubuntu
Configuración de Fecha y Hora

Una vez que Zentyal esté sincronizado, podrá ofrecer su hora de reloj mediante el servicio NTP. Como siempre, no deberemos olvidar comprobar las reglas del cortafuegos, ya que normalmente NTP se habilita sólo para redes internas.

Servicio de configuración de red (DHCP)

Introducción a DHCP


Para configurar el servicio de DHCP Zentyal usa ISC DHCP Software , el estándar de facto en sistemas Linux. Este servicio usa el protocolo de transporte UDP, puerto 68 en la parte del cliente y puerto 67 en el servidor.
https://www.isc.org/software/dhcp

Configuración de un servidor DHCP con Zentyal

El servicio DHCP necesita una interfaz configurada estáticamente sobre la cuál se despliega el servicio. Esta interfaz además deberá ser interna. Desde el menú DHCP se configura el servidor DHCP.

Firewall
Configuración del servicio DHCP


Los siguientes parámetros se pueden configurar en la pestaña de Opciones personalizadas:

Puerta de enlace predeterminada:

Es la puerta de enlace que va a emplear el cliente para comunicarse con destinos que no están en su red local, como podría ser Internet. Su valor puede ser Zentyal, una puerta de enlace ya configurada en el apartado Red ‣ Routers o una Dirección IP personalizada.
Dominio de búsqueda:
En una red cuyas máquinas estuvieran nombradas bajo el mismo subdominio, se podría configurar este como el dominio de búsqueda. De esta forma, cuando se intente resolver un nombre de dominio sin éxito (por ejemplo host), se intentará de nuevo añadiéndole el dominio de búsqueda al final (host.zentyal.local).
Servidor de nombres primario:
Especifica el servidor DNS que usará el cliente en primer lugar cuando tenga que resolver un nombre de dominio. Su valor puede ser Zentyal DNS local o la dirección IP de otro servidor DNS. Si queremos que se consulte el propio servidor DNS de Zentyal, hay que tener en cuenta que el módulo DNS debe estar habilitado.
Servidor de nombres secundario:
Servidor DNS con el que contactará el cliente si el primario no está disponible. Su valor debe ser una dirección IP de un servidor DNS.
Servidor NTP:
Servidor NTP que usará el cliente para sincronizar el reloj de su sistema. Puede ser Ninguno, Zentyal NTP local o la dirección IP de otro servidor NTP. Si queremos que se consulte el propio servidor NTP de Zentyal, hay que tener el módulo NTP habilitado.
Servidor WINS:
Servidor WINS (Windows Internet Name Service) que el cliente usará para resolver nombres en una red NetBIOS. Este puede ser Ninguno, Zentyal local u otro Personalizado. Si queremos usar Zentyal como servidor WINS, el módulo de Compartir de ficheros tiene que estar habilitado.

Linux
Configuración de los rangos de DHCP


Debajo de estas opciones, podemos ver los rangos dinámicos de direcciones y las asignaciones estáticas. Para que el servicio DHCP funcione, al menos debe haber un rango de direcciones a distribuir o asignaciones estáticas; en caso contrario el servidor DHCP no servirá direcciones IP aunque esté escuchando en todas las interfaces de red.

Los rangos de direcciones y las direcciones estáticas disponibles para asignar desde una determinada interfaz vienen determinados por la dirección estática asignada a dicha interfaz. Cualquier dirección IP libre de la subred correspondiente puede utilizarse en rangos o asignaciones estáticas.

Para añadir un rango en la sección Rangos se introduce un nombre con el que identificar el rango y los valores que se quieran asignar dentro del rango que aparece encima.

Se pueden realizar asignaciones estáticas de direcciones IP a determinadas direcciones físicas en el apartado Asignaciones estáticas. Una dirección asignada de este modo no puede formar parte de ningún rango. Se puede añadir una Descripción opcional para la asignación también.
Véase la sección Servicio de resolución de nombres de dominio (DNS) para más detalles.
Véase la sección Servicio de sincronización de hora (NTP) para más detalles.
http://es.wikipedia.org/wiki/Windows_Internet_Naming_Service
Véase la sección Servicio de compartición de ficheros y de autenticación para más detalles.

Optiones avanzadas

routing
Opciones avanzadas de DHCP


La concesión dinámica de direcciones tiene un tiempo límite. Una vez expirado este tiempo se tiene que pedir la renovación (configurable en la pestaña Opciones avanzadas). Este tiempo varía desde 1800 segundos hasta 7200. Esta limitación también se aplica a las asignaciones estáticas.

Zentyal soporta arranque remoto de clientes ligeros o Thin Clients. Se configura en Siguiente servidor a qué servidor PXE se debe conectar el cliente ligero y este se encargará de transmitir todo lo necesario para que el cliente ligero sea capaz de arrancar su sistema. El servidor PXE puede ser una dirección IP o un nombre de máquina. Será necesario indicar la ruta de la imagen de arranque, o si Zentyal es el servidor PXE, se podrá subir el fichero con la imagen a través de la interfaz web.

Actualizaciones dinámicas


Las actualizaciones dinámicas de DNS permiten asignar nombres de dominio a los clientes DHCP mediante la integración de los módulos de DHCP y DNS. De esta forma se facilita el reconocimiento de las máquinas presentes en la red por medio de un nombre de dominio único en lugar de por una dirección IP que puede cambiar.

zentyal
Configuración de actualizaciones DNS dinámicas


Para utilizar esta opción, hay que acceder a la pestaña Opciones de DNS dinámico y para habilitar esta característica, el módulo DNS debe estar habilitado también. Se debe disponer de un Dominio dinámico y un Dominio estático, que ambos se añadirán a la configuración de DNS automáticamente. El dominio dinámico aloja los nombres de máquinas cuya dirección IP corresponde a una del rango y el nombre asociado sigue el patrón dhcp-<dirección-IP-ofrecida>.<dominio-dinámico>. Con respecto al dominio estático, el nombre de máquina seguirá este patrón: <nombre>.<dominio-estático> siendo el nombre que se establece en la tabla de Asignaciones estáticas.


Autoridad de certificación (CA)
Infraestructura de clave pública (PKI)


Zentyal integra OpenSSL para la gestión de la Autoridad de Certificación y del ciclo de vida de los certificados expedidos por esta.
http://www.openssl.org/

Configuración de una Autoridad de Certificación con Zentyal


En Zentyal, el módulo Autoridad de Certificación es autogestionado, lo que quiere decir que no necesita ser habilitado en Estado del Módulo como el resto sino que para comenzar a utilizar este servicio hay que inicializar la CA. Las funcionalidades del módulo no estarán disponibles hasta que no hayamos efectuado esta acción.

Accederemos a Autoridad de Certificación ‣ General y nos encontraremos con el formulario para inicializar la CA. Se requerirá el Nombre de Organización y el número de Días para expirar. Además, también es posible especificar opcionalmente Código del País (acrónimo de dos letras que sigue el estándar ISO-3166-1 ), Ciudad y Estado.

Manual completo Instalacion de Zentyal Firewall 4 parte
Crear Certificado de la Autoridad de Certificación

A la hora de establecer la fecha de expiración hay que tener en cuenta que en ese momento se revocarán todos los certificados expedidos por esta CA, provocando la parada de los servicios que dependan de estos certificados.

Una vez que la CA ha sido inicializada, ya podremos expedir certificados. Los datos necesarios son el Nombre Común del certificado y los Días para Expirar. Este último dato está limitado por el hecho de que ningún certificado puede ser válido durante más tiempo que la CA. En el caso de que estemos usando estos certificados para un servicio como podría ser un servidor web o un servidor de correo, el Nombre Común deberá coincidir con el nombre de dominio del servidor. Por ejemplo, si utilizamos el nombre de dominio zentyal.home.local para acceder al interfaz de administración web de Zentyal, será necesario un certificado con ese Nombre Común. En el caso de que el certificado sea un certificado de usuario, usaremos normalmente su dirección de correo como Nombre Común.

Opcionalmente se pueden definir Subject Alternative Names para el certificado. Estos sirven para establecer nombres comunes a un certificado: un nombre de dominio o dirección IP para dominio virtual HTTP o una dirección de correo para firmar los mensajes de correo electrónico.

Una vez el certificado haya sido creado, aparecerá en la lista de certificados, estando disponible para el administrador y el resto de módulos. A través de la lista de certificados podemos realizar distintas acciones con ellos:

* Descargar las claves pública, privada y el certificado.
* Renovar un certificado.
* Revocar un certificado.

Ubuntu
Listado de certificados


El paquete con las claves descargadas contiene también un archivo PKCS12 que incluye la clave privada y el certificado y que puede instalarse directamente en otros programas como navegadores web, clientes de correo, etc.

Si renovamos un certificado, el actual será revocado y uno nuevo con la nueva fecha de expiración será expedido. Y si se renueva la CA, todos los certificados se renovarán con la nueva CA tratando de mantener la antigua fecha de expiración. Si esto no es posible debido a que es posterior a la fecha de expiración de la CA, entonces se establecerá la fecha de expiración de la CA.

Firewall
Renovar un certificado


Si revocamos un certificado no podremos utilizarlo más, ya que esta acción es permanente y no se puede deshacer. Opcionalmente podemos seleccionar la razón para revocarlo:

* unspecified: motivo no especificado,
* keyCompromise: la clave privada ha sido comprometida,
* CACompromise: la clave privada de la autoridad de certificación ha sido comprometida,
* affilliationChanged: se ha producido un cambio en la afiliación de la clave pública firmada hacia otra organización,
* superseded: el certificado ha sido renovado y por tanto reemplaza al emitido,
* cessationOfOperation: cese de operaciones de la entidad certificada,
* certificateHold: certificado suspendido,
* removeFromCRL: actualmente sin implementar, da soporte a los CRL diferenciales, es decir, listas de certificados cuyo estado de revocación ha cambiado.

Linux
Revocar un certificado


Cuando un certificado expire, el resto de módulos serán notificados. La fecha de expiración de cada certificado se comprueba una vez al día y cada vez que se accede al listado de certificados.
http://es.wikipedia.org/wiki/ISO_3166-1
Para más información sobre los Subject Alternative Names véase http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Certificados de Servicios


En Autoridad de Certificación ‣ Certificados de Servicios podemos encontrar la lista de módulos de Zentyal que usan certificados para su funcionamiento. Cada módulo genera sus certificados autofirmados, pero podemos remplazar estos certificados por otros emitidos por nuestra CA.

Para cada servicio se puede generar un certificado especificando su Nombre Común. Si no existe un certificado con el nombre especificado, la Autoridad de Certificación lo creará automáticamente.

routing
Certificados de Servicios


Una vez activado, tendremos que reiniciar el módulo sobre el que hemos activado el certificado para que lo comience a utilizar, al igual que si renovamos el certificado asociado.

Servicio de publicación de páginas web (HTTP)
Introducción a HTTP


El servidor HTTP Apache es el más usado en Internet, alojando más del 54% de las páginas. Zentyal usa Apache para el módulo de servidor HTTP y para su interfaz de administración.
http://httpd.apache.org/

Configuración de un servidor HTTP con Zentyal


A través del menú Servidor web podemos acceder a la configuración del servidor HTTP.

zentyal
Configuración del módulo Servidor web


En la Configuración General podemos modificar los siguientes parámetros:

Puerto de escucha:

Puerto HTTP, por defecto es el 80, el puerto por defecto del protocolo HTTP.
Puerto de escucha SSL:
Puerto HTTPS, por defecto es el 443, el puerto por defecto del protocolo HTTPS. Se tiene que habilitar el certificado para el servicio y cambiar el puerto del interfaz de administración de Zentyal a un puerto distinto si queremos usar el 443 aquí.
Habilitar el public_html por usuario:
Con esta opción, si los usuarios tienen un subdirectorio llamado public_html en su directorio personal, será accesible a través de la URL http://<zentyal>/~<usuario>/.

En Servidores virtuales o Virtual hosts podremos definir los diferentes dominios asociados con cada página web. Cuando se define un nuevo dominio con esta opción, si el módulo DNS está instalado, se intenta crear ese dominio, y si está ya creado, se añade el subdominio en caso de que éste tampoco exista. Este dominio o subdominio se crea apuntando a la dirección de la primera interfaz interna configurada con dirección estática, aunque podemos modificar el dominio posteriormente si esto no se adapta a nuestras necesidades.

Además de poder activar o desactivar cada dominio en el servidor HTTP, si hemos configurado SSL anteriormente, podremos habilitar conexiones HTTPS a ese dominio o incluso forzar a que las conexiones sean exclusivamente por HTTPS.

El DocumentRoot o directorio raíz para cada una de estas páginas está en el directorio /srv/www/<dominio>/. Además existe la posibilidad de aplicar cualquier configuración de Apache personalizada para cada Virtual host mediante ficheros en el directorio /etc/apache2/sites-available/user-ebox-<dominio>/.

Servicio de Transferencia de ficheros (FTP)
Introducción a FTP


Zentyal usa vsftpd (very secure FTP) para proporcionar este servicio.
http://vsftpd.beasts.org/

Configuración de un servidor FTP con Zentyal


A través del menú FTP podemos acceder a la configuración del servidor FTP:

Manual completo Instalacion de Zentyal Firewall 4 parte
Configuración del Servidor FTP

El servicio de FTP proporcionado por Zentyal es muy simple de configurar, permite otorgar acceso remoto a un directorio público y/o a los directorios personales de los usuarios del sistema.

La ruta predeterminada del directorio público es /srv/ftp mientras que los directorios personales están en /home/usuario/ para cada uno de ellos.

En Acceso anónimo, tenemos tres configuraciones posibles para el directorio público:

Desactivado:
No se permite el acceso a usuarios anónimos.
Sólo lectura:
Se puede acceder al directorio con un cliente de FTP, pero únicamente se puede listar los archivos y descargarlos. Esta configuración es adecuada para poner a disposición de todo el mundo contenido para su descarga.
Lectura y escritura:
Se puede acceder al directorio con un cliente de FTP y todo el mundo puede añadir, modificar, descargar y borrar archivos en este directorio. No se recomienda esta configuración a menos de estar muy seguro de lo que se hace.

El otro parámetro de configuración Directorios personales permite acceder a su directorio personal a cada uno de los usuarios en Zentyal.

Como siempre, habrá que comprobar que las reglas del cortafuegos abren los puertos para este servicio, antes de ponerlo en funcionamiento.

5 comentarios - Manual completo Instalacion de Zentyal Firewall 4 parte

@Shenlong -3
hijo de puta hasta cuando lo vas a seguir reposteando?
@Shenlong -3
Shenlong dijo:hijo de puta hasta cuando lo vas a seguir reposteando?

retiro lo dicho, es la 4º parte y no repost
@adicto_al_cafe +1
Shenlong dijo:
Shenlong dijo:hijo de puta hasta cuando lo vas a seguir reposteando?

retiro lo dicho, es la 4º parte y no repost


@ranaxr
Excelente capo, ya me baje los 5 archivos, se agredece mucho.